Что такое GRC и чем это может быть полезно для ИБ?

Евгений Безгодов
исполнительный директор компании
Deiteriy, CISA, PCI QSA

GRC – это взгляд на управление чем-либо с трех точек зрения: высшего руководства (Governance), управления рисками (Risk management) и соответствия требованиям (Compliance). Любую деятельность можно разложить по этим трем составляющим.

Действительно, сначала компании определяют цели, которых собираются достичь. Затем инициируют некую деятельность для их достижения. Пока деятельность выполняется, они хотят ее контролировать, получая своевременную, объективную и достоверную информацию о ходе выполнения. Это и есть функции высшего руководства (Governance) – указание целей и контроль их достижения.

Затем компании продумывают риски, которые могут встретиться на пути к поставленной цели. Для этого они выясняют, какие препятствия могут стать причиной нарушения сроков или сделать цель недостижимой, а также что компания рискует потерять на пути к цели. Выявленные риски обрабатываются, и в дальнейшем эта процедура периодически повторяется. Это функция управления рисками (Risk management), которая, к сожалению, во многих российских компаниях носит пока недостаточно системный характер.

Кроме того, планируя и исполняя свою деятельность, компании заботятся о соблюдении множества внешних и внутренних правил. На них оказывают влияние законы, отраслевые стандарты и договорные обязательства. К тому же в компаниях имеются собственные нормативные документы, учитывающие их опыт и описывающие требования к выполняемым бизнес-процессам. Исполнение всех этих требований является функцией управления соответствием (Compliance).

Именно такой взгляд на управление реализуется в IТ-системах класса GRC.

Большинство из таких систем представляют собой решения для сбора и анализа информации о ходе выполнения деятельности со всех подразделений компании. Информация о прогнозируемых рисках и исполнении требований применимых законов, стандартов и внутренних нормативных документов предоставляется топ-менеджерам в виде наглядных отчетов, демонстрирующих проблемные места. Линейным менеджерам эти системы предоставляют детальную информацию, необходимую для идентификации и обработки рисков и несоответствий.

Концепция GRC крайне актуальна для ИБ

Тема управления рисками хорошо знакома большинству специалистов по информационной безопасности. Согласно таким стандартам, как ISO 27001 и СТО БР ИББС, именно на анализе рисков строится управление ИБ. Однако практика показывает, что процессы управления информационными рисками внедрены лишь в некоторых российских компаниях. В компаниях, где не используют концепцию GRC, это зачастую приводит к нехватке бюджетов на необходимую защиту, перерасходу на решение неактуальных задач и потерям, связанным с происходящими инцидентами.

Нехватка участия высшего руководства в вопросах обеспечения информационной безопасности компаний является одной из ключевых проблем на сегодняшний день. Среди ее причин можно назвать и сложность самой предметной области, требующей наличия глубоких специальных знаний, и недооценку существующих информационных рисков. Тем не менее функция Governance –  указание целей и контроль их достижения со стороны высшего руководства – крайне необходима для эффективного обеспечения информационной безопасности.

Внедрение в компании концепции GRC и поддерживающих ее IТ-решений – это прекрасная возможность для того, чтобы вывести управление информационной безопасностью на качественно новый уровень. Основа GRC – это доведение до сведения высшего руководства информации о рисках и исполнении требований, а информационная безопасность как раз и занимается снижением информационных рисков и исполнением требований отраслевых стандартов. Таким образом, система класса GRC при успешном внедрении может оказаться инструментом прямого общения топ-менеджмента с ИБ-подразделением, повысить статус этого подразделения и обеспечить лучшее взаимопонимание.

Немалую пользу из концепции GRC можно извлечь и без столь масштабных внедрений. Так, например, некоторые компании на рынке ИБ уже используют ее для классификации предлагаемых решений по трем направлениям: управление процессами информационной безопасности (G), управление рисками (R) и управление соответствием (C). Такую же классификацию можно использовать, например, для построения корпоративных отчетов о работе подразделения по обеспечению ИБ.

Стоит также отметить и пользу информационной безопасности для GRC. Ведь именно она обеспечивает целостность и доступность информации, необходимой для высшего руководства, то есть принимает немалое участие в реализации функции G (Governance).