Кибербезопасность в конкретной компании строится не только на ИБ-инструментах и политиках безопасности, но и на управленческих решениях. Системный, осознанный подход к информационной безопасности на уровне стратегии позволяет компании поддерживать высокий уровень защищенности от актуальных угроз и нивелировать риски финансовых потерь.
Однако, для внедрения риск-ориентированного подхода в управление компании нужен большой объем данных и внушительный штат профильных аналитиков, которые способны структурировать и систематизировать эти данные, помочь выработать на их основе стратегию развития бизнеса, отвечающую требованиям кибербезопасности.
Одна из систем, которая помогает существенно сократить нагрузку на специалистов и внедрить риск-ориентированный подход в управление компанией – это Security Governance, Risk Management and Compliance (SGRC). В рамках статьи будет разобрана специфика SGRC-систем для чего она нужна и как работает, как ее интеграция сказывается на безопасности компании и какие выгоды за собой влечет.
Security Governance, Risk Management and Compliance – это система управления безопасностью, рисками и соответствием законодательству. Она «выросла» из GRC-систем и отличается от них специализацией на кибербезопасности.
Татьяна Кляус
Аналитик в компании R-Vision
SGRC-системы стали продолжением развития известных многим GRC-систем (Governance, Risk, Compliance), но в отличии от «прародителя» они специализируются на информационной безопасности.
Продукты данного класса способны решать скоуп задач по информационной безопасности: обеспечивать своевременное выявление рисков, облегчать контроль за соблюдением внешних требований и помогать сформировать системы внутренней нормативной документации. Кроме того, система SGRC является основным инструментом для внедрения риск-ориентированного подхода к информационной безопасности, а также выполняет функцию единого ресурса для работы ИБ-специалистов, в котором аккумулируются сведения о защищаемых объектах и процессах информационной безопасности.
Если говорить непосредственно о функционале, то его можно разделить на несколько больших блоков:
1. Управление информационной безопасностью и активами (Governance), в рамках которого осуществляется идентификация и классификация всех активов организации, что дает возможность экспертам упорядочить сведения о защищаемой инфраструктуре. За счет прозрачности информации о текущем состоянии ИБ, организация может более эффективно выстроить ключевые процессы управления информационной безопасностью, такие как: стратегическое планирование, определение политик, регламентов, методик, стандартов, задач в этой области и др.
2. Анализ и управление рисками ИБ (Risk management), помогает минимизировать вероятность реализации ИБ-угроз и возможного ущерба в организации, благодаря своевременному выявлению и быстрой оценке уровня рисков. В отношении идентифицированных рисков ИБ-специалистами формируется план мероприятий по их обработке, включающий в себя экономически обоснованное определение оптимальных мер защиты.
3. Управление аудитами и контроль соответствия требованиям (Compliance), упрощает соблюдение регуляторных требований и помогает автоматизировать процессы проведения аудитов систем в части оценки уровня защищенности, а также подготовки внешней и внутренней нормативной документации. Что позволяет организациям сократить время и объем трудозатрат на формирование отчетных документов и своевременно направить их регулятору.
При этом для расчета оценки параметров рисков и уровня соответствия, SGRC-продукты зачастую поставляются с уже предустановленными справочниками и необходимыми формулами, или подстраиваются под имеющиеся у клиентов методики. Также в системе может быть реализован учет и контроль состояния всех мер защиты для всех соответствующих активов. И отслеживаться как и внедренные в компании защитные меры, так и планируемые к реализации в будущем.
Это верхнеуровневая система, которая использует данные других инструментов для формирования статистических данных. Такие данные принято называть объективными, и лежат в основе управленческого подхода Data Driven (управление на основе объективных данных).
Преимущество такого подхода – снижение рисков необъективности при принятии решений на уровне стратегии компании, поскольку в основе лежит не оценочное суждение, а достоверная информация.
Если говорить о насыщенности рынка таких систем, то, до недавнего времени, весомую его часть занимали иностранные решения. Из наиболее популярных российских продуктов можно выделить Security Vision SGRC, СОАБ от ePlat4m и SGRC R-Vision. Также, важно понимать что сам принцип «Security GRC» может быть частично и полностью реализован в рамках других решений. Например СОАБ или СУИБ.
