Что такое SGRC (Security Governance, Risk Management, Compliance)?
Автор статьи:
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направленияСистема управления информационной безопасностью, риск-менеджментом и комплаенсом (Security Governance, Risk Management, Compliance), или, коротко, SGRC – достаточно молодой класс решений.
Он является ответвлением более общего класса GRC, причем сформировался, в первую очередь, в России.
Это обусловлено большим количеством законодательных требований по информационной безопасности, которые постоянно развиваются и одновременной нехваткой специалистов в отрасли.
Определение и практическое применение SGRC
Cледует отметить, что сама по себе автоматизация не будет работать, если в организации не выстроены процессы, например, учета активов.
Поэтому, ряд экспертов утверждает, что SGRC – это не просто система автоматизации, а бизнес-модель управления.
Управление информационными активами
В информационной безопасности и управлении рисками ключевую роль играет управление информационными активами.
С точки зрения законодательства РФ это:
- Объекты критической информационной инфраструктуры (187-ФЗ)
- Информационные системы персональных данных (152-ФЗ)
Их учет и классификация (категорирование КИИ, определение уровня защищенности ИСПДн) – одна из краеугольных задач SGRC.
Тем самым, осуществляется не только работа с ИБ и рисками, но и исполнение требований законодательства.
Разумеется, все современные SGRC в нашей стране имеют такой функционал, однако, в разной степени удобный. Одни системы дают документы «под ключ», другие – предоставляют шаблоны.
Учет активов
Следующий аспект функционирования SGRC – учет активов в широком смысле, как рабочих станций и серверов, так и программного обеспечения для них.
Инвентаризация может быть в ручном виде или автоматизированном, однако, должна быть обеспечена связь с информационными системами, которые мы описывали выше.
Примером законодательного требования по ведению такого учета является методичка Банка России 18-МР.
Следуя ей, необходимо указывать всё программное обеспечение, используемое в рамках реализации критических процессов, например, переводов денежных средств.
Подобные требования реализуют совсем небольшое количество SGRC, однако, есть куда развиваться.
Разграничение прав доступа и управление задачами
Поскольку SGRC подразумевает многопользовательский режим, она должна иметь:
- Разграничение прав доступа
- Журналирование действий пользователей
- Систему постановки задач и планирования деятельности
Таким функционалом обладают не только SGRC-системы, а, например, CRM и иные сервисы, реализующие принципы Kanban.
Данные возможности не влияют непосредственно на информационную безопасность или риск-менеджмент, однако позволяют оптимизировать время сотрудников, и, в ряде случаев, подтвердить их загруженность для руководства или проверяющих регуляторов.
Все SGRC реализуют данный функционал в той или иной мере, а вот подсказки и шаблоны действий для, например, защиты значимых объектов КИИ по 239 Приказу ФСТЭК, встречаются совсем нечасто.
Комплаенс и бюрократические задачи
Последняя буква в аббревиатуре – C, может относиться к чисто бюрократическим задачам, не влияющим непосредственно на безопасность и риски.
Примером такой задачи является учет криптографии по приказу ФАПСИ №152.
Данным функционалом могут похвастаться небольшое количество систем, в ряде случаев лицензиаты ФСБ для учета используют самописное программное обеспечение или узкоспециализированный софт.
Управление инцидентами
Учет и управление инцидентами – один из важных аспектов работы сотрудников ИБ.
Малая часть того, что должна давать SGRC:
- Связь с информационными активами
- Назначение задач членам комиссии
- Хранение артефактов
Данные функции характерны для отдельного класса решений – SOAR (Security Orchestration, Automation, and Response — организация системы безопасности, автоматизация и реагирование) и IRP (Incident Response Platform — платформа реагирования на инциденты).
Однако, только SGRC-системы направлены на комплексный подход, не вдаваясь в технические детали.
В отечественных решениях данный функционал представлен по-разному: где-то в зрелом виде, где-то в виде альфа-версий, а в отдельных случаях не присутствует вообще.
Обучение и повышение осведомленности
Автоматизация повышения осведомленности пользователей компаний, использующих SGRC, крайне актуальна в условиях часто меняющегося набора киберугроз.
Функционал обычных платформ для обучения и даже проверки знаний зачастую избыточен, а вот возможность добавлять свои материалы и использовать экспертные наработки крайне важна. И эти возможности есть лишь у единиц решений в стране.
Функции SGRC-систем
Таким образом, SGRC – не строгий набор функций, а комбайн по автоматизации рутинной деятельности сотрудника ИБ, который может иметь различные реализации.
Схематично функции можно представить следующим образом:
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram