Что такое SGRC? Основные понятия и применение

Что такое SGRC? Основные понятия и применение

Руслан Рахметов, Security Vision

Уважаемые читатели, в предыдущих статьях мы узнали об основных концепциях информационной безопасности, Центрах SOC, системах SIEM и IRP, а также о защите КИИ. В данной статье мы поговорим про системы SGRC, которые могут интегрироваться как с IRP-платформами, так и с SIEM-системами, а также активно применяются в Центрах SOC. Сегодня мы узнаем, что такое SGRC, как применять и настраивать системы SGRC. Начнем!

Итак, термин SGRC является аббревиатурой от Security Governance, Risk Management and Compliance или, в переводе, Управления безопасностью, рисками и соответствием законодательству. То есть, фактически, SGRC - это система для автоматизации построения комплексной системы управления информационной безопасностью (СУИБ). Системы SGRC включают в себя три основных подхода к построению СУИБ:

  • Governance, т.е. управление информационной безопасностью на уровне руководства компании, которое с помощью систем класса SGRC получает возможность принимать информированные и экономически обоснованные решения на основе данных о состоянии системы управления информационной безопасностью;

  • Risk Management, т.е. риск-ориентированный подход к обеспечению информационной безопасности, при котором принимаемые меры защиты обоснованы и рассчитаны для наиболее эффективной минимизации рисков ИБ;

  • Compliance, т.е. обеспечение соответствия законодательству, обязательным государственным и корпоративным стандартам и политикам, несоответствие которым может привести к штрафам, ущербу репутации, непредвиденным затратам.

Системы SGRC – это системы автоматизации построения СУИБ, и сфокусированы они в первую очередь на процессах информационной безопасности и частично ИТ-процессах. Функционал SGRC-систем включает в себя:
  • управление ИТ-активами;

  • управление рисками ИБ;

  • документальную обработку инцидентов ИБ (поддержку расследования инцидентов ИБ, протоколирование, накопление базы знаний);

  • соответствие нормативным требованиям информационной безопасности - законодательным, отраслевым, корпоративным;

  • поддержку проведения внутренних аудитов ИБ и самооценок;

  • управление процессами обеспечения непрерывности бизнеса и восстановления работоспособности;

  • построение отчетности и дашбордов с функционалом drill-down (возможность «проваливаться» вглубь предоставляемой информации для получения детальных сведений по элементам отчета).

Кроме систем SGRC, которые ориентированы на управление и обеспечение информационной безопасности, существуют неспециализированные системы GRC (Governance, Risk Management and Compliance), которые могут быть сфокусированы на управлении финансами, ИТ, бизнес-рисками. Функционал таких GRC-систем общего назначения включает в себя:

  • управление политиками, аудитами и рисками;

  • автоматизацию соответствия законодательству;

  • управление документами и версиями;

  • управление взаимоотношениями с поставщиками и контрагентами;

  • контроль доступа и полномочий;

  • мониторинг бизнес-процессов;

  • построение отчетности и диаграмм/графиков/дашбордов.

Итак, какие бывают системы SGRC? Решения класса SGRC могут быть «коробочными», которые создаются для выполнения строго определенного набора задач, например, аудита выполнения требований законодательства о защите персональных данных или о безопасности КИИ. Кроме таких узкоспециализированных решений, существуют и платформенные (проектные) решения-конструкторы, которые оснащаются функционалом гибкой настройки к требованиям и инфраструктуре пользователей-заказчиков, что подразумевает более длительный процесс внедрения и более высокую стоимость продукта. Однако, приобретя такую систему, заказчик далее может донастраивать её для соответствия непрерывно меняющимся нормам законодательства и корпоративным регламентам, которые обычно также регулярно обновляются. Сравнение систем SGRC позволяет потенциальному покупателю выбрать наиболее оптимальный для себя вариант. Например, наше решение Security Vision SGRC обладает как функционалом конструктора для максимально гибкого соответствия требованиям заказчиков, так и встроенными «коробочными» функциями, которые помогут начать работать с продуктом и получать business value сразу после закупки.

Что представляют из себя платформы SGRC и как функционируют SGRC-системы? SGRC-решение является точкой сбора информации о различных процессах, имеющих отношение к информационной безопасности, законодательству и ИТ-инфраструктуре в компании. Данные поступают как из различных информационных систем (например, систем управления ИТ-активами или ERP-систем), так и вводятся непосредственно ответственными за тот или иной процесс сотрудниками (например, при заполнении отчетов о проведении аудитов). Разумеется, чем больше процессов удастся автоматизировать, тем меньше будут временные и трудозатраты работников, а также уменьшится влияние человеческого фактора. Следует учесть, что чем шире будет покрытие автоматизированными средствами сбора данных для SGRC-системы, тем более точные данные будут выводиться в отчетах, и, соответственно, вернее будут решения, принимаемые руководителями на основе анализа этой информации. Таким образом, следует охватить максимальное количество ИТ-систем, которые могут предоставлять в SGRC информацию, ценную с точки зрения выстраивания системы управления информационной безопасностью.

Польза SGRC-систем заключается в следующем: все основные компоненты функционала SGRC-решений (управление ИБ, риск-менеджмент, комплайенс) тесно связаны друг с другом, что позволяет им взаимно обогащать друг друга, образуя своеобразную синергию, которая усиливается при повышении доли автоматизированных операций в системах. Применение SGRC-систем позволяет агрегировать различные источники данных в едином информационном пространстве, что обеспечивает Situational Awareness руководству компании для принятия выверенных управленческих решений как при управлении информационной безопасностью, так и при решении задач бизнеса. Метрики ИБ, визуализированные на основании автоматически собираемых сведений, помогают увидеть в одной консоли состояние информационной безопасности компании, её соответствие законодательным нормам, выполнение сотрудниками ИБ внутренних KPI.

Рассмотрим SGRC-систему на примере нашего продукта Security Vision Security Governance, Risk Management and Compliance, предназначенного для автоматизации построения комплексной системы управления информационной безопасностью в организации с оцифрованными данными, позволяющими принимать управленческие решения оперативно, основываясь на объективных данных, консолидированных из множества систем. Программный продукт автоматизирует такие процессы, как управление рисками, управление аудитами, управление соответствием (СТО БР ИББС, PCI-DSS, ISO 27ххх, ФЗ-152 и др.), управление документами и стандартами ИБ и управление уязвимостями. Решение Security Vision SGRC представлено как в «коробочном», так и в проектном вариантах. При этом решение из коробки в разы увеличивает скорость и простоту внедрения, а предустановленные шаблоны позволяют быстро развернуть систему и адаптировать ее под требования компании-заказчика без дополнительных трудозатрат. «Коробочное» решение включает в себя модули управления ИТ-активами и инцидентами ИБ, конструктор рабочих процессов, отчетов и дашбордов, коннекторы к источникам данных, модули управления уязвимостями, рисками ИБ и соответствием нормативным требованиям, а также модули базы знаний, аудитов и документов ИБ. Проектное же решение гибко адаптируется к требованиям заказчиков, с возможностью подключения дополнительных программных модулей, таких как конструктор процесса реагирования и коннекторы реагирования, модуль управления соответствием требованиям по защите персональных данных и безопасности КИИ, модули взаимодействия с ФинЦЕРТ и НКЦКИ (система ГосСОПКА).

Security Vision SGRC позволяет:

  • создать единый центр стратегического управления процессами ИБ;

  • автоматизировать деятельность по управлению рисками ИБ, реагированию на инциденты, контролю соответствия законодательным требованиям, требованиям отраслевых стандартов и договорных обязательств;

  • снизить трудозатраты на процесс контроля за соответствием, а также на подготовительные мероприятия к аудитам;

  • повысить полноту и глубину автоматических проверок применения требований стандарта к компонентам, входящим в область аудита;

  • контролировать достижение целей информационной безопасности;

  • оптимизировать деятельность отдела информационной безопасности за счет автоматизации основных процессов ИБ;

  • контролировать эффективность функционирования системы ИБ в организации за счет визуализации и системы отчетности;

  • автоматизировать контроль и выполнение требований регуляторов.

Ноу-хау, заметно отличающее продукт Security Vision SGRC от конкурентов - это разработанная и применяемая технология auto-SGRC, позволяющая обеспечивать автоматический контроль соответствия требованиям ИБ. В большинстве других продуктов контроль соответствия статичен и основан на чек-листах, заполняемых в системе. Auto-SGRC - технология, базирующаяся на IRP механизмах, позволяющих за счет двусторонней связи с ИТ/ИБ системами вести диалог и контролировать состояние ИБ автоматизированно. Это не только эффективно, но и удобно, поскольку рутинные операции, связанные с контролем соответствия, роботизируются.

Как видим, применение SGRC-платформ помогает выстроить работающую систему управления информационной безопасностью с четкими, отлаженными процессами ИБ, которые можно количественно измерить и представить в виде метрик ИБ, а затем вывести агрегированные данные в визуально понятной форме для принятия эффективных управленческих решений. Внедрение систем SGRC может занять длительное время, если мы говорим о проектном варианте, когда все процессы, обрабатываемые в SGRC-системе, являются уникальными для компании-заказчика, и поэтому требуются настройка и «тюнинг». Применение же коробочного решения не требует столь длительной процедуры внедрения и поможет решить конкретные, часто встречающиеся задачи в области обеспечения информационной безопасности.

Интересные публикации