(343)286-12-03
Новости
Статьи
КУРС на GRC
Дата: 20.04.2017
Автор: Алексей Липатов – директор по развитию ePlat4m, Игорь Жуклинец – советник технического директора ООО «Газинформсервис»

Аннотация. Решение вопросов учета стратегических целей и задач предприятия, управления рисками и соответствием требованиям нормативных правовых актов в области информационной безопасности обеспечивается информационно-аналитическими системами класса Security GRC. В настоящей статье приводится описание истории возникновения концепции GRC, дается определение данной концепции, рассказывается о механизмах платформ GRC и примерах программных продуктов. Кратко анализируются возможности Security GRC, а также опыта применения в России данной концепции при управлении предприятием, в том числе в области информационной безопасности.

Согласно исследованию The Global State of Information Security Survey 2017, проведенному компанией PricewaterhouseCoopers, выявлены следующие основные тенденции в области информационной безопасности на текущий год:

  • Цифровой бизнес переходит на новые технологии и подходы к обеспечению кибербезопасности;
  • Наличие систем киберразведки и обмена информацией о киберугрозах становятся критичным для бизнеса;
  • Организации стали уделять повышенное внимание рискам, связанным с Интернетом вещей;
  • Наблюдается рост геополитических угроз.

Однако прежде чем следовать объявленным тенденциям, задумаемся над тем, а создана ли основа для решения новых задач и анализа влияния новых тенденций на практическую деятельность в области обеспечения кибербезопасности:

  • есть ли понимание целей, задач бизнеса для оценки опасности киберугроз, осознания критичности информационных активов и технологических процессов;
  • обеспечена ли эффективность процессов управления ИБ за счет достижения комплексности, взаимосвязанности, согласованности действий всех участников процессов ИБ на основе единых правил и консолидации информации;
  • автоматизирована ли деятельность ответственных за кибербезопасность по обработке большого потока неструктурированных данных для принятия верных решений по оперативному реагированию на изменяющуюся обстановку;
  • есть ли удобный и практичный механизм оценки рисков ИБ, интегрированный с другими процессами управления ИБ.

Решение такого класса задач обеспечивается информационно-аналитическими системами информационной безопасности класса Security GRC.

Рассмотрим GRC как Концепцию Управления предприятием на основе анализа Рисков в Соответствии с нормативными, правовыми и корпоративными требованиями (КУРС) и как технологию по реализации данной концепции.

Предпосылками к формированию концепции GRC (Governance, Risk, Compliance) стали многочисленные корпоративные скандалы, связанные с мошенничеством конца 90-х – начала 2000-х годов, крах большого количества новых интернет-компаний, которые привели к необходимости разработки и внедрения законодательных актов, позволяющих предотвратить негативные последствия неустойчивости финансового рынка. Такие нормативные документы как Sarbanes-Oxley Act (SOX) от 2002 года, BASEL II и III указывают на необходимость создания системы управления предприятием, обеспечивающей адекватный уровень рисков, независимость аудита и ответственность руководства компании за недостоверность финансовой отчетности. Одним из следствий необходимости выполнения этих правил стало усложнение трех видов управленческой деятельности:

  • Governance (G) – высокоуровневой управленческой деятельности по определению целей предприятия, инициированию их выполнения и контроля их достижения.
  • Risk (R) – деятельности по принятию и выполнению управленческих решений, направленных на снижение вероятности возникновения неблагоприятных событий и минимизацию последствий, связанных с этими событиями.
  • Compliance (C) – деятельности по управлению соответствием требованиям нормативных и правовых документов (это могут быть уже упомянутые акты международного уровня, международные стандарты (ISO), законы отдельного государства (например, № 402-ФЗ «О бухгалтерском учете в Российской Федерации»), государственные стандарты (ГОСТы), корпоративные акты, распространяющиеся на группу компаний, локальные акты предприятия).

Все три вида деятельности связаны между собой, оказывают влияние друг на друга и позволяют в совокупности принимать руководству эффективные управленческие решения:

выбирая цели и планируя деятельность по их достижению, следует заранее продумать возможные риски на пути их реализации, при этом осуществлять деятельность таким образом, чтобы соблюсти внешние и внутренние правила.

GRC как концепция была впервые оформлена в 2004 году в публикации PricewaterhouseCoopers под названием «Новая стратегия успеха благодаря интеграции Governance, Risk and Compliance Management». Наглядное представление этой интеграции изображено на рисунке 1. Новая аббревиатура – GRC – вместе с заложенными в нее идеями быстро проникла во многие сферы бизнеса и информационные технологии.

 Рисунок 1. Эффективная интеграция Governance, Risk and Compliance

Рисунок 1. Эффективная интеграция Governance, Risk and Compliance

С ростом размера предприятия, уровня зрелости процессов управления эффективная работа предприятия становится возможной лишь при скоординированном выполнении всех трех видов деятельности. Причем информация, циркулирующая внутри каждого из вида деятельности, добавляет ценность для двух других деятельностей, используя общие сведения о процессах, продукции, людях и технологиях.

Причинами объединения трех видов деятельности под одним «зонтиком» концепции GRC в информационном аспекте стали:

  • необходимость синхронизации информации при выполнении указанных видов деятельности;
  • эффективный обмен и совместное использование информации;
  • стремление избежать дублирования информации;
  • потребность в комплексном и наглядном представлении информации о деятельности предприятия для анализа и принятия решений.

Информационный аспект интеграции имеет своим следствием разработку технологии обработки, хранения и представления информации. Эта технология реализуется в прикладных информационных системах, использующих концепцию GRC.

В продвижении концепции GRC прослеживается заинтересованное участие производителей ПО.

GRC как технология входит в перечень программных продуктов, по которым проводятся регулярные сравнительные обзоры Gartner Inc. (по методикам Magic Quadrants, Critical Capabilities, Hype Cycle) и Forrester Research (по методике The Forrester Wave).

Согласно графику цикла зрелости технологии (Hype cycle) Gartner (рис. 2) технология Enterprise GRC начав с «Запуска технологии» в 2004 году, миновала «Пик завышенных ожиданий» в 2007– 2008 годах, прошла «Нижнюю точку разочарования» в 2009–2011 годах и после корректировки целей и задач проектов на «Склоне просвещения», осознания преимуществ применения технологии для предприятия, перешла на стабильное «Плато продуктивности» в 2013-2014 годах.

 Рисунок 2. График цикла зрелости технологии (Hype cycle) Gartner

Рисунок 2. График цикла зрелости технологии (Hype cycle) Gartner

Итак, на сегодняшний день GRC представляет собой развитую технологию, вошедшую в стадию «активной продуктивности».

В обзорах GRC до 2013 года проводился анализ двух отдельных продуктов: Enterprise GRC (E GRC) и Information Technology GRC (IT GRC). E GRC рассматривался для автоматизации деятельности по высокоуровневому управлению, управлению рисками и соответствием требованиям для предприятия в целом. Область применения IT GRC ограничивалась автоматизацией деятельности ИТ и ИБ подразделений предприятия.

Наблюдается тенденция в развитии GRC, когда выделяется значительное количество функций, связанных с управлением безопасностью и формируется самостоятельный набор решений, который можно выделить в Security GRC.

Такой подход, основанный на разделении E GRC и IT GRC, вызвал ряд критических замечаний, связанных с размытостью области исследования и несовершенством критериев анализа.

Следствием этого стало переосмысление позиционирования продуктов. В результате критики подходов к анализу GRC из отчетов Gartner и Forrester исчезли и E GRC, и IT GRC. Однако новые объекты исследования стали отличаться. Так в отчетах Gartner продукт GRC исчез, но появились сразу несколько целевых решений GRC для конкретных случаев применения:

  • IT Risk Management (ITRM).
  • Operational risk management (ORM).
  • Audit management.
  • Vendor risk management (VRM).
  • Business continuity management (BCM).
  • Corporate Compliance and Oversight.

Forrester использует другой подход. Признано, что варианты использования GRC чрезвычайно разнообразны, и это разнообразие будет только увеличиваться. Решения в рамках GRC технологии становятся все сложнее. Поэтому объектом анализа выступает собственно GRC платформа вместе с наиболее существенными вариантами ее применения.

В методике Forrester Wave используется 43 показателя, характеризующих функциональные возможности платформы по созданию бизнес-приложений, относящихся к области GRC.

Определив несколько дополнительных наборов весовых коэффициентов, учитывающих важность той либо иной функциональной возможности, получили предпочтения по выбору одного из трех основных направления применения платформы GRC:

  1. Соблюдение корпоративных требований, экологических требований, требований социальной ответственности.
  2. IT GRC и управление рисками, связанными с третьими сторонами.
  3. Финансовый контроль и операционные риски.  

Для цельного представления реализации концепции GRC предлагаем рассмотреть общую архитектуру прикладной информационной системы GRC (рис. 3).

GRC состоит из:

  • платформы;
  • готовых решений;
  • библиотеки контентного наполнения;
  • локализованных и адаптированных приложений, собственных корпоративных решений.

 

Рисунок 3. Архитектура GRC

Рисунок 3. Архитектура GRC

Согласно отчету Forrester «правильная» платформа GRC включает в себя:

  1. Реляционную базу данных, которая хранит и осуществляет контекстное преобразование данных по управленческой деятельности в рамках организации.
  2. Механизм потока работ (workflow), который позволяет выстраивать GRC-процессы.
  3. Механизм управления контентом, который поддерживает единый жизненный цикл неструктурированной информации (контента) GRC различных типов и форматов.
  4. Механизм формирования отчетности, который позволяет представить информацию GRC в удобном для восприятия и анализа виде для лиц, принимающих решения, аудиторов, представителей регуляторов и членов совета директоров.

Данный перечень механизмов является необходимым, но не достаточным для полноценной платформы GRC. Дополним перечень механизмов и инструментов платформы GRC:

  • Механизм управления доступом: включает элементы управления для создания и изменения учетных записей пользователей, настройки ролевого доступа, управления параметрами безопасности, формирования групп учетных записей пользователей и интеграции со службой каталогов предприятия.
  • Механизм генерации уведомлений о событиях системы пользователям.
  • Механизмы анкетирования и тестирования персонала, позволяющие создавать и управлять опросными листами, тестами, применяемыми во многих решениях GRC.
  • Механизм создания пакетов для переноса изменений между средами разработки, тестирования и производства, установления обновлений и передачи в службу поддержки для диагностирования и устранения ошибок.
  • Инструменты разработки собственных приложений и их объединения в отдельные модули (решения).
  • Инструменты по интеграции со смежными системами.

Данный перечень не является исчерпывающим и может быть расширен, например, включением инструментов гибкого поиска информации в системе или оформления пользовательского интерфейса в соответствии с корпоративными требованиями дизайна.

Для разработки решений GRC могут быть использованы различные платформы:

  • Платформы для создания портальных решений, такие как Oracle WebCenter Suite, MS SharePoint, IBM WebSphera.
  • Интеграционно-прикладные платформы, такие как Oracle Fusion Middleware, SAP NetWeaver.
  • Специализированные под задачи GRC платформы, такие как RSA Archer GRC, MetricStream GRC Platform, Rsam GRC Platform, Nasdaq OMX BWise, ePlat4m.

На платформе GRC строятся решения, например, в виде отдельных программных модулей.

