Подписаться
Читать в телеграм
Воспоминание о былых страданиях, когда находишься в безопасности, доставляет удовольствие.
МАРК ТУЛИЙ ЦИЦЕРОН
Но если размышлять логически, легко можно прийти к выводу, что соответствие требованиям является необходимым условием ведения бизнеса. В нашем случае мы говорим о требованиях информационной безопасности. И тогда встает вопрос – выполнение чьих именно требований по ИБ необходимо?
Правильный ответ – всех заинтересованных сторон. Но их может быть огромное количество для любой компании, причем у каждой стороны – свои. Как быть в такой ситуации? Действительно задыхаться под их тяжестью без надежды на появление «лавинного патруля, который найдет и откопает нас»?
Шанс на спасение все-таки есть. Несмотря на то что требования, как кажется, являются разными и мало где пересекаются, это не совсем так. Если провести более подробный анализ, становится ясно, что так или иначе выполнение требований подталкивает нас к созданию полноценной системы управления и обеспечения ИБ. И это, на самом деле, хорошая новость.
Решение есть…
О решениях класса GRC уже достаточно давно говорят на рынке ИБ. Но однозначной трактовки, что это за системы и для каких конкретно задач стоит их применять в условиях нашего рынка, пока нет. Многие из них изначально создавались в связи с необходимостью выполнения закона Sarbanes-Oxley Act (SOX) компаниями, зарегистрированными Комиссией по ценным бумагам и биржам США. Однако в условиях текущих потребностей рынка они либо были доработаны, либо уже изначально были достаточно гибкими, чтобы решать более широкий круг задач.
Если посмотреть на название – GRC, можно сразу понять, на каких трех главных аспектах сосредотачиваются эти решения:
- G – Governance – управление на уровне высшего руководства;
- R – Risk – управление рисками;
- С – Compliance – управление соответствием требованиям: внутренним и внешним.
Очевидно, что деятельность по ИБ можно разложить по этим трем полочкам. В любой компании есть три уровня управления: стратегический, тактический и операционный. На каждом из них решаются свои задачи. С точки зрения информационной безопасности распределение этих задач по уровням может выглядеть следующим образом:
Стратегический уровень – высокоуровневое управление информационной безопасностью. На нем осуществляются постановка стратегических целей по ИБ и контроль их достижения, количественная и качественная оценка ожиданий от внедрения мер по ИБ с точки зрения как повышения уровня информационной безопасности, так и эффективности расходования средств. Сюда же относится планирование развития системы обеспечения ИБ в краткосрочной и долгосрочной перспективах.
Тактический уровень – управление информационной безопасностью. На нем осуществляют свою работу процессы, призванные обеспечить обработку неприемлемых рисков ИБ, повысить эффективность ее обеспечения, а также снизить общий уровень «бюрократии» при сохранении необходимого объема свидетельств работы процессов. Кроме того, на нем происходят агрегация данных о работе процессов оперативного уровня, контроль выполнения нормативных и корпоративных требований и непрерывное совершенствование ИБ. По сути, на этом уровне происходит work-flow управления ИБ.
ВЫГОДЫ ОТ ВНЕДРЕНИЯ GRC
Можно сделать выводы о том, какие выгоды сулит внедрение GRC-решения, а именно:
- создание полноценной системы управления информационной безопасностью;
- обеспечение двунаправленной взаимосвязи между уровнями управления ИБ: стратегическим, тактическим и операционным;
- автоматизация процесса управления соответствием;
- привязка любых внешних или внутренних требований к их конкретной реализации в компании;
- упрощение аналитики о степени соответствия вновь появляющимся требованиям по ИБ;
- обеспечение work-flow процессов управления ИБ вплоть до контроля реализации мер по совершенствованию мероприятий по информационной безопасности;
- формирование различных отчетов по работе ИБ для заинтересованных сторон, в том числе для высшего руководства;
- существенное сокращение внутренних трудозатрат на поддержание соответствия внешним или внутренним требованиям.
Операционный уровень – обеспечение информационной безопасности. На нем осуществляется работа процессов и подсистем обеспечения ИБ.
Исходя из этого становится понятно, что решение класса GRC – хороший помощник в организации тактического и стратегического уровней управления ИБ, а также в установлении их взаимосвязи с уровнем операционным. Действительно, если рассмотреть типичный функционал таких систем, мы увидим, что нам предлагается следующее:
- организация процесса управления рисками;
- интеграция текущих и будущих требований, которым должны соответствовать бизнес-процессы (требования законодательства, стандарты, в том числе корпоративные, и т.д.) и организация автоматизированного процесса по управлению соответствием;
- создание эффективной системы внутреннего контроля, позволяющей гарантировать выполнение компанией применимых требований и стандартов;
- распределение ролей и обязанностей среди сотрудников, вовлеченных в процедуру внутреннего контроля;
- рассылка уведомлений о проведении внутренних проверок, контроль сроков и статуса проведения аудитов;
- формирование предложений по устранению несоответствий или недостатков, выявляемых в ходе внутренних аудитов.
Рис. 1. Распределение задач по ИБ по уровням управления
«С» значит Compliance
Итак, перед нами вырисовывается вполне радостная картина: с одной стороны, можно получить автоматизированное средство, которое позволит навести порядок в требованиях, а с другой – возможность вплести их в существующие процессы управления и обеспечения ИБ. Но давайте подумаем, как применить изложенную теорию на практике.
Как уже говорилось ранее, для начала необходимо определить, какие именно требования предъявляются. Как правило, это законы или стандарты, если говорить о регуляторах, или внутренние корпоративные правила ИБ. Они разбиваются либо на блоки требований, сгруппированные, например, по процессам – управления доступом, инцидентами ИБ и т.д., либо остаются отдельными единичными требованиями. Они заносятся в систему GRC, и, таким образом, мы получаем совокупность требований, которые к нам предъявляются и которые необходимо выполнить.
Далее мы проводим анализ того, какие процессы управления и обеспечения ИБ уже реализованы и каким образом. Полученные данные также заносятся в систему. Этот этап можно реализовывать параллельно с определением актуальных требований.
После этого появляется возможность привязать требования к описанию их конкретной реализации практически в прямом смысле слова. Мы получаем однозначную связь между требованиями разных законов или стандартов (зачастую весьма разноуровневых) и конкретной их реализацией в компании. Даже на основании этой работы сразу будут выявлены крупные несоответствия или невыполнение блоков требований.
Для того чтобы впоследствии выявить более мелкие несоответствия, для конкретных реализаций требований определяются действия по аудиту их выполнения. В данном случае настраивается так называемый workflow процесса внутреннего аудита. В рамках системы осуществляется распределение ролей и обязанностей среди сотрудников, вовлеченных в эту процедуру. В автоматическом режиме с заданной периодичностью им рассылаются уведомления о необходимости проведения внутренних проверок, осуществляется контроль сроков и статуса их проведения.
В случае выявления несоответствий или отклонений в работе процессов управления/обеспечения ИБ формируются задания на корректирующие и предупреждающие действия. Они точно так же с помощью уведомлений назначаются конкретным сотрудникам для выполнения.
Помимо этого, как правило, системы GRC обладают достаточно мощными возможностями по формированию различного рода отчетов для заинтересованных сторон, в том числе для топ-менеджмента. Таким образом, их можно использовать в качестве инструмента формирования сводных данных о работе процессов управления и обеспечения ИБ для анализа со стороны руководства и демонстрации эффективности информационной безопасности.
