Системы SGRC: управление рисками и контроль соответствия требованиям

В одной из прошлых статей мы вместе с экспертами разбирались, какие системы нужно внедрять в SOC на разных этапах его зрелости. Уже подробно рассмотрены особенности решений классов IRP/SOAR, ML, UEBA и TIP. В этом обзоре рассказываем о специфике систем SGRC.

Понятие Security Governance, Risk and Compliance объединяет в себе стратегические подходы к организации управления безопасностью, контроля рисков и соблюдения отраслевых и государственных стандартов. В этом обзоре рассмотрим функции решений, которые автоматизируют эти процессы для упрощения работы ИБ-подразделений.

Набор практик и процессов SGRC обеспечивает структурированный подход к согласованию ИТ с бизнес-целями. SGRC-платформы помогают компаниям эффективно управлять рисками безопасности, сокращать расходы на предотвращение инцидентов и соблюдение нормативных требований. Компании получают возможность в реальном времени отслеживать качество риск-менеджмента в области безопасности и принимать более точные и эффективные решения.

Ключевое преимущество SGRC-решений — это автоматизация рабочих процессов: от сбора информации о событиях в инфраструктуре до подготовки отчетности о рисках и средствах защиты информации (СЗИ). Некоторые платформы позволяют собирать данные с самых разных корпоративных систем с помощью API, обеспечивая ИБ-специалистам централизованный доступ к разрозненной информации. Дашборды и информационные панели с ключевыми показателями риска (key risk indicators, KRI) помогают отслеживать изменения уровня безопасности вплоть до угроз на отдельных участках инфраструктуры.

Андрей Быков

Руководитель группы консалтинга в области защиты данных BI.ZONE

К основным сценариям использования (S)GRC относятся отчетность перед руководством за счет агрегации данных в едином инструменте, эффективное управление IT-активами, консолидация всей функции КБ благодаря связности процессов, уменьшение SLA при отработке процедур и многое другое.

Мы рассматриваем подобный класс решений при достижении определенного уровня зрелости процессов КБ. Все упирается в логику работы решения: оно настраивается на базе ваших выстроенных процессов. Если процессы не формализованы, то решение не будет работать корректно. Логика работы напрямую связана с процессами, и их незрелость может приводить к ложным результатам и увеличению затрат. Поэтому перед внедрением решения мы всегда помогаем заказчику выстроить процессы правильным образом.

Ксения Коляда

Менеджер продукта R-Vision SGRС

Наиболее часто запрос на внедрение систем класса SGRC поступает от двух типов компаний. Первые имеют мало опыта в процессе проведения аудитов и оценки рисков, но понимают их важность. Они, в том числе, обращаются к вендору за экспертизой, чтобы строить процессы сразу с учетом лучших практик. Главные вопросы, которые у них существуют: с чего начать и какие материалы можно взять за основу.

Второй тип компаний находится в стадии перехода к более высокому уровню зрелости. У них есть утвержденные процессы, а большинство материалов хранятся, как правило, в Excel. Ключевые проблемы в этом случае: большой объем плохо управляемых исторических данных, разрозненность информации, непрозрачность процессов, а также трудоемкость ручных операций.

Рассмотрим каждый компонент SGRC в отдельности.

Security Governance (управление процессами безопасности)

Одна из целей Security Governance — добиться баланса между задачами всех участников корпоративных процессов: сотрудников и руководителей, поставщиков и инвесторов.

В контексте SGRC-систем управление процессами безопасности представляет собой набор правил, политик и процессов, которые соотносят эти процессы с бизнес-целями. Топ-менеджмент может контролировать ситуацию на всех уровнях корпорации, не погружаясь в специфику технологий и возможности отдельных СЗИ.

GRC-платформа позволит, например, контролировать наличие договоров с поставщиками и выполнение SLA, отслеживать на верхнем уровне состояние безопасности объектов инфраструктуры — от центров обработки данных до отдельных приложений — и отдавать поручения ответственным лицам при возникновении проблем. Кроме того, система упрощает оценку эффективности сотрудников, позволяя отслеживать изменения ключевых показателей безопасности.

Risk (управление рисками)

Управление рисками включает в себя выявление, оценку и контроль финансовых, юридических, стратегических, информационных рисков для организации. Для этого компании необходимо выстроить процессы для мониторинга и контроля воздействия негативных событий на бизнес.

Ксения Коляда

Менеджер продукта R-Vision SGRС

В первую очередь организациям нужно самим для себя сформулировать, зачем они внедряют SGRC-систему. У проекта должны быть конкретные цели, четко сформулированные результаты и назначенные ответственные.

Не стоит одновременно автоматизировать несколько сложных процессов, таких как инвентаризация, проведение аудитов и оценка рисков. Лучше выбрать одно приоритетное направление, довести его до минимально приемлемого состояния и уже потом переходить дальше.

Следующий шаг – описание процессов, которые будут реализованы в системе SGRC: какие этапы включены в процесс, кто их участник и каков ожидаемый результат. В большинстве случаев вендор помогает сформулировать эти моменты в ходе подготовительных интервью, однако будет лучше, если заинтересованные стороны заранее подготовят хотя бы приблизительную картину текущего состояния и согласуют ее между собой.