По механике работы SGRC близка с системами класса SIEM, поскольку представляет собой «аналитический центр», который собирает и обрабатывает данные из других систем. Но если данные SIEM нужны для выявления инцидентов, то данные СГРК нужны для принятия решений на уровне стратегии.
Павел Коростелев
Руководитель отдела продвижения продуктов компании «Код Безопасности»
Главное ее отличие как раз в том, что SGRC не отвечает за какое-либо направление ИБ. Она нужна для верхнеуровнего понимания о том, какие информационные системы есть в организации, какие риски они несут, в каком состоянии находятся сейчас и нужно ли заниматься их дальнейшим усовершенствованием.
Изначально такие системы появились в США, там Governance – это отдельное направление, кроме которого существует и направление Management, то есть управление. В России же эти системы, по сути, не разделяют. У нас SGRC – это управление крупными системами на оперативно-стратегическом уровне. Поэтому SGRC в отечественных компаниях, как правило, входит в стек систем управления инцидентами, или IRP (Incident Response Platform). Такие комбинированные решения предлагают, например, R-Vision и Group-IB.
Это особенно важно в контексте компаний с большим набором технологичных продуктов. SGRC позволяет выявить «слабые» места и потенциальные «риски завтрашнего дня», превентивно нивелировать их с помощью грамотных управленческих решений.
Таким образом, SGRC-система не влияет на уровень кибербезопасности « в моменте», поскольку относится к инструментам стратегической аналитики, и сама по себе ничего не защищает. Для эффективной работы этой информационной системы критически важно наличие других ИБ-инструментов, данные которых можно использовать для аналитики.
SGRC-системы, как правило, применяются в зрелых, с точки зрения кибербезопасности, компаний, которые уже оснащены инструментами защиты, сбора данных, реагирования и обладают эшелонированной обороной. Возникает логичный вопрос: а что даст интеграция еще одной системы, насколько это рентабельно?
С точки зрения финансовых издержек, важно понимать, что в обеспечении кибербезопасности, исследование и аналитика – это наиболее времязатратные элементы, на основе которых выстраивается реагирование и детекция инцидентов. Соответственно, чем более они автоматизированы, тем больше времени специалисты могут уделить другим профильным задачам.
Александр Моисеев
Ведущий консультант по ИБ AKTIV.CONSULTING
Специфика SGRC заключается в том, что в ней осуществляется управление верхнеуровневыми процессами ИБ (преимущественно организационными), в отличии от IRP-платформ, где осуществляется оперативное управление реагированием на инциденты ИБ, или SIEM, в которых инженеры ИБ осуществляют непрерывных мониторинг метрик и телеметрии с различных средств и систем ИБ в режиме, условно близком к реальному времени.
Данные системы предназначены прежде всего для руководителей ИБ, методологов и аудиторов. Они позволяют реализовать своего рода «моделеориентированный» подход, предполагающий один централизованный источник «правды» по процессам и актуальных справочных данных, что вкупе с использованием электронной подписи может стать катализатором формирования оперативной актуальной отчетности по процессам, активам, рискам в различных разрезах. А также на основании данных SGRC можно генерировать внутреннюю нормативную документацию по ИБ, автоматизировать формирование моделей угроз, планов, реестров, чек-листов и т.д.
Противопоставить SGRC можно традиционный «документоориентированный» подход –когда всевозможные бумажные планы трехлетней давности (устаревшие через пару дней после их утверждения); ворох всевозможных экселек от давно покинувших компанию сотрудников, данные в которых нужно долго сводить вручную, зачастую они содержат противоречия, и в целом решают локальные сиюминутные проблемы; отчеты, рисующие потемкинские деревни.
Еще один важный аспект – это соответствие требованиям государства, то есть комплаенс. Процесс изучения законодательства, которое в этом году прошло через существенные преобразования, требует много сил и времени, понимания бюрократических норм и сложных языковых конструкций. SGRC в этом плане существенно снижает уровень рутинизации процесса.
Также, нельзя забывать, что рекомендации вендоров, данные аналитических компаний, мнение ИБ-директора или регулятора – либо субъективны, либо ориентированы сразу на много компаний, а результаты аналитики SGRC получены из «домашних» источников и максимально ориентированы на конкретную организацию, при этом – статистические данные объективны.
