Использование GRС решений в информационной безопасности

GRC – понятие относительно новое и малоизвестное для российской сферы ИТ/ИБ. Что же это такое? Gartner дает следующее определение: «GRC is neither a project nor a technology, but a corporate objective for improving governance through more-effective compliance and a better understanding of the impact of risk on business performance». Другими словами, GRC можно разложить на три составляющие: управление деятельностью организации со стороны высшего руководства (Governance), оценку рисков информационной безопасности (Risk Management) и оценку соответствия требованиям законодательства (Compliance). Суть GRC в управлении всеми тремя процессами.

Концепция GRC дает возможность ИБ-специалистам говорить на языке бизнеса, обосновывая инвестиции в проекты по ИБ, оперируя близкими и значимыми для бизнеса понятиями материального и репутационного риска.

Стоит отметить, что GRC – это не одно готовое решение, а целый набор интегрированных между собой модулей или продуктов, плюс проработанная документационная база – политики, процедуры, регламенты, и грамотный персонал, который непременно руководствуется в своей работе данной документацией. Каждое внедрение GRC по своей сути уникально и должно быть максимально подстроено под задачи, процессы и технологии конкретного бизнеса. От этого зависит эффективность GRC-системы.

Преимущество от внедрения системы GRC состоит в том, что в любой момент времени есть возможность получить актуальную информацию о текущем состоянии ИТ-инфраструктуры и соответствующих рисках ИБ по отношению к конкретным бизнес-процессам, используя при этом автоматическую интеграцию применяемых в компании средств защиты различного типа (сканеров безопасности, SIEM-решений и т.д.) и различных вендоров. Это позволяет свести к минимуму людские ресурсы на обработку больших объемов информации, которая раньше генерировалась каждым средством защиты в отдельности, и позволяет более эффективно выстроить процесс управления ИТ-инфраструктурой в компании.

GRC-системы принято разделять на IT GRC (Information Technology GRC) и EGRC (Enterprise GRC).

С EGRC в основном работают сотрудники не ИТ-департаментов­ – юридического, операционного, кадрового и др., тогда как IT GRC ориентирована на ИТ-процессы. При этом IT GRC построена таким образом, что не ИТ-сотрудники также имеют возможность пользоваться всеми преимуществами системы для оценки влияния ИТ-составляющей на бизнес.

По оценке Gartner, технология IT GRC имеет положительный рост на мировом рынке и уже пережила пик своей первой популярности, но еще не вышла на стадию стабильного развития, тогда как ЕGRC оценивается уже вполне состоявшейся технологией.

В отличие от западных компаний, которым необходимо подчиняться требованиям SOX, Basel-II, HIPAA и др., российские регуляторы пока не требуют обязательного внедрения GRC, однако в стандартах ISO 27001 и СТО БР ИББС уже встречаются рекомендации о наличии в компаниях правил и процедур, позволяющих эффективно управлять рисками ИБ.

Агентство Forrester в своем аналитическом отчете (What The Business Doesn’t Understand About IT GRC) отмечает положительное влияние на бизнес от внедрения GRC у 50% зарубежных компаний. Однако известны и неуспешные попытки внедрения в результате не совсем правильного подхода к построению системы.

Построение комплексного процесса управления ИТ-инфраструктурой с применением GRC-решений все же стоит порекомендовать компаниям с достаточно зрелым уровнем ИБ, в которых хотя бы частично реализованы процессы управления рисками ИБ, управления уязвимостями и инцидентами ИБ, управления информационными активами, налажены процессы периодических внутренних аудитов информационной безопасности предприятия, а руководство осознает важность процессов управления ИБ и влияние уровня ИБ на бизнес.

Поделиться записью: