Отечественный рынок систем управления рисками растёт, в первую очередь за счёт специализированных ИБ-систем, получивших обозначение SGRC (Security Governance, Risk, Compliance), за пределами России обычно не употребляемое. Почему этот сектор востребован среди отечественных компаний, в то время как классические GRC-системы востребованы меньше, что является драйвером рынка и каково его будущее? Мы спросили об этому у представителей вендоров, консультантов и потенциальных заказчиков.
- Введение
- Что такое SGRC и для чего нужны системы этого класса
- Чего ждут потенциальные заказчики от SGRC-систем
- Как связаны между собой SGRC и SOAR
- Как заказчики управляют рисками в сфере информационной безопасности
- Как оценивать риски в информационной безопасности
- Какой заказчик готов к внедрению SGRC
- Выводы
Введение
Аналитический центр Anti-Malware.ru открыл новый сезон онлайн-конференций AM Live, пригласив ведущих экспертов отрасли поговорить о российском рынке SGRC-систем. С решениями для управления информационной безопасностью, рисками и соответствием законодательству связано много вопросов потенциальных заказчиков. Каково место таких систем на рынке, в чём их преимущества и недостатки по сравнению с другими ИБ-продуктами и почему именно «Security Governance, Risk, Compliance» в первую очередь востребован в России — обсуждали наши спикеры 21 января 2021 года.
Мы пригласили в студию прямого эфира:
- Романа Касьянова, руководителя проекта компании ePlat4m;
- Данилу Луцива, руководителя отдела развития компании Security Vision;
- Андрея Абашева, директора группы по предоставлению консультационных услуг в области управления рисками ИТ и кибербезопасности компании Ernst & Young;
- Всеслава Соленика, директора центра экспертизы компании R-Vision.
Модерировал беседу Илья Шабанов, генеральный директор аналитического центра Anti-Malware.ru.
Что такое SGRC и для чего нужны системы этого класса
Отечественный рынок SGRC-систем находится на этапе роста. Сегодня далеко не всем потенциальным заказчикам понятно, для чего предназначены эти продукты и какие преимущества получит организация от их внедрения. При этом специализированные продукты для управления рисками и соответствием законодательству в ИБ являются характерной чертой именно российского рынка. В мировой практике задачи SGRC решаются в рамках комплексных систем класса «Governance, Risk, Compliance». Так почему же в отечественной практике сделан упор в первую очередь на управление рисками и соответствием в информационной безопасности?
Роман Касьянов подтвердил, что на мировом рынке давно существует класс систем GRC, предназначенных для высокоуровневого управления рисками и соответствием законодательству. По мнению эксперта, выделение изо всего их спектра тех решений, которые нацелены исключительно на информационную безопасность, — это скорее маркетинговая инициатива.
Данила Луцив, отчасти согласившись с предыдущим спикером, отметил, однако, что SGRC-системам приходится оперировать гораздо большим объёмом данных, исследуя весь ландшафт угроз как внутри сетевого периметра организации, так и вне его. При этом, в отличие от GRC, системы управления ИБ-рисками способны «опуститься» на уровень конкретного объекта, являющегося источником несоответствия, взаимодействовать с отдельным хостом или конечной точкой.
Андрей Абашев обратил внимание на то, что «Governance, Risk, Compliance» — это в первую очередь не платформа или программное обеспечение, но парадигма ведения бизнеса, поддерживающая процессы, формирующие контрольную среду в организации. При этом конкретные решения, отвечающие за эту задачу, могут быть различными — ведь классические GRC-системы западных вендоров также могут использоваться для управления ИБ-рисками.
Всеслав Соленик уточнил, что пользователем и владельцем GRC-систем является бизнес, который при их помощи управляет рисками, но в подобных решениях обычно отсутствуют готовые функциональные возможности для построения процессов, связанных с информационной безопасностью. SGRC закрывает потребность в построении прозрачной системы стратегического и тактического управления всеми ИБ-процессами. При этом заказчик уже «из коробки» получает систему, нацеленную на решение задач в разрезе информационной безопасности — с необходимой аналитикой и нормативами, но без ненужных элементов из других областей управления рисками.
Почему в России рынок SGRC развит в большей степени, чем классическое управление рисками? Эксперты конференции AM Live выделили следующие причины:
- На Западе традиционно развит риск-менеджмент на корпоративном уровне, в то время как в России исторически эта сфера управления долгое время была невостребованной. При этом подразделения, связанные с информационной безопасностью, уже сейчас испытывают потребность в системах управления рисками.
- Информационная безопасность в России регулируется в большей степени, нежели другие сферы деятельности организаций, а значит, вопрос соответствия ощущается более остро.
- Высокоуровневые системы управления рисками не всегда затрагивают сферу информационной безопасности компании, ограничиваясь только ИТ-подразделениями.
- В ряде случаев работа по оценке рисков в компаниях начинается именно с сектора информационной безопасности, распространяясь далее на всю систему управления.
- Построение комплексной системы управления рисками сопряжено с большими сложностями, поэтому ряд заказчиков выбирают поэтапное решение этой задачи средствами специализированных продуктов.
Чего ждут потенциальные заказчики от SGRC-систем
Мы задали зрителям прямого эфира онлайн-конференции AM Live вопрос о предполагаемой модели использования SGRC в их организациях. Результаты показали, что 17 % респондентов собираются использовать SGRC для управления рисками в кибербезопасности, а 14 % — для соответствия требованиям регуляторов. Применять системы этого класса для повышения управляемости кибербезопасности предполагает 4 % опрошенных.
Наибольшее же число голосов наших зрителей — 65 % — набрал «комплексный» вариант «Всё из вышеперечисленного». Эксперты в студии отметили, что это — справедливое распределение мнений, поскольку нельзя рассматривать одну из частей GRC и SGRC в отрыве от остальных. Так, выполнение качественной оценки рисков без управления соответствием невозможно. Кроме того, не исключено, что многие участники опроса подменяют понятия «управление рисками» и «моделирование угроз». В идеале SGRC-система должна собирать метрики качества выполнения всех процессов, в том числе и автоматизированных в других системах, и сводить их в едином интерфейсе.
Рисунок 1. Какова предполагаемая модель использования SGRC в вашей организации?
Как связаны между собой SGRC и SOAR
В беседе эксперты обозначили два подхода к использованию и принципам построения SGRC-систем. Согласно первой концепции, SGRC не должна «дотягиваться» до конечных точек и автоматизации конкретных процессов, таких, например, как идентификация и аутентификация пользователя, а лишь получать от них данные для анализа. Другой взгляд на этот вопрос предполагает самостоятельное получение исходной информации — вплоть до взаимодействия с конкретным объектом инфраструктуры. В первом случае SGRC должна эффективно взаимодействовать с SOAR или IRP, во втором — брать на себя часть их функций. Мы попросили спикеров конференции высказаться на эту тему.
Security Vision исповедует комплексный подход. Как рассказал Данила Луцив, SGRC является частью единой платформы и все взаимодействия с конечными точками, сканерами защиты и базами данных выполняются в единой среде. Специалисты вендора обладают достаточной квалификацией, чтобы организовать безопасное получение данных и инвентаризацию активов для целей SGRC наравне с SOAR-системой.
В понимании R-Vision SOAR и SGRC — это два отдельных продукта, базирующихся на единой платформе. Всеслав Соленик пояснил, что обе системы имеют модуль инвентаризации активов и могут получать информацию с хостов напрямую или же пользоваться данными других продуктов через коннекторы. При этом, в отличие от IRP-систем, функции автоматического реагирования на несоответствия в SGRC не востребованны в среде заказчиков.
Как подчеркнул Роман Касьянов, разработчики ePlat4m придерживаются мнения, что SGRC и SOAR должны рассматриваться как отдельные продукты, которые могут взаимодействовать между собой. В рамках среднего проекта существует порядка десятка систем, которые могут поставлять данные в SGRC, однако необходимость передавать управляющие воздействия в эти системы существенно повышает стоимость и сроки реализации проекта.
Андрей Абашев указал на некоторое противоречие в позициях вендоров. С одной стороны, имеются процедуры контроля ключевых индикаторов, реализующие превентивный механизм соответствия, а также инструменты взаимодействия с информационными системами на конечных хостах. Однако такие решения относят к классу IRP или SOAR, но не используют для SGRC.
Как заказчики управляют рисками в сфере информационной безопасности
Следующий вопрос зрителям прямого эфира AM Live звучал следующим образом: «Как в вашей организации происходит управление рисками в ИБ?». Большинство наших респондентов сообщили, что в их компаниях проводится плановая оценка рисков. Такой ответ выбрали 42 % участника опроса. Ещё 4 % наших зрителей заявили, что практика управления рисками в их организации предполагает фиксацию конкретных KPI, а 8 % опрошенных сообщили о полной автоматизации процесса анализа рисков. Между тем 14 % респондентов рассказали, что в их компании оценка рисков не производится, а 32 % опрошенных затруднились дать ответ на этот вопрос.
Комментируя результаты опроса, эксперты в студии отметили, что заявления о полной автоматизации процесса анализа рисков необходимо рассматривать в контексте их числа, поскольку мониторинги одного параметра и нескольких сотен параметров существенно различаются по трудозатратам. Кроме того, важно понимать, что затрагивает автоматизация — только проведение оценки или также ключевые индикаторы, передачу результатов и другие аспекты процесса управления. В любом случае, по мнению экспертов, рынок SGRC в России развивается, а уровень его зрелости растёт.
Рисунок 2. Как в вашей организации происходит управление рисками в ИБ?
Как оценивать риски в информационной безопасности
Оттолкнувшись от вопроса одного из зрителей о риск-аппетите, гости студии Anti-Malware.ru обсудили проблему оценки ИБ-рисков в системах класса SGRC. На первый взгляд кажется, что основное препятствие для получения адекватных цифр возможного ущерба — это отсутствие статистических данных по аналогичным инцидентам. Собственная база данных ИБ-событий у многих компаний недостаточно широка, а данные об ущербе в других организациях зачастую недоступны. Нередко аналитики могут оперировать только публичными сведениями от западных компаний — российские предприятия не привыкли раскрывать такую информацию.
Однако, как заметили наши эксперты, сведения о понесённом другими компаниями ущербе, скорее всего, не помогут оценить риск от потенциального инцидента. Для того чтобы получить адекватную оценку используя чужие данные, необходимо понимать, какие затраты включены в сумму ущерба, а также какая методика использовалась для подсчёта.
Как правило, итоговая оценка потенциального риска представляет собой весьма широкую вилку значений. Сузить её помогают специализированные опросники и подробные интервью, позволяющие исключить перекосы в подаче информации. При этом для разработки методологии оценки рисков может потребоваться помощь специалистов-консультантов.
Возможно ли применять при оценке рисков в сфере информационной безопасности те же подходы, что для остальных рисков? Мы узнали у зрителей прямой трансляции, синхронизированы ли в их компаниях процессы, реестры и инструменты для управления рисками в разных сферах бизнеса.
Большинство опрошенных — 31 % — ответили, что оценивают ИБ-риски по собственной методологии и с использованием специальных инструментов, однако сводные результаты агрегируются в общую систему управления. Ещё 15 % респондентов заявили, что процесс, реестры и инструменты для управления рисками синхронизированы в рамках компании, а 17 % отметили, что для ИБ используют специализированные инструменты.
По мнению 12 % опрошенных риски в ИБ никак не связаны с рисками организации, а 22 % наших зрителей утверждают, что ИБ-риски в их организации не оцениваются.
Рисунок 3. Синхронизирован ли подход по оценке рисков в ИБ с методологическими подходами по управлению рисками для вашей организации в целом?
Обсуждая то, почему ИБ-риски зачастую оцениваются отдельно, наши эксперты отметили, что если оценивать все риски по общей методологии, то возможный ущерб в сфере ИБ будет несопоставим по размерам с корпоративными рисками компании. С другой стороны, если включить в них качественные показатели, такие как репутационный ущерб, они, напротив, непропорционально вырастут. Для устранения подобных искажений во многих компаниях используются собственные системы для управления рисками в сфере информационной безопасности.
С другой стороны, синхронизация подходов, реестров и инструментов даёт возможность увидеть полную картину рисков компании в общей системе координат. Такие единые методологии оценки чаще всего применяют крупные организации.
Какой заказчик готов к внедрению SGRC
По каким показателям можно понять, что компания готова ко внедрению системы управления рисками в ИБ? Мы попросили гостей студии обрисовать примерный портрет потенциального заказчика SGRC-систем.
Роман Касьянов высказал мнение, что хорошим фактором, влияющим на успех внедрения системы управления рисками, является наличие обособленного отдела информационной безопасности. Ещё одним признаком того, что SGRC может принести пользу компании, эксперт назвал её распределённую структуру — территориальную или юридическую.
С мнением коллеги согласился Данила Луцив, который отметил, что процесс ввода в эксплуатацию «коробочных» продуктов Security Vision помогает заказчику оценить свой уровень зрелости с точки зрения готовности ко внедрению системы управления рисками. Начав с инвентаризации активов, компания может шаг за шагом совершенствовать систему оценки рисков, добавляя информацию об инцидентах и другие данные.
Всеслав Соленик не считает, что внедрение SGRC является наивысшей точкой уровня зрелости компании, ведь система оценки рисков может потребоваться даже для того, чтобы этот уровень узнать. Более того, методология и стандарты, заложенные в SGRC-системе, могут послужить драйвером развития компании, дать ей возможность качественно выстроить свои бизнес-процессы. В этом случае возрастает роль консалтинга.
Несколько иную позицию занимает Андрей Абашев: представитель Ernst & Young считает, что консалтинг должен предшествовать внедрению, а для получения эффекта от SGRC системе управления компании необходимо достигнуть определённого уровня зрелости.
По результатам онлайн-конференции 38 % наших зрителей утвердительно ответили на вопрос «Считаете ли вы оправданным внедрение SGRC в вашей организации?». Не согласны с ними 15 %, а почти половина опрошенных — 47 % — затруднились ответить.
Рисунок 4. По итогам дискуссии считаете ли вы оправданным внедрение SGRC в вашей организации?
Выводы
Как видно, вендорам и консультантам, специализирующимся на SGRC-системах, остаётся широкое поле для деятельности. В заключение беседы эксперты, собравшиеся в студии, обозначили своё видение перспектив и актуальных тенденций отечественного рынка систем управления рисками и соответствием:
- Рынок будет развиваться, и его драйвером будут регуляторы. В первую очередь речь идёт об управлении соответствием закону 187-ФЗ и положению ЦБ 716-П.
- Снижение объёма ручных операций, поскольку на рынке существует ощутимый запрос на автоматизацию процессов оценки рисков.
- Увеличение числа интеграций со сторонними системами и дополнение SGRC функциональными возможностями других ИБ-продуктов.
- Рост заказчиков из числа небанковских финансовых компаний (страховщики, брокеры и т. д.).
- Продолжение процесса импортозамещения, рост значимости отечественных операционных систем и их поддержки со стороны SGRC.
- Использование машинного обучения и искусственного интеллекта в SGRC.
- В перспективе — миграция отечественных SGRC-систем в сторону более широкого и перспективного сектора классических решений уровня «Governance, Risk, Compliance».