Основная проблема системы SGRC – это зависимость. Причем зависимость сразу по двум направлениям:
Антон Грязнов
Пресейл-инженер компании MONT
SGRC-решение — это точка сбора информации о различных процессах, связанных с информационной безопасностью, законодательством и ИТ-инфраструктурой внутри компании. Данные поступают как из различных информационных систем. Например из CMDB-систем и систем управления ИТ-активами, а также напрямую вводятся сотрудниками, ответственными за конкретные процессы (например, создание аудитов).
SGRC — единственный продукт, который помогает организациям построить эффективную систему управления информационной безопасностью, своевременно выявляющую риски, формирующую систему внутренних нормативных документов, облегчающую соблюдение внешних требований. Продукт автоматически рассчитывает метрики и показатели, что позволяет контролировать различные процессы и принимать рациональные решения по развитию системы ИБ в той или иной компании.
Также, для SGRC характерны все традиционные проблемы, связанные с IT-системами, к которым можно отнести сложность интеграции, потенциальные сложности с обновлениями (особенно, в случае использования иностранных решений), трудность кастомизации и формулирования новых правил, взаимосвязей между событиями.
Как и большинство современных IT-систем, SGRC может поставляться в самых разных форматах, от коробочных автономных решений до облачных, по модели SaaS. Каждый формат имеет свои, традиционные преимущества и недостатки, выбор во многом обусловлен спецификой деятельности компании и ее возможностями с точки зрения самостоятельной работы с софтом.
Сергей Опивалов
Senior Software Engineer в Gradle Inc.
SGRC относится к политикам, процессам и инструментам, которые организации используют для управления и снижения рисков, связанных с их информационными и технологическими активами, обеспечения соблюдения соответствующих законов и правил, а также поддержания безопасности и целостности своих систем и данных.
Вот несколько типов SGRC систем:
1. Manual systems (системы с "ручным" управлением): эти системы основаны на бумажных или ручных процессах для управления рисками, обеспечения соответствия и поддержания безопасности. Это может включать использование физических документов, таких как политики, процедуры и контрольные списки, для руководства принятием решений и действиями.
2. Spreadsheet-based systems (системы на основе электронных таблиц): в этих системах используется программное обеспечение для работы с таблицами, такие как Microsoft Excel или Google Sheets, для управления рисками и обеспечения безопасности. Электронные таблицы могут использоваться для отслеживания и анализа данных, создания отчетов и управления процессами.
3. Cloud systems (oблачные системы): эти системы используют облачное программное обеспечение и сервисы для управления рисками и обеспечения безопасности. Облачные системы SGRC могут предлагать такие преимущества, как доступность из любого места с подключением к Интернету, масштабируемость и снижение затрат по сравнению с локальными системами.
4. Локальные системы(проприетарные для конкретной организации): эти системы разрабатываются специально для нужд организации и могут быть адаптированы к конкретным рискам организации, и требованиям безопасности. Локальные системы, могут быть более дорогими в разработке и обслуживании, чем готовые системы, но они могут предлагать большую гибкость и настройку.
5. Off-the-shelf systems(готовые системы): могут быть приобретены и развернуты организацией без необходимости настройки. Готовые системы могут быть более рентабельными, чем локальные системы но они могут не предлагать такой же уровень гибкости и соответствия конкретным требованиям организации.
В данный момент, тенденции рынка ИБ говорят о том, что бизнесу наиболее интересны облачные решения, поскольку позволяют получить « весь профит» от системы, но минимально задействовать своих специалистов в ее обслуживании, отдав эти процессы вендору. Однако, для госсектора и некоторых особо закрытых секторов экономики, коробочные или автономные системы остаются безальтернативным вариантом ввиду высоких требований безопасности со стороны государства.
Система SGRC – это не инструмент первой необходимости, который нужно внедрять сразу за антивирусом и межсетевыми экранами. Он не влияет на уровень безопасности напрямую, но обеспечивает руководство компании и ИБ-отдела важной аналитической информацией, которая востребована как при принятии стратегических решений, так и при планировании бюджета на обеспечение информационной безопасности.
Помимо этого, как и любая GRC-система, Security GRC служит элементов внедрения Data driven подхода к управлению компанией. Он позволяет дополнить экспертные мнения и оценки объективными данными, которые становятся крепким фундаментом при определении стратегии компании и принятии управленческих решений.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться