Блог

Концепция GRC

Автор: Евгений Безгодов

Аббревиатура GRC сложена из первых букв английских слов Governance, Risc, Compliance, перевод которых на русский язык в рамках описываемой предметной области не настолько прост, насколько это может показаться с первого взгляда. Этим термином западные эксперты обозначают новую парадигму обеспечения информационной безопасности, состоящую из трех основных направлений деятельности, цель которых — решение трех вышеописанных задач, стоящих перед современным руководителем службы информационной безопасности (CISO).

Governance — стратегическое управление информационной безопасностью на высшем уровне. Это понятие несет в себе вполне определенный практический смысл, а именно — вывод вопросов, касающихся защиты информационных активов на высший уровень управления компанией. Это понятие не следует путать с термином Management, не смотря на то, что оба они переводятся на русский язык как «управление». Если Management — это повседневная деятельность CISO, то Governance — это представление ситуации вокруг обеспечения информационной безопасности с точки зрения топ-менеджмента. В целом данное направление обеспечивает рассмотрение процесса защиты информации как бизнес-потребности компании.

Risk — рассмотрение любой деятельности по защите информационных активов с точки зрения управления рисками организации. Что характерно, такой подход чаще отвечает не на вопрос «что надо делать», а на вопрос «что надо прекратить делать», а также «что надо прекратить делать немедленно». Высвобожденные вследствие этого ресурсы направляются на снижение тех рисков, которые действительно являются неприемлемыми для деятельности организации.

Compliance — управление соответствием. В общем случае в рамках этого направления снижается риск невыполнения организацией каких-либо внешних требований в области информационной безопасности — законодательства, договорных обязательств, международных и национальных стандартов. С этой точки зрения данное направление является подзадачей деятельности по управлению рисками, однако оно выведено в отдельное направление в виде третьей буквы аббревиатуры GRC ввиду сложности и объема работы, а также специфичности снижаемого риска.

0

Добавить комментарий