О технологии GRC в общем и её применении для управления информационной безопасностью в частности. Часть 1

Что такое GRC?


Концепция “Governance, Risk and Compliance, GRC ” не определена строго, например, Gartner характерезует её как “очень гибкую”. В общем, термин “Governance” относится к управлению деятельностями компании — ИТ, кадровой, финансовой, операционной, юридической и другими, на уровне системы это реализовано как управление политиками; термин “Risk” к управлению рисками и термин “Compliance” к управлению соответствием требованиям стандартов, лучших практик и регуляторов. Хотя, три эти области тесно связаны, но их не спешили объединять, пока в 2002 году не вышел закон Sarbanes-Oxley, в настоящее время требования к бизнесу только возросли, поэтому не стоит понимать GRC как только лишь к средство обеспечения соответствия данному закону.

GRC – это универсальный инструмент, предназначенный для:
— управления политиками;
— управления рисками;
— управления соответствием стандартам, лучшим практикам и требованиям регуляторов;
— управления внутренним аудитом;
— управления непрерывностью бизнеса;
— управления инцидентами;
— управления конфигурациями.
Это основные функции, полный список содержит больше позиций, вернемся к ним позже. Идея GRC заключается не в том, чтобы компания могла реализовать, с её помощью, каждый из перечисленных выше процессов в отдельности, а прежде всего в том, чтобы реализовать их в совокупности, избежав распараллеливания, а также естественным образом замкнув друг на друга, то есть реализовать максимально эффективно. Задача сложная, амбициозная и не очевидно, что выгодная для каждой компании, учитывая стоимость GRC систем. Но, принимая во внимание количество регулируемых активностей, рисков, требований регуляторов (особенно, если компания международная), объем проводимого аудита, а с другой стороны, постоянный бешеный рост бизнеса, диктуемый жесткими условиями выживаемости для современной крупной компании, возможно, применение GRC системы позволит одновременно и выжить в этих условиях и наладить стабильное развитие.
Пока термин GRC не устоялся, та же самая идея могла называться “ERM (Enterprise Risk Management)” или “Corporate Governance”.

Forrester дает следующее определение для GRC: “The coordinated functions that set and enforce the boundaries within which an organization seeks to maximize performance” (TechRadar™ For Risk Management Professionals: GRC, Q4 2012), то есть технология, позволяющая “определить границы” и “максимисимизировать производительность в заданных границах”. В самом деле, можно ли определить границы регулируемой деятельности, не будучи уверенным в том, что учтены с одной стороны все риски, с другой, требования законодателей? Каждая из “G”, “R” и “C” в отдельности не решает задачи, объединние их предоставляет эту возможность.
В этом же отчете, Forrester приводит 16 категорий технологий, относящихся к сфере GRC, это:
Audit management,
Board management,
Business continuity management,
Control monitoring and enforcement,
Corporate social responsibility,
Enterprise and operational risk management,
Environmental management,
Ethics and compliance training,
Financial risk management,
GRC platforms,
Legal and case management,
Policy and compliance management,
Quality management,
Regulatory intelligence and content feed,
Third-party risk management,
Whistleblower and hotline.
В соответствии с видением аналитиков Forrester, GRC включает перечисленные категории. Но что делать, если у компании нет необходимости внедрять их все? И, насколько хорошо GRC система реализует этот функционал, нет ли смысла выбрать узкоспециализированное решение? Ответы зависят от конкретной ситуации и технических решений, и могут быть получены только через экспертную оценку. Но сразу можно сказать, что во первых, GRC система, это не одно решение, а набор, как правило производитель предлагает модули, во вторых, основная ценность GRC систем в том, что они обеспечивают эффективное взаимодействие всех технологий.

