Системы управления процессами информационной безопасности (SGRC)

Security Governance, Risk, Compliance (SGRC) – это концепция управления информационной безопасностью (ИБ) с точки зрения трех понятий: вопросы информационной безопасности рассматриваются на высшем уровне руководства компании (Governance), на основе управления рисками (Risk), а также в соответствии с требованиями различных стандартов (Compliance).

Понятия Governance, Risk и Compliance были объединены в одну концепцию после принятия в 2002 году в США Закона Сарбейнза-Оксли. Он предполагает новый режим регулирования и контроля финансовой деятельности, а также повлек за собой изменения в процессе управления информационными активами и в требованиях к раскрытию информации. Слово Security проектирует данную концепцию на управление информационной безопасностью.

Governance — процесс управления ИБ на основе подхода «сверху-вниз», когда поддержка, инициатива и определение направлений деятельности исходит от высшего руководства и спускается через руководителей среднего звена к сотрудникам.

Risk — процесс управления ИБ с точки зрения управления рисками. Исследование рисков необходимо для выявления информационных активов, определения угроз, вызывающих риски для них, оценить возможные потери и потенциальные убытки компании в случае возникновения угроз. В результате руководство способно адекватно оценивать бюджет, учитывающий все требующиеся расходы для защиты информационных активов от обнаруженных угроз.

Compliance— процесс управления ИБ в соответствии с требованиями стандартов: процедур, базисов, политик, международных и государственных стандартов, а также руководящих и нормативных документов. Данный подход относится к административным мерам управления и направлен на снижение риска невыполнения компанией каких-либо внешних требований.

Таким образом, вышеуказанные направления деятельности тесно связаны между собой, воздействуют друг на друга и позволяют руководству принимать целостные управленческие решения в области ИБ во взаимосвязи с другими корпоративными системами управления.

SGRC-система, как правило, предназначена для управления следующими направлениями ИБ:

• политиками ИБ,
• рисками ИБ,
• соответствием требованиям ИБ (нормативным, правовым, корпоративным, отраслевым, локальным),
• внутренними аудитами,
• непрерывностью деятельности компании в сфере ИБ,
• инцидентами ИБ,
• активами на различных уровнях.

Большинство SGRC-решений представляют собой систему сбора и анализа информации о ходе выполнения деятельности во всех подразделениях компании. Информация о возможных рисках и исполнении требований стандартов представляется руководству в виде отчетов, демонстрирующих проблемные места, а руководителям среднего звена эти системы предоставляют информацию, необходимую для идентификации и обработки рисков и несоответствий требованиям.

В данное время SGRC-решения развиваются в двух направлениях – IRP (Incident Response Platform), Risk Management и платформы-конструкторы. Наибольшую популярность в последнее время получают IRP-системы в связи с повсеместным внедрением в компаниях SOC (Security Operations Center) и построением процессов управления инцидентами в целом.