|
Управление – риски – соответствие
Главная /
Архив номеров / 2014 / Выпуск №7 (40) / Управление – риски – соответствие
Рубрика:
Управление рисками
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Андрей Бирюков, системный архитектор, ЗАО «НИП Информзащита»
Управление – риски – соответствие
Этими процессами можно оперировать с помощью решений GRC
Аббревиатура GRC (Governance Risk Appliance) для российского рынка ИТ достаточно нова. Многие наслышаны о ней, однако далеко не каждый ИТ-руководитель сможет внятно объяснить, что это такое, а тем более назвать основных игроков данного направления. В этой статье я рассмотрю концепцию GRC с точки зрения ИТ вообще и информационной безопасности в частности. Также приведу примеры решений и опишу основные трудности, связанные с внедрением этих решений в России.
Начнем с определения термина GRC. Перевод следующий: Governance – стратегическое управление, Risk Management – управление рисками, Compliance – управление соответствием. Объединение этих процессов в одну группу позволяет добиться высокой эффективности их реализации за счет единых источников информации о рисках и контролях, управлении целями на основании результатов анализа рисков и соответствиями с учетом существующего контроля.
Не слишком понятное объяснение, не так ли? Отчасти поэтому на рынке существует довольно большая путаница относительно термина GRC. И пока общепринятого определения не существует. Конкретные требования к GRC могут определяться направлением деятельности компании или эксперта. При этом GRC определяется ими как совокупность технических решений. А требования должны соответствовать нормативам и лучшим практикам при условии оптимизации управления рисками.
На Западе данное направление развивается благодаря требованиям регуляторов, а именно документам SOX (Sarbanes-Oxley Act, финансовая отчетность для предприятий), Basel-II (требования к банковским капиталам), HIPAA (Health Insurance Portability and Accountability Act – требования к хранению медицинских данных граждан) и других. Данные документы прямо указывают на необходимость в организации внутренних систем управления ИТ, которые позволят эффективно управлять рисками. Российские же регуляторы пока не сильно требуют наличия в организации четкого набора правил и процедур, позволяющих эффективно управлять рисками, избегая «тушения пожаров», возникающих из-за несогласованности и размытой ответственности при управлении рисками.
Однако, говоря о российских GRC, не лишним будет заметить, что они довольно активно применяются в направлении информационной безопасности. Здесь благодаря требованиям ФСТЭК и ФСБ все организации, обрабатывающие персональные данные, должны разработать модели угроз и применять меры к защите информации на всех этапах ее обработки.
От слов к делу
Достичь целей GRC только с помощью развертывания в компании какого-либо ИТ-решения невозможно. Опыт показывает, что для эффективного управления рисками требуются наличие регламентов и процедур для управления ИТ и теми же рисками, эффективное взаимодействие специалистов из различных подразделений, грамотно использующих данные документы. Также все бизнес-процессы в компании должны быть автоматизированы для эффективного контроля всех критичных для GRC задач.
Какие компании используют GRC
Решения GRC достаточно специфичны и, скажем честно, не всем компаниям подходят. И речь здесь не только о бюджетах и размерах организации. Например, если почтовый сервер или каталог Active Directory нужны практически любой компании с численностью более 10 человек, то GRC требуется организациям, к которым предъявляются более критичные требования. Каковы же они?
Прежде всего это наличие сложной гетерогенной ИТ-инфраструктуры, состоящей из множества решений различных вендоров. При этом важным критерием является количество пользователей в корпоративной сети. Для того чтобы внедрение GRC было оправдано, их должно быть не менее тысячи. Также необходимо наличие нескольких критичных бизнес-приложений, сбор сведений с которых необходим для комплексной оценки рисков.
Еще одним немаловажным критерием является необходимость наличия у заказчика высокого уровня развития процессов ИБ. То есть недопустимой является ситуация, когда развитие ИТ и ИБ в организации находится на начальном уровне. Как минимум у руководства должно быть осознание необходимости процессов управления ИБ и предприняты меры по их формализации. Важным практическим аспектом применимости решений GRC является возможность использования многочисленных требований государственных регуляторов. Здесь наглядным примером являются требования российских госорганов к защите персональных данных (ПДн). Зачастую бизнес-приложения построены таким образом, что каждый пользователь (которых несколько тысяч) обрабатывает на своей машине ПДн. И выполнение всех требований законов приведет к многомиллионным затратам, которые выражаются либо в необходимости модификации приложений, либо в установке на них средств защиты. Использование GRC позволит учитывать данные риски при проектировании новых бизнес-систем.
Ну и, наконец, необходимо, чтобы в компании было несколько подразделений, заинтересованных во внедрении GRC. Типичной при внедрении какой-либо системы является ситуация, когда руководитель одного из подразделений (ИТ или ИБ) пытается внедрить в компании то или иное решение и сталкивается с отчаянным сопротивлением своих коллег из других подразделений. Причины такого противостояния могут быть различны, например, нежелание ИТ находиться под контролем ИБ, но результат всегда один – решение не удается внедрить. Таким образом, обязательным условием успешного внедрения GRC является наличие нескольких заинтересованных подразделений (внутренний контроль, операционные риски, соответствие требованиям регуляторов, информационная безопасность, информационные технологии) и их желание усовершенствовать свою деятельность.