Перечень предлагаемых вендорами и собственных разработок настолько велик, что их простое перечисление займет немало места. Можно привести список следующих основных решений:

  • Управление политиками.
  • Управление активами.
  • Управление соответствием требованиям (стандартов, рекомендациям, лучшим практикам, регуляторов).
  • Управление инцидентами (ИТ, безопасности).
  • Управление рисками (информационной безопасности, применения информационных технологий, финансовыми, операционными)
  • Управление уязвимостями.
  • Управление внутренними аудитами.
  • Управление непрерывностью бизнеса.
  • Управление взаимоотношениями с третьими сторонами (клиентами, поставщиками).

Данные решения имеют пересечения с решениями по управлению информационной безопасности, реализуемыми в прикладных информационных системах класса Security GRC. Общий перечень возможных решений по управлению информационной безопасности приводится в таблице ниже.

Наименование решения

Функциональные возможности решения

1

Управление классификацией ИТ-активов

Автоматизирует процессы классификации информационных и физических активов

2

Управление рисками ИБ

Автоматизирует процессы идентификации, анализа, оценки и обработки рисков ИБ

3

Управление инцидентами ИБ

Автоматизирует процессы регистрации, обработки инцидентов ИБ, оповещения о них, хранения статистики и результатов расследования инцидентов

4

Работа с персоналом и третьими сторонами по вопросам ИБ

Автоматизирует процессы доведения организационно-распорядительных документов по ИБ до работников и контрагентов Заказчика, контроль знаний работников Заказчика требований по ИБ

5

Управление соответствием требованиям ИБ

Автоматизирует процессы внутреннего аудита и оценки соответствия системы ИБ Заказчика требованиям по ИБ

6

Управление защитой персональных данных

Автоматизирует процессы защиты ПДн (ведение перечня ПДн и информационных систем персональных данных, формирование описания процессов обработки ПДн, работа с обращениями субъектов ПДн, формирование частной модели угроз и модели нарушителя и др.)

7

Операционная деятельность подразделения ИБ

Автоматизирует процессы операционной деятельности подразделения ИБ

8

Мониторинг эффективности процессов ИБ

Автоматизирует процессы оценки результативности и эффективности процессов обеспечения и управления ИБ

9

Управление документацией по ИБ

Автоматизирует процессы хранения, согласования, определения актуальности документации системы ИБ Заказчика

10

Управление проектами по созданию и сопровождению подсистем ИБ

Автоматизирует процессы управления ресурсами, временем, качеством и рисками проектов по созданию и сопровождению подсистем ИБ

11

Управление аудитами ИБ

Автоматизирует процессы планирования аудитов ИБ, определения перечня проверяемых требований, учета выявленных замечаний и автоматического контроля их устранения

12

Оценка зрелости организации в области ИБ

Автоматизирует процессы оценки зрелости системы ИБ Заказчика

13

Управление уязвимостями

Автоматизирует процессы централизованного учета всех выявленных уязвимостей, оповещения о них, планирование и контроль за устранением уязвимостей

14

Управление защитой информации в критической информационной инфраструктуре

Автоматизирует процессы защиты информации в АСУ ТП / КИИ (формирование требований по ИБ АСУ ТП / КСИИ, формирование частной модели угроз и др.)

15

Управление непрерывностью бизнеса в части ИБ

Автоматизирует процессы поддержания или быстрого восстановления деятельности организации в случае наступления чрезвычайных ситуаций в части ИБ

16

Геоинформационная подсистема

Отображает на карте расположение средств защиты информации с указанием их статусов

17

Управление носителями информации в части ИБ

Автоматизирует процессы контроля работы с носителями информации и ведения их учета

Многие приложения используются сразу несколькими решениями (модулями). Например, приложение, связанное с инвентаризацией информационных активов, может использоваться в модулях управления активами, управления рисками, управления инцидентами.

Применение программных модулей GRC включает информационное наполнение специфическими сведениями, относящихся к управленческой деятельности конкретного предприятия, а также общими сведениями нормативного, справочного характера.

Общие сведения нормативного, справочного характера включаются в библиотеку контентного наполнения.

Такая библиотека Security GRC может содержать:

  • шаблоны корпоративных политик ИБ,
  • шаблоны корпоративных стандартов ИБ,
  • шаблоны процедур и настраиваемых параметров ИБ,
  • международные, национальные, отраслевые нормативные и правовые документы в области ИБ,
  • опросные листы (анкеты) для оценки критичности ИТ-активов и др.

Применение решений и библиотеки системы GRC требует их локализации и адаптации под специфические особенности предприятия, индивидуальные требования пользователей путем настройки интерфейсов, изменения функциональности и разработки новых приложений, дополняющих готовые решения. Если предприятие опирается на принятую систему отраслевых или корпоративных стандартов и методик их применения, то необходима разработка собственных корпоративных решений.

В контексте построения корпоративной информационной системы предприятия система GRC относится к верхнему уровню управления бизнес-процессами предприятия, и интегрируется, пересекаясь по функциональности, с такими прикладными системами, как система бизнес-анализа (Business Intelligence), система управления корпоративными информационными ресурсами (Enterprise Content Management), система планирования ресурсов предприятия (Enterprise Resource Planning), поглощает системы управления операционными рисками (Operational Risk Management) и рисками применения ИТ-технологий (IT Risk Management). Система GRC может предоставлять единое справочное пространство по организационно-штатной структуре, активам, бизнес-процессам, рискам и требованиям, получая данные от систем управления персоналом, систем мониторинга и контроля ИТ-активов и др.

Не вдаваясь в детали интеграции, дадим представление о соотношении с перечисленными прикладными системами в виде диаграммы Эйлера (рис. 4).

 

Рисунок 4. Отношения между прикладными системами предприятия Рисунок 4. Отношения между прикладными системами предприятия

По данным исследования Markets and Markets Inc., объем рынка GRC (ПО и предоставление услуг) возрастет от 15,98 млрд долл. в 2015 году до 31,77 млрд долл. в 2020 году, а среднегодовой темп роста рынка в сложных процентах составит 14,7 % за рассматриваемый период.

В заключение попытаемся ответить на вопрос, какие имеются основания придерживаться данного КУРСа в отечественной практике управления предприятием?

Открытой информации о применении GRC в российских организациях, предприятиях и корпорациях не так много. Есть сведения о внедрении данной системы у каждого из большой тройки операторов сотовой связи, в ведущих продуктовых розничных компаниях, в нескольких известных банках и предприятиях топливно-энергетического комплекса. Количество внедрений систем класса Security GRC является достаточно значительным с восходящим трендом и измеряется десятками инсталляций. К основным игрокам российского рынка Security GRC относятся четыре вендора: ГК «Интеллектуальная безопасность» с продуктом Security Vision, ООО «КИТ» с продуктом ePlat4m Security GRC, ООО «НПО ВС» с продуктом КСУИБ, а также ООО «Р-Вижн» с продуктом R-Vision SGRC. Между тем, каждое работающее предприятие в том или ином виде реализует концепцию и технологию GRC независимо от того, используется ли им данная аббревиатура или нет. Все применяют некоторый подход к стратегическому управлению для достижения целей, управляют рисками в условиях неопределенности и стремятся соблюдать требования государственного регулирования. Деятельность по этим направлениям может быть разрозненной, малосвязанной или она будет комплексной, основанной на сотрудничестве и прозрачности результатов. Руководству предприятия не обязательно задаваться вопросом именно в такой форме: следует ли нам внедрять GRC? Однако задуматься, как может быть улучшена управленческая деятельность, достигло ли предприятие определенного уровня зрелости, чтобы вместо разрозненных решений использовать единую интегрированную платформу GRC, безусловно, следует.

Источник: информационно-методический журнал «INSIDE. Защита информации» (№2 (74) 2017 март-апрель)