Ключевые слова: концепция GRC, информационная безопасность, деятельность, компания.
GRC (Governance, Risk, Compliance) — один из популярных способов управления в среде информативных технологий, который в последнее время все чаще и чаще на устах у иностранных специалистов. По их словам, данный термин поясняет управление процессами безопасности информации с трех отдельных сторон: со стороны высшего руководства (Governance), управления рисками (Risk management) и соответствия требованиям (Compliance).
Среди функций системы GRC можно выделить ряд таких:
‒ прослеживание рисков и рисковых ситуаций;
‒ управление политической деятельностью;
‒ проверка соответствия нормам и установленным заранее правилам;
‒ управление формами информации;
‒ регулирование системы аудита;
‒ координация ведения бизнеса;
‒ регулирование событий.
Любой информационный процесс с точки зрения системы GRC раскладывается на 3 отдельных части, а в комплексе это позволяет максимально управлять происходящим, избегая рисков и добиваясь нужного результата. Что же собой представляет данный термин?
Если говорить о данных сторонах по отдельности, стоит уточнить, что Governance — это указание целей деятельности, а также пути их достижения. Это стратегическая составляющая данной системы, она позволяет сформулировать основные моменты для контроля и защиты информации. Иными словами, это выражение происходящих информационных событий через топ-менеджмент. Но несмотря на это, понятие Managment сюда не подходит, оно несет более широкий смысл и обозначает привычные действия руководства компании. Governance же выполняет функции защиты для получаемой информации.
Пункт Rick несет несколько иное значение, он позволяет контролировать риски компании во время управления информационной безопасностью и предоставляет возможность избежать рисковых ситуаций, для этого он решает, какие действия необходимы для улучшения ситуации, как снизить опасность для компании и обезопасить собственную информационную систему. Этот фактор позволит перенаправить ресурсы организации в пользу предотвращения возникших рисков.
Последний фактор Compliance нужен для контроля определенной информации на предмет выполнения и соблюдения условий договора или подобных ему документов. Этот подход подразумевает соответствие информационной системы внешним факторам, таким как: международные нормы, Законодательство РФ и другие. Такой инструмент несколько схож с предыдущим, но он является более узконаправленным, что и требует его отдельного вынесения за рамки рисков. Управление соответствие информации специфично и требует широкого исследования.
Прежде всего, в начале деятельности организация должна поставить перед собой четкие цели. Далее проработать пути их выполнения, а также провести контроль осуществляемых действий с получением сведений о каждом этапе. Это и является Governance — фактор, определяющий сущность информационного процесса.
Далее организация предугадывает и предусматривает возникновение рисковых ситуаций, которые могут помешать осуществлению деятельности и нанести вред компании. Также на данном этапе происходит разрешение таких ситуаций и предотвращение дальнейшего их возникновения. Во время любой информационной деятельности часто возникают непоправимые ситуации, которые могут нарушать сроки выполнения тех или иных целей. Risk management необходим для систематичного избавления от подобных событий. Но во многих отечественных организациях этот факт не является постоянным.
Выполняя свою деятельность, компания сталкивается с определенными обязанностями, которые надиктованы извне — от законодательных органов власти, от норм государства или же посредством договора с партнерами. Также компания имеет собственные документы, в которых прописаны условия осуществления своей деятельности. Все это контролируется третьим фактором под названием «Compliance». Или же просто функция регулирования соответствия организации.
Возникает вопрос, когда становится эффективна система GRC? Ситуаций для применения данного управленческого комплекса есть несколько. Не каждая организация сможет оптимально воплотить ее в своей деятельности. Эта концепция нужна в следующих ситуациях:
‒ При усложненной гетерогенной информационной системе. Данная ситуация требует внедрения GRC, но ее эффективность будет достигнута только в том случае, если число ее пользователей составляет по меньшей мере 1 тысячу человек. В противном случае, в этой сети данная концепция будет напрасна.
‒ При использовании высокоразвитых информационных систем, что требует особого подхода к системе ее безопасности и управлению защитными процессами. Руководители должны приложить немало усилий, чтобы поднять информационную деятельность компании значительно выше начального уровня, но только тогда стоит вводить систему GRC для ее контроля. Также руководитель компании перед вводом данной концепции должен предусмотреть меры по управлению безопасностью информационных процессов в организации и выяснить, возможно ли в этой компании применить данный подход.
‒ Концепция GRC будет актуальна и в тех ситуациях, когда в компании имеется разделение деятельности на несколько отдельных подразделений. При этом каждое выполняет свои обязанности: контроль деятельности, прослеживание рисков, обеспечение информационной безопасности, внедрение технологий и т. д.