Теперь немного поговорим о том, что заказчик получит в результате внедрения. Прежде всего GRC позволяет получить целостную картину состояния ИБ в организации. Будут выявлены наиболее рискованные бизнес-процессы. Также можно будет определить приоритеты для решения тех или иных задач обеспечения ИБ. Благодаря отчетам GRC можно будет получить информацию о том, какие отделы выполняют аналогичные функции, насколько эффективно расходуются выделяемые ресурсы. На основании этих данных можно будет выстраивать соответствие требованиям регуляторов.
Ну а теперь перейдем к описанию непосредственно технических решений, предназначенных для GRC.
SAP GRC
SAP GRC – это решение от известного германского разработчика. Возможно использование нескольких модулей в зависимости от решаемых задач.
Модуль Business Objects Process Control встраивается в стандартные бизнес-процессы. Его преимуществом является возможность получать информацию о состоянии рисков напрямую из бизнес-систем посредством автоматического сбора информации Условным недостатком, впрочем, присущим всем GRC-системам, можно назвать необходимость досконального знания бизнес-процессов в организации.
Второй модуль SAP Business Objects Risk Management позволяет создать автоматизированную среду для управления, мониторинга и анализа рисков, а также реакции на инциденты. Здесь решение представляет собой отдельное приложение, которое осуществляет сбор информации с бизнес-приложений посредством коннекторов. Корреляция собранных событий осуществляется ядром системы, которое и производит наблюдение за совокупностью рисков и своевременно сообщает менеджерам о превышении пороговых величин, определенных в компании.
В этом модуле возможно также использование двух компонентов: SAP GRC Access Control и SAP GRC Process Control. SAP GRC Access Control предназначен для управления рисками несанкционированного доступа и контроля использования сотрудниками должностных обязанностей. Здесь реализован функционал, который обычно используется в SIEM-системах, такой как учет неудачных попыток входа в систему, работа под правами администратора, использование административных привилегий и тому подобное. Однако в данном случае модуль Access Control имеет заранее заданный набор правил, по которым и осуществляются контроль событий и проверка на соответствие уже заданным правилам корреляций.
Второй модуль SAP GRC Process Control предназначен для управления процессами обеспечения соответствия требованиям регуляторов. Функционал данного модуля в России будет наиболее полезен для финансовых организаций и банков, так как здесь используются требования таких стандартов, как PCI-DSS, SOX и прочие.
Как и следовало ожидать, данный продукт ориентирован на работу с другими модулями SAP.
Говорить о стоимости внедрения решения можно очень примерно, так как, помимо цены лицензий, необходимо также учитывать огромный объем работы для аналитиков, которые будут внедрять продукт у конкретного заказчика. Тем не менее примерный ценник внедрения SAP GRC начинается от одного миллиона евро за представленный набор модулей.
IBM OpenPages
Компания IBM также представила на рынке свое решение GRC. IBM OpenPages GRC – это не просто приложение, а, по сути, интегрированная платформа управления рисками предприятия и контроля за соблюдением нормативных требований. Это решение также интегрируется в существующую инфраструктуру бизнес-приложений. Стоит отметить, что функционал данного продукта охватывает область рисков и соблюдения нормативных требований западных регуляторов.
В состав IBM OpenPages входит и OpenPages IT Governance, с помощью которого можно настроить правила, позволяющие отслеживать соответствие существующей ИБ-инфраструктуры требованиям стандартов и регуляторов. Здесь также имеется набор готовых правил и корреляций для различных нормативных требований. При необходимости можно составлять и собственные правила.
Еще один модуль IBM OpenPages Financial Controls Management позволяет автоматизировать процесс управления средствами финансового контроля. По сути, он содержит набор правил, для соответствия западным требованиям SOX. Так как на российском рынке это может быть актуально только для организаций, работающих с западными финансовыми компаниями, область применения данного компонента не слишком велика.
И, наконец, последний модуль IBM OpenPages Operational Risk Management позволяет автоматизировать процесс выявления и анализа операционных рисков и управления ими, а также дает возможность предприятиям собирать все данные о рисках в единой среде безопасности.
В целом это решение, так же как и SAP GRC, ориентировано на соответствие западным стандартам и для использования в российских реалиях требует существенной доработки.
RSA
Еще один крупный игрок на рынке GRC – компания RSA.Ее продукт RSA Archer eGRC аналогично ориентирован на анализ рисков, позволяет создавать совместную программу eGRC для управления рисками предприятия. Здесь также производится контроль соответствия требованиям регуляторов и контроль управления рисками на предприятии. Гибкая платформа RSA Archer eGRC позволяет интегрировать систему с многочисленными источниками данных без написания программного кода. То есть имеющийся функционал коннекторов, отвечающих за сбор информации с источников, достаточно гибок в использовании и не требует специальных знаний по программированию. Дополнительные компоненты RSA Archer eGRC Community при взаимодействии с Exchange предлагает поддержку работы с пользовательскими рассылками и оперативный обмен приложениями, а также услугами и средствами интеграции.
