Что такое SGRC (Security Governance, Risk Management, Compliance)?

Система управления информационной безопасностью, риск-менеджментом и комплаенсом (Security Governance, Risk Management, Compliance), или, коротко, SGRC – достаточно молодой класс решений.

Он является ответвлением более общего класса GRC, причем сформировался, в первую очередь, в России.

Это обусловлено большим количеством законодательных требований по информационной безопасности, которые постоянно развиваются и одновременной нехваткой специалистов в отрасли.

Определение и практическое применение SGRC

Cледует отметить, что сама по себе автоматизация не будет работать, если в организации не выстроены процессы, например, учета активов.

Поэтому, ряд экспертов утверждает, что SGRC – это не просто система автоматизации, а бизнес-модель управления.

Управление информационными активами

В информационной безопасности и управлении рисками ключевую роль играет управление информационными активами.

С точки зрения законодательства РФ это:

• Объекты критической информационной инфраструктуры (187-ФЗ)
• Информационные системы персональных данных (152-ФЗ)

Их учет и классификация (категорирование КИИ, определение уровня защищенности ИСПДн) – одна из краеугольных задач SGRC.

Тем самым, осуществляется не только работа с ИБ и рисками, но и исполнение требований законодательства.

Разумеется, все современные SGRC в нашей стране имеют такой функционал, однако, в разной степени удобный. Одни системы дают документы «под ключ», другие – предоставляют шаблоны.

Учет активов

Следующий аспект функционирования SGRC – учет активов в широком смысле, как рабочих станций и серверов, так и программного обеспечения для них.

Инвентаризация может быть в ручном виде или автоматизированном, однако, должна быть обеспечена связь с информационными системами, которые мы описывали выше.

Примером законодательного требования по ведению такого учета является методичка Банка России 18-МР.

Следуя ей, необходимо указывать всё программное обеспечение, используемое в рамках реализации критических процессов, например, переводов денежных средств.

Подобные требования реализуют совсем небольшое количество SGRC, однако, есть куда развиваться.

Разграничение прав доступа и управление задачами

Поскольку SGRC подразумевает многопользовательский режим, она должна иметь:

1. Разграничение прав доступа
2. Журналирование действий пользователей
3. Систему постановки задач и планирования деятельности

Таким функционалом обладают не только SGRC-системы, а, например, CRM и иные сервисы, реализующие принципы Kanban.

Данные возможности не влияют непосредственно на информационную безопасность или риск-менеджмент, однако позволяют оптимизировать время сотрудников, и, в ряде случаев, подтвердить их загруженность для руководства или проверяющих регуляторов.

Все SGRC реализуют данный функционал в той или иной мере, а вот подсказки и шаблоны действий для, например, защиты значимых объектов КИИ по 239 Приказу ФСТЭК, встречаются совсем нечасто.

Комплаенс и бюрократические задачи

Последняя буква в аббревиатуре – C, может относиться к чисто бюрократическим задачам, не влияющим непосредственно на безопасность и риски.

Примером такой задачи является учет криптографии по приказу ФАПСИ №152.

Данным функционалом могут похвастаться небольшое количество систем, в ряде случаев лицензиаты ФСБ для учета используют самописное программное обеспечение или узкоспециализированный софт.

Управление инцидентами

Учет и управление инцидентами – один из важных аспектов работы сотрудников ИБ.

Малая часть того, что должна давать SGRC:

• Связь с информационными активами
• Назначение задач членам комиссии
• Хранение артефактов

Данные функции характерны для отдельного класса решений – SOAR (Security Orchestration, Automation, and Response — организация системы безопасности, автоматизация и реагирование) и IRP (Incident Response Platform — платформа реагирования на инциденты).

Однако, только SGRC-системы направлены на комплексный подход, не вдаваясь в технические детали.

В отечественных решениях данный функционал представлен по-разному: где-то в зрелом виде, где-то в виде альфа-версий, а в отдельных случаях не присутствует вообще.

Обучение и повышение осведомленности

Автоматизация повышения осведомленности пользователей компаний, использующих SGRC, крайне актуальна в условиях часто меняющегося набора киберугроз.

Функционал обычных платформ для обучения и даже проверки знаний зачастую избыточен, а вот возможность добавлять свои материалы и использовать экспертные наработки крайне важна. И эти возможности есть лишь у единиц решений в стране.

Функции SGRC-систем

Таким образом, SGRC – не строгий набор функций, а комбайн по автоматизации рутинной деятельности сотрудника ИБ, который может иметь различные реализации.

Схематично функции можно представить следующим образом: