Блог

Что такое GRC и чем это может быть полезно для информационной безопасности?

Автор: Евгений Безгодов

На рынке информационных систем имеется множество корпоративных решений класса GRC. В то же время, многими экспертами Governance, Risk management and Compliance рассматривается как способ управления информационными технологиями или информационной безопасностью. Чем же на самом деле является GRC и почему эта тема становится всё более популярной?

GRC это взгляд на управление чем-либо с трёх точек зрения: высшего руководства (Governance), управления рисками (Risk management) и соответствия требованиям (Compliance). Любую деятельность можно разложить по этим трём составляющим.

Действительно, сначала компании определяют цели, которых собираются достичь. Затем инициируют некую деятельность для их достижения. Пока деятельность выполняется, они хотят её контролировать, получая своевременную, объективную и достоверную информацию о ходе выполнения. Это и есть функции высшего руководства (Governance) — указание целей и контроль их достижения.

Затем компании продумывают риски, которые могут встретиться на пути к поставленной цели. Для этого они выясняют, какие препятствия могут стать причиной нарушения сроков или сделать цель недостижимой, а также, что компания рискует потерять на пути к цели. Выявленные риски обрабатываются, и в дальнейшем эта процедура периодически повторяется. Это функция управления рисками (Risk management), которая, к сожалению, во многих российских компаниях носит пока недостаточно системный характер.

Кроме того, планируя и исполняя свою деятельность, компании заботятся о соблюдении множества внешних и внутренних и правил. На них оказывают влияние законы, отраслевые стандарты и договорные обязательства. Кроме того, в компаниях имеются собственные нормативные документы, учитывающие их опыт и описывающие требования к выполняемым бизнес-процессам. Исполнение всех этих требований является функцией управления соответствием (Compliance).

Именно такой взгляд на управление реализуется в ИТ-системах класса GRC. Большинство из таких систем представляют собой решения для сбора и анализа информации о ходе выполнения деятельности со всех подразделений компании. Информация о прогнозируемых рисках и исполнении требований применимых законов, стандартов и внутренних нормативных документов предоставляется ТОП-менеджерам в виде наглядных отчетов, демонстрирующих проблемные места. Линейным менеджерам эти системы предоставляют детальную информацию, необходимую для идентификации и обработки рисков и несоответствий.

Концепция GRC крайне актуальна сегодня для области информационной безопасности.

Управление соответствием требованиям законодательства в области персональных данных, стандарта Банка России СТО БР ИББС и международного стандарта безопасности данных индустрии платёжных карт PCI DSS, согласно многим исследованиям, является в 2010 — 2011 годах основным драйвером российского рынка информационной безопасности.

Тема управления рисками хорошо знакома большинству специалистов по информационной безопасности. Согласно таким стандартам, как ISO 27001 и СТО БР ИББС, именно на анализе рисков строится управление информационной безопасностью. Однако, практика показывает, что процессы управления информационными рисками внедрены далеко не во многих российских компаниях. Это зачастую приводит к нехватке бюджетов на необходимую защиту, перерасходу на решение неактуальных задач и потерям, связанным с происходящими инцидентами.

Нехватка участия высшего руководства в вопросах обеспечения информационной безопасности компаний является одной из ключевых проблем на сегодняшний день. Среди её причин можно назвать и сложность самой предметной области, требующей наличия глубоких специальных знаний, и недооценку существующих информационных рисков. Тем не менее, функция Governance — указание целей и контроль их достижения со стороны высшего руководства — крайне необходима для эффективного обеспечения информационной безопасности.

Внедрение в компании концепции GRC и поддерживающих её ИТ-решений это прекрасная возможность для того, чтобы вывести управление информационной безопасностью на качественно новый уровень. Основа GRC это доведение до сведения высшего руководства информации о рисках и исполнении требований, а информационная безопасность как раз и занимается снижением информационных рисков и исполнением требований отраслевых стандартов. Таким образом, система класса GRC, при успешном внедрении, может оказаться инструментом прямого общения ТОП-менеджмента с подразделением информационной безопасности, повысить статус этого подразделения и обеспечить лучшее взаимопонимание.

Немалую пользу из концепции GRC можно извлечь и без столь масштабных внедрений. Так, например, некоторые компании на рынке информационной безопасности уже используют её для классификации предлагаемых решений по трём направлениям: управление процессами информационной безопасности (G), управление рисками ® и управление соответствием ©. Такую же классификацию можно использовать, например, для построения корпоративных отчетов о работе подразделения по обеспечению информационной безопасности.

Стоит также отметить и пользу информационной безопасности для GRC. Ведь именно она обеспечивает целостность и доступность информации, необходимой для высшего руководства, т. е. принимает немалое участие в реализации функции G (Governance).

0

Добавить комментарий