GRC системы разделяют на EGRC (Enterprise GRC) и ITGRC (Information Technology GRC). ITGRC ориентированна на ИТ-центричные процессы, другими словами, с ITGRC в основном работают сотрудники ИТ и ИБ департаментов, в то время как с EGRC могут работать также и сотрудники финансового, юридического и департаментов, отвечающих за операционную деятельность и управляющие кадрами. Так как системы EGRC обладают всем тем же функционалом, что и ситемы ITGRC, есть мнение, что ITGRC умирает — см. блог Френча Колдвела (French Caldwell) в сети Gartner. Скорее всего, это преувеличение, так как та же компания Gartner продолжает оценку ITGRC решений, а рост данного сегмента рынка характерезует как ”позитивный”, перечисленные же вендоры (Agiliance, RSAM, Lockpath) имеют высокие рейтинги («MarketScope for IT Governance, Risk and Compliance Management» 7 June 2013). В этом же отчете Gartner утверждается, что ITGRC решения имеют достаточный функционал для поддержки “non-IT decision making, and non-IT executive reporting”, то есть ITGRC – это система безусловно ориентированная на ИТ составляющую, но при этом “повернута лицом к бизнесу”, в том плане, что не ИТ сотрудники имеют возможность пользоваться всеми преимуществами системы для оценки и влияния на ИТ составляющую бизнеса. Есть основание полагать, что ITGRC системы хороши для компаний, бизнес которых основан на ИТ-технологиях, ИТ-ориентированных.
Gartner позиционирует ITGRC как технологию, уже пережившую пик первой популярности, но еще не вошедшую в стадию “стабильной продуктивности”, в отличие от EGRC, которая оценивается как вполне уже состоявшаяся:

image

Такая оценка основана на том, что еще не сложилось четкого понимания о круге задач, которые целесообразно решать с помощью ITGRC систем, а с другой стороны, уже имеется негативный опыт внедрений. Слишком много существующих ИТ технологий имеют отношение к концепции GRC, некоторые из них являются естественной составляющей, другие — лишним балластом, перегружающим и так слишком сложную и комплексную технологию. По этому поводу Gartner выпустила отдельный отчет — «Technology Overview for IT GRC: Clarifying IT GRC to Match Technology to Need» 24 April 2013. Где, основываясь на наработанном опыте, определила некую горизонтальную черту, отделяющую ”функции контроля и управления, являющиеся источником ИТ информации, необходимой бизнесу для отчетности и принятия решений” от “операционной деятельности в сфере информационной безопасности”:

image

Все, что ниже черты, Gartner не рекомендует относить к ITGRC. На практике это означает, что попытки производителей встроить такие технологии как Security Information and Event Management (SIEM), Vulnerability Management и другие в ITGRC, скорее всего потерпят неудачу.
Разберем это на примере. Наличие в компании процесса Vulnerability Management (далее — VM) и программы ITGRC важно и необходимо. Аналитики сканируют ИТ ресурсы, результаты имеют прямое отношение к управлению рисками и могут служить причиной изменений в политиках. Логично будет объединить VM и ITGRC в рамках одной системы. Все так, но бизнесу для принятия решений не нужны результаты сканирования, бизнесу понятны формы типа “эта проблема с такой вероятностью остановит этот бизнес-процесс, за что придется заплатить столько”. Значит нужно “подавать” результаты сканирования в виде новых рисков в ITGRC системе. Правильно, только объединение VM и ITGRC в рамках одной системы подразумевает создание некоего интерфейса между ними, другими словами, это объединение может быть оправдано автоматическим заведением результатов сканирования, проведенного подсистемой VM, в реестре рисков подсистемы Risk Management (далее — RM) системы ITGRC. Если этой автоматизации нет, а между VM и RM промежуточное звено – аналитики, есть ли смысл в объединении? Чрезмерное усложнение почти всегда плохо. А автоматизация здесь крайне сложно осуществима, так как одна и та же уязвимость на одном и том же сервере в разное время может быть либо очень критичной, либо совсем не влияющей на бизнес-процессы, либо вообще ложной, а в крупной компании уязвимостей находится сотни и тысячи. Можно возразить, что VM и RM есть смысл объединять, такая необходимость очевидна, если вспомнить о стандарте PCI DSS, и автоматизация в определенных рамках возможна и полезна. Да это так, более того, такие примеры имеют место в жизни, но все же, не встраивать VM в ITGRC, а интегрировать разные системы. Встраивание же систем, обеспечивающих операционную деятельность по ИБ рискует превратить ITGRC в определенный момент вот в такой инструмент:

image

Правильно смотреть на GRC как на технологию, которая вообще не является неким завершенным набором функций, одинаковым для всех, наоборот, каждое внедрение GRC уникально, это конструктор, который легко может быть дополнен механизмами “не от производителя”, имеется в виду упомянутая интеграция.
Tags:
Governance Risk and Compliance, GRC, ITGRC, EGRC,

You can't comment this post because its author is not yet a full member of the community. You will be able to contact the author only after he or she has been invited by someone in the community. Until then, author's username will be hidden by an alias.

Similar posts