Как только компания выбирает для управления своей деятельностью такой комплексный подход, становится сразу понятна эффективность ее деятельности, также прослеживается наличие безопасности информационных данных. GRC — это такая концепция, которая позволит выявить риски, улучшить контроль предприятия, выявить, насколько эффективно ведение бизнеса в компании, расставить приоритеты для ее информационной деятельности и установить, насколько правильно распределены ресурсы компании.
Стоит подчеркнуть, что управление рисками и соблюдение поставленных норм и правила — это не так давно появившиеся виды деятельности в компании. Они позволяют управлять информационной безопасностью и требуют комплексного понимания и рассмотрения проблем. Однако стоит понимать, что выполнение деятельности GRC-систем должно осуществляться только при комплексном подходе к данному мероприятию и только с почти идеальными знаниями о собственной компании. Для выполнения GRC нужно подобрать определенные технические решения, которые позволят максимально эффективно провести защиту информационных процессов в организации.
IBM OpenPages — приложение с широким функционалом, позволяющее с комфортом управлять рисками компании, прослеживать ее деятельность и соблюдений внешних условий. Данный продукт является интегрированным, он может включаться в большинство бизнес-проектов. Компания IBM предоставила пользователям возможность проводить полноценный контроль компании с соблюдением международных и иностранных стандартов, с контролем ИБ-инфраструктуры. Это обусловлено наличием модуля OpenPages IT Governance, который позволяет прослеживать соответствие компании различным документам и законам. Функционал приложения может также включать в себя составление собственных норм для каждой организации.
Модель IBM OpenPages- Financial Controls Management нужен для автоматизирования регулирования финансов. Модуль Operational Risk Management позволяет контролировать риски компании, выявлять их и анализировать.
Обращаясь к решению SAP GRC, стоит сказать, что оно было разработано немецкими специалистами. В его функционале предусмотрено применение некоторого количества допустимых модулей. В его системе SAP Business Objects Risk Management нужен для автоматизации управления рисками, для анализа системы, для управления инцидентами. Этот продукт также может быть внедренным во многие современные бизнес-проекты. Связь всех происходящих событий между собой выполняется через ядро, где и проходит наблюдение за возникшими рисками и их контроль. Приложение позволяет контролировать порог возникновения рисков и своевременно оповещает менеджеров. В системе есть модуль SAP GRC Access Control, который управляет работниками компании, проверяет их деятельность и защищает компанию от несанкционированного вмешательства. Этот модуль нужен для автоматического получения данных о рисках.
Техническое решение RSA Archer eGRC тоже разработано для выявления и контроля рисков организации. Продукт выполняет анализ ситуации на предприятии, контролирует риски, наблюдает за регуляторами, осуществляет анализ информационной деятельности. Данное решение может быть внедрено во многие современные бизнес-проекты. Оно является достаточно гибким и мульти-задачным. Стоит учитывать, что эта программа не требует написания дополнительных кодов для интеграции. Поданные в системе функции просты в использовании и обладают высоким уровнем эффективности, что позволяет проводить поддержку многих пользователей, осуществлять обмен данными с другими приложениями.
Компания HP предложила и свое решение для интеграции GRC в систему управления компании, разработав HP EnterpriseView. Эта разработка имеет несколько ключевых моментов, которые позволяют сформировать и уточнить бизнес-приоритеты компании, установить цели компании, провести контроль деятельности информационных процессов, осуществлять наблюдение за рисками и за соответствием организации установленным нормам, законам и другим правилам.
Для осуществления такой деятельности следует подключать все известные источники информации, все возможные технические продукты и средства, чтобы охватить все стороны компании и выявить проблемы на ранних этапах их формирования. Также для данной концепции требуется участие всех ветвей компании.
Литература:
- Борисенко П. С., Ильин И. В., Канев А. Н. Анализ современного рынка продуктов GRC // Научное сообщество студентов XXI столетия. Технические науки: сб. ст. по мат. XXXI междунар. студ. науч.-практ. конф. № 4(30). URL: http://sibac.info/archive/technic/4(30).pdf
- Использование GRC решений в информационной безопасности // Rvision. URL: https://rvision.pro/blog-posts/ispolzovanie-grs-reshenij-v-informatsionnoj-bezopasnosti
- Системы GRC от концепции к интеграции // Anti-malware.URL: https://www.antimalware.ru/analytics/Technology_Analysis/System_GRC_from_concept_to_integration
- GRC: Governance, Risk, Compliance // InformationSecurity.Club URL: http://wiki.informationsecurity.club/doku.php/grc