Последующий шаг заключается в непосредственном внедрении системы в промышленную эксплуатацию. Основная рекомендация — двигаться небольшими итерациями, постепенно корректируя результат с учетом сформированного понимания и опыта.

SGRC-платформа создает общую рабочую среду, которая охватывает сотрудников компании, процессы и технологии, позволяющие установить цели по управлению рисками и контролировать их достижение. Для этого создается профиль рисков, каждый нежелательный сценарий (сбои рабочих систем, недоступность сайта из-за внешних факторов, утечка данных в результате ошибки сотрудника и т.д.) привязывается к финансовой оценке ущерба.

Программа управления рисками позволяет выявлять такие угрозы, как уязвимости программного обеспечения, устаревшие технологии, неправильное использование паролей сотрудниками, планировать и принимать меры по предотвращению инцидентов безопасности.

Алексей Филиппов

Методолог по информационной безопасности AKTIV.CONSULTING

Наглядное представление информации в S(GRC) системе позволяет быстрее находить аналитические решения ИБ и смежных ИТ-задач в организации. Например, выделить наиболее критичную группу активов, визуализировать их уязвимости, принять оптимальное решение по срокам устранения (вплоть до переработки отдельных компонент и модулей программного актива) и, соответственно, назначить ответственных из разных подразделений (скажем, ИБ и ИТ) в удобном и понятном визуальном формате, не требующем дополнительных разъяснений для ответственных, при этом разделив зону ответственности каждого.

Compliance (соответствие стандартам)

Последний компонент SGRC — это контроль соблюдения политик, отраслевых стандартов и местного законодательства, внутрикорпоративных правил и положений.

Компания определяет, какие области представляют наибольший риск, и сосредотачивает ресурсы на этих областях. Разработка и внедрение политик безопасности происходит вне рамок SGRC-платформы, после чего автоматизированная система позволяет быстро выявлять случаи нарушений. В результате бизнес получает защиту от финансовых издержек (штрафы регуляторов, компенсации клиентам из-за утечек и прочих инцидентов) и сокращает вероятность, что небольшое нарушение эскалируется до серьезной проблемы.

Функции SGRC-платформ

Большинство SGRC-систем охватывают следующий набор функций:

• Управление контентом и документами — помогает создавать, отслеживать и хранить оцифрованный контент.
• Управление данными о рисках — позволяет измерять, количественно определять и прогнозировать риск, определять шаги по его снижению.
• Управление рабочими процессами — обеспечивает возможность устанавливать, выполнять и контролировать процессы безопасности.
• Управление аудитом безопасности — упорядочивает информацию и упрощает проведение внутренних проверок.
• Аналитика безопасности — центральный интерфейс собирает ключевые показатели эффективности, относящиеся к бизнес-процессам и целям.

Ксения Коляда

Менеджер продукта R-Vision SGRС

SGRC-системы — это своего рода вершина пирамиды, в который выстраиваются другие системы и средства защиты. Они находятся на уровне, наиболее приближенному к бизнесу, и позволяют перевести вопросы безопасности с «технического» языка на язык топ-менеджмента. Таким образом, информация об отсутствии обновлений антивируса на рабочей станции превращается понятный для руководства денежный ущерб, не усложненный лишними деталями.

С точки зрения взаимодействия с другими элементами корпоративной информационной инфраструктуры, SGRC-решения позволяют встроить исторически «погруженный в самого себя» департамент ИБ в общую картину процессов организации.

Андрей Быков

Руководитель группы консалтинга в области защиты данных BI.ZONE

Наибольшую пользу (S)GRC приносит на стыке взаимодействия различных подразделений — например, в рамках процесса управления уязвимостями, в который одновременно вовлечены IT, КБ и бизнес. Типовой сценарий использования системы в этом случае выглядит так. Силами самого (S)GRC проводится инвентаризация IT-активов (или можно получать данные из существующей CMDB), данные об этих активах регулярно обогащаются результатами сканирований на уязвимости. Далее преднастроенная в системе логика совместной работы позволяет специалистам КБ и IT оперативно обрабатывать выявленные уязвимости: ставить друг другу задачи, передавать информацию, повышать/понижать критичность, фиксировать исключения и т. д. В число участников процесса могут быть добавлены представители бизнес-подразделений, например, для согласования технологических окон для установки обновлений. В этом случае использование (S)GRC в первую очередь повышает скорость и удобство, избавляет от пересылки бесконечных таблиц с реестрами уязвимостей, согласований в почте и потерянных задач.

Также одна из функциональностей  SGRC — это автоматизация соответствия требованиям регуляторов, что реализовано в модулях BI.ZONE Compliance Platform и решениях ряда других компаний.

Подведем итоги

SGRC-платформа — это мощное средство управления безопасностью, которое помогает внедрить превентивный подход к контролю рисков. Важно отметить, что эти инструменты предназначены для организаций с высоким уровнем зрелости ИБ. Поэтому прежде чем внедрять SGRC-решение, руководству компании следует правильно выстроить процессы и определить зоны ответственности. В противном случае данные от SGRC-платформы будут неточными, а решения на их основе не приведут к реальному укреплению безопасности.