Системы управления процессами информационной безопасности (SGRC)
Средства управления информационной безопасности на предприятии (Security Governance Risks Compliance)
Описание и назначение
Security Governance, Risk, Compliance (SGRC) – это концепция управления информационной безопасностью (ИБ) с точки зрения трех понятий: вопросы информационной безопасности рассматриваются на высшем уровне руководства компании (Governance), на основе управления рисками (Risk), а также в соответствии с требованиями различных стандартов (Compliance).
Понятия Governance, Risk и Compliance были объединены в одну концепцию после принятия в 2002 году в США Закона Сарбейнза-Оксли. Он предполагает новый режим регулирования и контроля финансовой деятельности, а также повлек за собой изменения в процессе управления информационными активами и в требованиях к раскрытию информации. Слово Security проектирует данную концепцию на управление информационной безопасностью.
Governance — процесс управления ИБ на основе подхода «сверху-вниз», когда поддержка, инициатива и определение направлений деятельности исходит от высшего руководства и спускается через руководителей среднего звена к сотрудникам.
Risk — процесс управления ИБ с точки зрения управления рисками. Исследование рисков необходимо для выявления информационных активов, определения угроз, вызывающих риски для них, оценить возможные потери и потенциальные убытки компании в случае возникновения угроз. В результате руководство способно адекватно оценивать бюджет, учитывающий все требующиеся расходы для защиты информационных активов от обнаруженных угроз.
Compliance— процесс управления ИБ в соответствии с требованиями стандартов: процедур, базисов, политик, международных и государственных стандартов, а также руководящих и нормативных документов. Данный подход относится к административным мерам управления и направлен на снижение риска невыполнения компанией каких-либо внешних требований.
Таким образом, вышеуказанные направления деятельности тесно связаны между собой, воздействуют друг на друга и позволяют руководству принимать целостные управленческие решения в области ИБ во взаимосвязи с другими корпоративными системами управления.
SGRC-система, как правило, предназначена для управления следующими направлениями ИБ:
- политиками ИБ,
- рисками ИБ,
- соответствием требованиям ИБ (нормативным, правовым, корпоративным, отраслевым, локальным),
- внутренними аудитами,
- непрерывностью деятельности компании в сфере ИБ,
- инцидентами ИБ,
- активами на различных уровнях.
Большинство SGRC-решений представляют собой систему сбора и анализа информации о ходе выполнения деятельности во всех подразделениях компании. Информация о возможных рисках и исполнении требований стандартов представляется руководству в виде отчетов, демонстрирующих проблемные места, а руководителям среднего звена эти системы предоставляют информацию, необходимую для идентификации и обработки рисков и несоответствий требованиям.
В данное время SGRC-решения развиваются в двух направлениях – IRP (Incident Response Platform), Risk Management и платформы-конструкторы. Наибольшую популярность в последнее время получают IRP-системы в связи с повсеместным внедрением в компаниях SOC (Security Operations Center) и построением процессов управления инцидентами в целом.
Список средств защиты
Сервис SECURITM разрабатывается российской компанией ООО "СЕКЪЮРИТМ", созданной в 2020 году специально для разработки сервиса управления информационной безопасностью.