Системы GRC и SGRC: обзор основных функций, применение, перспективы использования

Современные вызовы и сложности для российского бизнеса можно без преувеличения назвать беспрецедентными и уникальными – развитие технологий поднимает на новый уровень зависимость экономики от устойчивости и безопасности информационных инфраструктур, которые находятся в процессе экстренного импортозамещения и активно атакуются организованными группами злоумышленников, а компании страдают от дефицита ИТ/ИБ-специалистов и находятся под непрерывно возрастающим регуляторным давлением.

И мировая, и отечественная экономика сталкиваются с условиями высокой неопределенности и непрерывно меняющимся внешним контекстом, включая ландшафт киберугроз, а также, несмотря на повышение степени автоматизации и внедрение современных технологий совместной работы, испытывают свойственные для больших групп людей сложности – субъективность и когнитивные искажения при принятии решений, контрпродуктивное поведение персонала, отсутствие эффективной коммуникации между бизнес-структурами, подразделениями, отдельными сотрудниками.

В результате снижается эффективность функционирования отдельных компаний и целых отраслей, падает производительность коллективов, компаниям всё сложнее поддерживать уровень рентабельности, труднее создавать продукты и сохранять активы. Подобные риски (неопределенности, неблагоприятные условия, дестабилизирующие факторы) должны сдерживаться защитными мерами, классификация которых знакома ИБ-специалистам: предупредительные, директивные, превентивные, детективные, сдерживающие, корректирующие, компенсирующие, расследовательные, восстановительные.

Кроме рисков, у компаний есть обязательства, выполнение которых следует соблюдать и контролировать, а также возможности, эффективному осуществлению которых нужно способствовать путем обеспечения и поддержки условий их реализации. Высокая скорость изменений условий работы бизнеса, непрерывное совершенствование законодательства, быстрая эволюция киберугроз, молниеносные и разрушительные кибератаки не оставляют сомнений – управление рисками, обязательствами и возможностями следует автоматизировать, причем чем выше доля автоматизированных процессов в компании, тем более конкурентоспособной она будет.

Принципы и идеология GRC

Для решения задачи автоматизации управления процессами, рисками и соответствием требованиям (законодательным, договорным, корпоративным) более 20 лет назад сотрудником Forrester Майклом Расмуссеном были разработаны принцип и идеология технологии GRC (Governance, Risk management, Compliance, англ. управление, риск-менеджмент, соответствие требованиям) для связывания рисков, мер управления и защиты, корпоративных политик, требований законодательства и стандартов в единый структурированный рабочий процесс с задачами, назначением ответственных, контролем и проведением оценок.

По одной из методологий, GRC-решения эволюционировали от версии 1.0 (условно с 2002 по 2007 год), которую в основном использовали для соответствия Акту Сарбейнс-Оксли (англ. сокр. SOX) 2002 года, к версиям 2.0 и 3.0 (условно с 2007 по 2017 год), которые позволили консолидировать корпоративное управление рисками и соответствием на единой платформе, до версий 4.0 и 5.0 (условно начиная с 2017 года) с архитектурно заложенной гибкостью реализации и визуализации GRC-процессов, предоставлением пользователям широких возможностей самостоятельной тонкой донастройки решения, использованием методов машинного обучения, искусственного интеллекта, предиктивной аналитики, обработки больших данных и иных новаций.

Факторами, влияющими на выбор GRC-решений в качестве инструментов управления процессами, рисками, соответствием, являются:

1. Потребность стейкхолдеров и руководителей компаний в высокой эффективности и прозрачности корпоративных процессов.
2. Необходимость обеспечения ситуационной осведомленности руководства компании для принятия и реализации управленческих решений.
3. Необходимость целостного управления разнородными возможностями и обязательствами с интеграцией в корпоративную систему менеджмента.
4. Необходимость эффективного автоматизированного управления рисками в условиях агрессивной и высококонкурентной внешней среды.
5. Эволюция ландшафта киберугроз и регуляторных требований, повышение ущерба от кибератак и штрафов за несоответствие.

Ассоциация OCEG (Open Compliance and Ethics Group), проводящая обучение и сертификацию специалистов по GRC и выпускающая стандарты и публикации по тематике GRC, указывает, что своевременное внедрение и разумное использование GRC-решений поможет компаниям добиться ряда результатов и преимуществ:

1. Достижение целей, способствующих созданию и сохранению ценностей для компании.
2. Сохранение баланса рисков и выгод.
3. Повышение корпоративной культуры ответственности, производительности, доверия и продуктивного взаимодействия.
4. Повышение уверенности стейкхолдеров и руководителей компаний в движении компании в верном направлении и достижении целей.
5. Упрощение принятия решений за счет интеграции элементов управления процессами, рисками, соответствием.
6. Предотвращение, выявление и коррекция нежелательного поведения, а также восстановление после инцидентов и снижение их негативных последствий (не только относящихся к ИБ, но и связанных с другими рисками).
7. Выявление, поддержка и поощрение желательного поведения, а также увеличение положительного эффекта от достижений.
8. Проактивное выявление, анализ, прогнозирование, обработка изменений во внешнем и внутреннем контекстах в целях соответствующей корректировки стратегии и тактики действий компании.
9. Рост эффективности, продуктивности, гибкости и устойчивости компании за счет реализации проактивных, детективных, реактивных мер и действий.
10. Соблюдение баланса между достижением целей и верностью корпоративным ценностям.

Домены GRC

В соответствии с видением OCEG, подход и работа GRC-решений сфокусированы на следующих направлениях (доменах):

1. Управление и надзор: контроль, ограничение и направление деятельности компании в части указания целей, выявления и установки границ, наделения полномочий, внедрения систем оценки эффективности, рисков, соответствия требованиям. Требования могут быть обязательными (возникают в результате обязательных к исполнению законодательных требований, законов, правил) и необязательными (возникают в результате добровольного принятия компанией на себя обязательств по их соблюдению перед контрагентами, в соответствии с условиями заключенных договоров, соглашений, корпоративных ценностей). Обязательные требования формулируются в НПА (нормативных правовых актах), необязательные – в ОРД (организационно-распорядительной документации). Для оценки эффективности работы персонала, уровня рисков, степени соответствия требованиям применяются, соответственно, ключевые показатели эффективности (KPI, Key Performance Indicator), ключевые показатели риска (KRI, Key Risk Indicator), ключевые показатели соответствия (KCI, Key Compliance Indicator).
2. Стратегия и эффективность: целеполагание, установка критериев успеха и достижения результата, формирование стратегии и тактики действий для работы с возможностями, препятствиями, требованиями, а также управление системой оценки эффективности, рисков, соответствия требованиям.
3. Поддержка управление рисками и решениями: выявление, анализ, оценка, мониторинг, обработка рисков и применение научных методов для поддержки принятия решений.
4. Соответствие требованиям и корпоративная этика: управление требованиями и рисками, связанными с исполнением обязательных и необязательных требований, включая выявление обязательных требований, идентификацию и формализацию необязательных требований, оценку рисков неэтичного поведения и несоответствия требованиям, формирование соответствующих политики и процедур, а также обучение и коммуникацию с персоналом, поддержку и продвижение корпоративной этики.
5. Безопасность и непрерывность бизнес-процессов: выявление критичных физических и цифровых активов, анализ, оценка, мониторинг, обработка соответствующих рисков, проведение киберучений и тренировок (с применением сценарного планирования и платформ эмуляции инцидентов), выполнение реагирования на кризисы при необходимости.
6. Аудит и гарантии: повышение уверенности стейкхолдеров и руководителей в эффективной работе компании для достижения поставленных целей, управления неопределенностями, ответственного и последовательного поведения за счет приоритизации, планирования и проведения оценочных мероприятий с использованием соответствующих технологий, предоставления отчетности, взаимодействия со стейкхолдерами и руководителями для проведения оценок и повышения уровня их уверенности.

В соответствии с моделью возможностей GRC, решения такого класса должны позволять выполнять задачи в следующих доменах:

1. Изучение: понимание внешнего и внутреннего контекста, корпоративной культуры, ожиданий стейкхолдеров и руководителей.
2. Согласование: определение стратегии развития компании, выбор целей, результатов и показателей их достижения, определение подходов для управления возможностями, препятствиями, требованиями, рисками.
3. Реализация: управление возможностями, препятствиями, требованиями, рисками за счет выполнения проактивных, детективных, реактивных действий и мер, разработки политик, методов коммуникации (включая возможность запроса и получения уведомлений о возможностях и сложностях от работников), обучения и повышения квалификации персонала, поддержки сознательного поведения сотрудников, реагирования на позитивные и негативные явления с анализом их корневых причин.
4. Пересмотр: непрерывное улучшение производительности за счет анализа действий и мер, мониторинга показателей (KPI, KRI, KCI), формирования отчетности для стейкхолдеров и руководителей.

Итак, определившись с назначением и функционалом классических GRC-решений, перейдем наконец к специализированным системам класса SGRC, где первая S означает Security. В отличие от GRC-систем общего назначения, они ориентированы на решение задач кибербезопасности, причем на всех уровнях - стратегическом, тактическом, аналитическом, оперативном. Итак, разберем функционал каждого направления SGRC по отдельности.

1. Governance (управление процессами ИБ)

Управление процессами кибербезопасности не сводится только к разработке стратегии, политик, стандартов, регламентов, инструкций по ИБ – основной упор в современных условиях весьма агрессивного киберландшафта следует делать на результативную и автоматизированную кибербезопасность. При этом документы по ИБ должны быть не абстрактным набором «бумажных» требований, а определять правила, по которым выстраиваются и развиваются процессы кибербезопасности. Использование средств автоматизации управления процессами ИБ, таких как SGRC-решения, позволяет не только упростить разработку документов по ИБ с учетом обязательных (законодательных, внешних) и необязательных (договорных, внутренних) требований, но и спроецировать эти требования на реальное состояние защищаемой инфраструктуры, контролировать их выполнение, формировать задачи с указанием ответственных и сроков для приведения в соответствие.

Приведем пример: учет и инвентаризация активов – это одно из основных положений большинства стандартов по ИБ, и решение SGRC укажет на приоритет данной активности. Далее, встроенные или интегрированные с SGRC системы сканирования и инвентаризации инфраструктуры (это могут быть сканеры уязвимостей, решения классов CMDB, ITAM и другие) помогут оценить количество активов в инфраструктуре и выявить несоответствия – например, отобразить список активов, для которых не указаны владельцы, не заполнены уровни критичности и требования к обеспечению непрерывности работы, в отношении которых не проведено глубокое сканирование с определением используемых на них ОС, ПО, СЗИ.

Затем SGRC-решение сможет сформировать задачи на устранение выявленных недостатков, назначить ответственных, установить сроки и отправить соответствующие уведомления или экспортировать список задач в корпоративные ITSM / ServiceDesk / Ticketing-системы. Результаты выполнения поручений отобразятся в интерфейсе SGRC, что поможет оценить прогресс, визуализировать изменение состояния соответствия и предоставить отчетность руководству.

Наряду с управлением активами, процессы управления уязвимостями, конфигурациями и киберинцидентами также являются базовыми процессами ИБ, которые напрямую связаны с управлением киберрисками и соответствием требованиям. Важно не только получать актуальную, достоверную и полную информацию о состоянии защищенности инфраструктуры, но и управлять данными процессами – определять приоритеты и устанавливать сроки обработки уязвимостей и небезопасных конфигураций, контролировать качество и оперативность реагирования на инциденты ИБ, корректировать и совершенствовать данные процессы.

Двухсторонняя интеграция систем SGRC с решениями классов SIEM, SOAR, VM, EASM, CMDB, ITAM позволяет объективно оценивать и управлять состоянием защищенности инфраструктуры и приводить её в соответствие требованиям НПА и ОРД. Таким образом, наряду с повышением уровня соответствия, растет и уровень реальной киберзащищенности компании.

Наряду с прикладными задачами ИБ, важную роль играют формирование моделей угроз и нарушителя, а также разработка и анализ сценариев реализации киберугроз. Данные активности – это не только требования НПА, но и база для управления киберрисками, выработки защитных мер, выбора и настройки СЗИ и встроенных в ОС и ПО функций безопасности. Для выполнения подобного моделирования могут применяться методологии ФСТЭК России, PASTA, DREAD, VERIS, STRIDE, MITRE ATT&CK и другие, а также использоваться данные об угрозах, ВПО, тактиках и техниках атак из различных каталогов, таких как БДУ ФСТЭК России, MITRE ATT&CK, OWASP и других.

Итак, современные SGRC-системы позволяют автоматизировать ряд ключевых процессов ИБ, таких как управление активами, конфигурациями, уязвимостями, исключениями, изменениями, инцидентами ИБ, взаимоотношениями с поставщиками, подрядчиками, контрагентами, управление цепочками поставок, управление SBOM (Software Bill Of Materials, реестр/спецификация ПО), управление лицензиями на СЗИ/ПО, контроль актуальности сертификатов на СЗИ, учет СКЗИ, управление непрерывностью бизнеса, осведомленностью, заявками, задачами, планами, документами, знаниями, поддержка формирования модели угроз, модели нарушителя и сценариев реализации угроз, а также формирование отчетности и визуализация состояния ИБ.

2. Risk management (управление киберрисками)

Управление рисками – это один из столпов осознанного и зрелого ведения бизнеса. Риски бывают различных видов (рыночные, юридические, организационные, производственные и т.д.), но SGRC-решения предназначены для работы с киберрисками и операционными рисками. В общем случае, риск - это неопределенность (негативное событие, фактор, условие), которая в случае возникновения окажет воздействие на интересы организации и достижение ею целей. Управление рисками в ИБ используется для того, чтобы поднять проблематику кибербезопасности на уровень принятия стратегических решений, связав «абстрактные» в понимании бизнеса киберугрозы и киберинциденты с понятными стейкхолдерам и руководителям убытками и ущербом в денежном эквиваленте.

Кроме того, управление рисками ИБ помогает приоритизировать киберугрозы и обосновать выбор контрмер, сопоставив стоимость защитных мер со стоимостью актива и с оценкой усилий злоумышленников для реализации кибератаки. Управление операционными рисками регулируется Положением ЦБ РФ №716-П «О требованиях к системе управления операционным риском…» и применяется в финансовых учреждениях, а SGRC-системы в них могут использоваться для управления киберрисками, рисками сбоев информационных систем, правовыми и модельными рисками, рисками ошибок в управлении проектами, в управленческих процессах, в процессах осуществления внутреннего контроля, в процессе управления персоналом, рисками потерь средств клиентов, контрагентов, работников и третьих лиц, а также операционными рисками платежной системы.

Традиционными способами обработки киберрисков являются их принятие, избежание, передача и минимизация. Для принятия решения о способе обработки конкретного риска производится инвентаризация и оценка ценности активов, идентификация киберугроз и уязвимостей (включая небезопасные конфигурации и настройки), рассчитывается вероятность реализации киберугроз и их влияние на бизнес. Затем принимается решение о применении экономически эффективных и целесообразных мер по обработке риска с учетом риск-аппетита компании, назначаются ответственные, устанавливаются сроки, выделяются ресурсы, контролируется выполнение поставленных задач. По итогам выполнения задач по обработке риска производится оценка уровня остаточного риска и принимаются дальнейшие решения. Для оценки уровня рисков применяются качественные и количественные методы: качественные («светофорные») методы позволяют быстро оценить большой объем рисков, а количественные – детально проанализировать высокоприоритетные риски с использованием достаточно сложного математического аппарата, работающего с накопленными за длительный период статистическими данными и Big Data.

В современных SGRC-решениях могут быть заложены различные методики оценки рисков: от простейших опросных листов, оценок экспертным методом, мозговых штурмов и метода Дельфи до методологий COSO ERM (Committee of Sponsoring Organizations – Enterprise Risk Management), FAIR (Factor Analysis of Information Risk), FMEA (Failure Modes and Effects Analysis), FRAP (Facilitated Risk Analysis Process), LOPA (Layers of Protection Analysis), OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), VaR (Value at Risk), методов Байеса, Маркова, Монте-Карло и т.д.

Поскольку системы SGRC сфокусированы на кибербезопасности, при реализации процесса управления киберрисками важно интегрировать данные по активам, уязвимостям, конфигурациям, киберинцидентам, сведения из систем управления поверхностью атак и аналитики киберугроз. Важно учитывать риски несоответствия требованиям, простоя бизнес-процессов, недоступности пользовательских сервисов, нарушения лицензионной чистоты и правил эксплуатации ПО, СЗИ и СКЗИ, а также обрабатывать риски взаимоотношений с поставщиками, подрядчиками, контрагентами, вендорами, партнерами (учитывая возможные атаки на цепочки поставок, атаки через доверительные отношения, зависимости при разработке / использовании ПО).

Кроме того, следует рассматривать и реализацию репутационных рисков, например, в результате атак вирусов-шифровальщиков, DDoS-атак, утечек данных, появления сайтов-клонов, несанкционированного использования имени компании или торговой марки, дефейса веб-сайта, взлома соцсетей компании, использования изображений первых лиц организации для мошеннических действий и т.д.

3. Compliance (управление соответствием требованиям по ИБ)

Как уже отмечено выше, требования могут быть обязательными (внешними законодательными, отражаются в НПА) и необязательными (контрактными, отраслевыми или добровольно принятыми внутренними, отражаются в ОРД). Несоответствие законодательным требованиям может нанести ущерб репутации, повлечь за собой снижение стоимости гудвил и потерю доверия клиентов и контрагентов, а также привести к недополученной прибыли, штрафам, отзыву лицензии, изъятию техники, приостановке деятельности и даже к административной или уголовной ответственности для ключевых должностных лиц компании. Несоответствие обязательным требованиям может также привести к весьма драматичным последствиям – от снижения репутации среди клиентов и контрагентов до судебных разбирательств и исключения из отраслевых ассоциаций с потерей доступа к профессиональным площадкам обмена экспертизой.

Задачей SGRC-решения будет формирование перечня требований с указанием приоритетов и необходимых для их выполнения действий, поэтому важно, чтобы в решении была предустановлена база требований различных НПА, стандартов, рекомендаций вендоров, лучших практик, включая рекомендации из пакета экспертизы производителя SGRC, а также присутствовала возможность импорта пользовательских требований (например, из внутренних ОРД компании). Важно, чтобы система SGRC могла провести декомпозицию, дедупликацию и корреляцию применимых к деятельности компании требований, получить данные о реальном состоянии инфраструктуры встроенными средствами или за счет интеграции с корпоративными ИТ/ИБ-решениями, оценить степень соответствия требованиям (т.е. провести GAP-анализ), сформировать план действий по устранению недостатков, назначить задачи исполнителям и проконтролировать выполнение. Система SGRC может оказать помощь в проведении оценки соответствия требованиям для понимания и улучшения состояния ИБ внутри компании, а также поможет предоставить запрашиваемую информацию при проведении внешних аудитов ИБ. Не менее важной задачей является формирование отчетности и визуализация состояния ИБ для различных групп потребителей (стейкхолдеров, руководителей подразделений, аудиторов, ИТ/ИБ-специалистов) с предоставлением данных на стратегическом, тактическом, аналитическом, оперативном уровнях в виде различных дашбордов, диаграмм, графиков, виджетов и т.д.

Векторы развития SGRC

В заключение отметим, что GRC/SGRC-решения, как и все продукты для автоматизации работы ценных специалистов, активно развиваются. Основными векторами развития GRC/SGRC сейчас являются:

1. Интеграция с разнородными ИТ-инфраструктурами и решениями для получения максимального объема данных для обогащения, контекстуализации, анализа рисков, оценки соответствия, помощи в принятии решений. Производители GRC/SGRC всё чаще используют API для взаимодействия и обеспечения двухсторонней интеграции с системами класса CMDB, ITAM, IDM, ITSM, ServiceDesk, Ticketing, BPM, ERP, SIEM, SOAR, TIP, VM, EASM, DLP, DCAP, DAG, CASB, CSPM, CWPP и другими инфраструктурными, прикладными и защитными решениями различных вендоров.
2. Предоставление GRC/SGRC как услуги в облаке (GRC/SGRC as a Service, GRC/SGRCaaS) для предложения клиентам всех преимуществ подписочной модели и облачной инфраструктуры: исключение капитальных затрат (включая ресурсы на закупку и поддержку сопутствующего аппаратного / программного обеспечения и инфраструктуры), оплата по мере потребления, гибкое масштабирование по требованию, доступ через Интернет с любого устройства, обширная экспертиза вендора и обмен экспертизой с коллегами по ИБ на единой площадке.
3. Использование технологий машинного обучения, искусственного интеллекта, предиктивной аналитики, обработки больших данных для аналитики поведения сущностей в инфраструктуре, выявления паттернов и отклонений, эффективного поиска аномалий и скрытых корреляций между событиями, расчета уровня рисков статистическими методами, контроля показателей KPI / KRI / KCI, прогнозирования развития инфраструктуры, проактивного реагирования на тенденции киберугроз, анализа и интерпретации требований НПА и ОРД, применения copilot-технологий для предоставления рекомендаций работникам и помощи в принятии решений руководителям.

Российские и зарубежные решения

Среди зарубежных GRC-решений присутсвуют продукты Archer, Diligent One, IBM OpenPages, LogicGate Risk Cloud, MetricStream, NAVEX One, OneTrust GRC, SAP GRC, SAS GRC, ServiceNow GRC, Workiva GRC и другие.

Среди отечественных GRC-решений предлагаются продукты АВАКОР, Вектор Плюс, ОАЗИС, ТАБ: Учет рисковых событий (GRC), One Vision, Quadrium ActiveGRC, Security Vision, VK GRC и другие. Кроме того, на российском рынке присутствуют специализированные SGRC-решения, такие как АльфаДок, DocShell, R-Vision SGRC, SECURITM, Security Vision, UDV ePlat4m SGRC и другие.

Отметим, что отечественные GRC-решения предлагают функционал автоматизации процессов внутреннего контроля и аудита, реализации мер ПОД/ФТ, управления операционными рисками по 716-П, поэтому востребованы в основном среди финансовых учреждений. Российские SGRC-решения, ориентированные на автоматизацию процессов кибербезопасности и управления киберрисками, являются по сути уникальным явлением на мировом рынке систем автоматизации, поскольку среди импортных аналогов отдельного класса SGRC-решений фактически нет.

Кроме того, при анализе и выборе решений классов GRC/SGRC следует помнить, что поддержка установки продукта в «облаке» и SaaS-модель – это не совсем одно и то же: в первом случае клиент получает альтернативу в виде возможности установить решение не только on-prem, но и на выбранной им облачной платформе с необходимостью дальнейшего сопровождения инсталляции своими силами, а во втором случае все инфраструктурные задачи берет на себя вендор GRC/SGRCaaS.