ИТ-системы класса GRC помогают в решении трех глобальных задач, стоящих не только перед руководителем службы информационной безопасности, но и перед топ-менеджментом организации в целом.
Первая задача - управление процессами обеспечения информационной безопасности как одной из важных стратегических бизнес-потребностей организации (Governance). Вторая задача – защита информационных активов с точки зрения риск-ориентированного подхода (Risk). И, наконец, третья задача – это управление соответствием требованиям: отраслевых регуляторов, внутренних и внешних стандартов, лучших практик в области информационной безопасности (Compliance).
Стоит отметить, что в профессиональном сообществе не существует унифицированной точки зрения на концепцию GRC. К примеру, аналитическая компания Gartner характеризует её как «очень гибкую». Нет единства мнений относительно термина SGRC и среди российских экспертов. SGRC адаптируется под локальные требования, нормы и стандарты, а также под индивидуальные потребности и особенности бизнес-процессов Заказчика, а это вносит корректировки в подходы и методы автоматизации.
На рынке присутствует широкий спектр систем класса SGRC, начиная продуктами, предназначенными для решения узких задач с фокусом на Compliance и заканчивая развитыми саморегулирующимися и адаптивными системами информационной безопасности. Именно такой является Security Vision SGRC. Продукт позволяет:
- создать единый центр стратегического управления процессами ИБ;
- автоматизировать деятельность по управлению рисками ИБ, реагированию на инциденты, контролю соответствия законодательным требованиям, требованиям отраслевых стандартов и договорных обязательств;
- снизить трудозатраты на процесс контроля за соответствием, а также на подготовительные мероприятия к аудитам;
- повысить полноту и глубину автоматических проверок применения требований стандарта к компонентам, входящим в область аудита;
- контролировать достижение целей информационной безопасности;
- оптимизировать деятельность отдела информационной безопасности за счет автоматизации основных процессов ИБ;
- контролировать эффективность функционирования системы ИБ в организации за счет визуализации и системы отчетности;
- автоматизировать контроль и выполнение требований регуляторов