HP EnterpriseView
Еще одна компания, без решений которой на сегодняшний день не обходится ни одно крупное направление, – это HP. На рынке GRC она представляет свой продукт HP EnterpriseView. Ключевыми функциями данного продукта являются возможность объединения ИТ- и бизнес-приоритетов с общими целями и, следовательно, совместное понимание методов решения поставленных задач.
Продукт позволяет осуществлять непрерывный мониторинг рисков и их соответствие западным стандартам даже в постоянно изменяющейся ИТ-инфраструктуре. Используются технологические решения для управления и исправления документов.
Управление активами производится через интуитивно понятные доски управления (dashboards).
Одной из наиболее интересных особенностей HP EnterpriseView является возможность интегрироваться с другим широко известным решением – HP ArcSight. Благодаря этому сбор информации о событиях существенно упрощается, так как за это отвечает ArcSight, и его богатый функционал по подключению различных типов источников позволяет подключать практически любые приложения, которые генерируют журналы событий.
Как и все остальные решения, данный продукт ориентирован на требования западных регуляторов.
Что в результате
Описание основного функционала GRC-решений можно свести в единую таблицу (см. таблицу 1).
Таблица 1. Основной функционал GRC-решений
| Разработчик |
Решения |
Краткая характеристика |
Внедрения в РФ |
Ориентировочная стоимость внедрения |
| SAP GRC |
Risk Management |
Управление рисками организации |
Есть внедрения в РФ, в разных секторах |
От 1 млн евро за 3 модуля |
| AccessControl |
- Анализ рисков доступа
- Управление доступом
- Бизнес-ориентированное управление ролями
|
| Process Control |
- Оптимизация процедуры внутреннего аудита
- Контроль соответствия внешними и внутренним нормативным требованиям
|
| IBM Open Pages |
OpenPages ITG |
Оценка и управление ИТ-рисками:
- Исполнение ИТ-политик и правил, соответствие ИТ-стандартам
- Отслеживание и оценка выполнения контрольных процедур
- Обеспечение интегрированного управления ИТ- и бизнес-рисками и стандартами
|
Есть внедрения в РФ |
|
| RSA Archer eGRC Platform |
Policy Management |
- Централизованное управление политиками, приведение их в соответствие с целями и рекомендациями
|
Внедрений нет |
От 350 тыс. евро за 3 модуля |
| Risk Management |
- Выявление рисков, их анализ через online-процедуры
- Оценка и присвоение метрик
- Определение процедур реагирования для устранения или принятия риска
|
| Compliance Management |
- Документирование механизмов контроля
- Разработка критериев оценки и операционной эффективности
- Реагирование на отклонения от политик и требований регуляторов
|
| Incident Management |
- Документирование инцидентов и нарушений
- Управление эскалацией, контроль расследований и оценка результатов
|
| Threat Management |
- Контроль угроз через централизованную систему раннего предупреждения
|
| Business Continuity Management |
- Автоматизация процесса разработки планов непрерывности бизнес-процессов и аварийного восстановления
- Антикризисное управление
|
| HP Enterprise View |
Policy Management |
Управление политиками:
- Определение политик на основании шаблонов и лучших практик
- Контроль выполнения требований политик
|
Внедрений нет |
От 250 тыс. евро за модуль |
| Risk management |
- Определение и сбор показателей для оценки рисков на основании информации об угрозах, конфигурации систем
- Соотнесение рисков с бизнес-активами
|
Направление управления рисками и соответствия стандартам является сложным и относительно новым видом деятельности на рынке ИБ. Все задачи GRC нельзя решить только техническими средствами, необходимо также использовать регламенты и иные нормативные документы. Важна также заинтересованность различных подразделений в получаемом результате.
***
Что касается непосредственно существующих продуктов, то, пожалуй, их основным недостатком является четкая ориентация на иностранные стандарты и нормативные требования. Для разработки правил соответствия необходимо существенно дорабатывать имеющиеся решения.
- Страница SAP GRC – http://www.sap.com/pc/analytics/governance-risk-compliance.html.
- Страница IBM Open Pages – http://www-03.ibm.com/software/products/ru/openpages-grc-platform.
- Страница RSA Archer eGRC Platform – http://russia.emc.com/security/rsa-archer.htm.
- Страница HP Enterprise View – http://www8.hp.com/us/en/software-solutions/software.html?compURI=1341879#.U_JQKmPE7D0.
В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Ассоциация разработчиков «Отечественный софт» отметила 15-летие 
РДТЕХ представил Технологическую карту российского ПО 2023 
RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool 
На RIGF 2024 обсудили ключевые вопросы цифрового развития России 
_cover.jpg)
