Журнал "Information Security/ Информационная безопасность" #1, 2026

Классический подход к кибербезопас- ности, в основе которого лежит реагиро- вание на инциденты и точечное закрытие требований регуляторов, уходит в прошлое, не справляясь со скоростью изменений в законодательстве, растущим давлением со стороны регулирующих органов и услож- нением ИТ-инфраструктуры компаний. В свою очередь решения класса SGRC становятся все более востребованными. Преимущества SGRC-систем для бизнеса SGRC – класс решений, которые авто- матизируют управление рисками, повы- шают прозрачность процессов кибербе- зопасности и обеспечивают соответствие нормативным требованиям. SGRC-системы позволяют: l управлять рисками – создать единый реестр и проводить оценки, связанные с бизнес-целями; l контролировать процессы кибербезо- пасности и управлять ими – формиро- вать актуальные дашборды, метрики и отчеты о состоянии кибербезопасности в организации; l развивать и стандартизировать прак- тики кибербезопасности в холдингах – выстраивать единый подход к управле- нию процессами и повышать их уровень зрелости; l автоматизировать комплаенс – орга- низовать мониторинг и сбор доказа- тельств соответствия требованиям ФСТЭК России, ФСБ России, Роском- надзора, Центрального банка РФ. Внедрение SGRC-систем позволяет снизить операционные затраты, повы- сить скорость реакции на угрозы и мини- мизировать штрафы. Достижение биз- нес-эффекта напрямую зависит от глу- бины интеграции системы в ежедневные операции компании. Внедрение SGRC пошагово Рекомендуемый путь внедрения систе- мы включает четыре этапа. Первый этап: оценка текущего состояния процессов Результатом аудита должен быть не формальный отчет, а детальное пони- мание бизнес-процессов компании. Без этого настройка решения не будет адап- тирована под реальные сценарии. Второй этап: постановка конкретных целей Абстрактные цели, например автома- тизация СУИБ, необходимо разбить на конкретные измеримые задачи для каж- дого вовлеченного подразделения. Толь- ко так система получит релевантные данные для автоматизации. При постановке целей, вовлекая сотрудников из непрофильных подраз- делений (финансового, юридического, производственного блока), важно учесть нюансы коммуникации. Если SGRC- система воспринимается ими как допол- нительная нагрузка, а не как инструмент оптимизации, то это может привести к сопротивлению изменениям. Третий этап: пилотирование SGRC-системы Успешный пилот – это работающий прототип, который можно показать скеп- тически настроенному руководству. Пилотирование должно проводиться на репрезентативном бизнес-процессе, например на управлении инцидентами или соблюдении одного конкретного регуляторного требования. Цель пилотирования – не опробовать возможности системы, а отработать взаи- модействие всех участников, выявить про- блемы в качестве данных и доказать прак- тическую пользу на ограниченном участке. Четвертый этап: масштабирование решения Расширять функциональность системы следует постепенно. Ключевая ошибка на этапе масштабирования заключается в попытке подключить все и сразу, что приводит к перегрузке команды проекта и резкому падению качества данных. Эффективнее всего подключать каждый новый модуль только после стабилиза- ции и принятия предыдущего. Трудности внедрения SGRC и способы их преодоления Внедрение SGRC-системы редко сво- дится только к установке программного продукта и его базовой настройке. Это проект по трансформации подходов к управлению кибербезопасностью, рис- ками и соответствием требованиям регу- ляторов. Он затрагивает сразу несколько уровней – от стратегических целей биз- неса до повседневных операционных процессов и привычек сотрудников. На практике многие компании начи- нают внедрение с технологической сто- роны: выбирают платформу, разворачи- вают ее в инфраструктуре, настраивают роли и справочники. Но без пересмотра процессов, ответственности и логики взаимодействия между подразделениями система остается изолированным инстру- ментом. В таком виде она не снижает риски и не упрощает работу, а лишь добавляет еще одну точку отчетности. Кажется, что внедрение будет долгим и трудным На старте проекта внедрение SGRC- системы часто воспринимается как чрез- мерно масштабная задача. Объем работ по описанию процессов, настройке спра- вочников, ролей и интеграций выглядит пугающе, особенно на фоне уже загру- женных команд ИБ и ИТ. Дополнительные опасения вызывает риск парализовать текущие операции: сотрудники боятся, что внедрение потре- бует значительных ресурсов и отвлечет от выполнения регуляторных требова- ний, сопровождения аудитов и реагиро- вания на инциденты. В результате проект нередко застревает на этапе подготовки и согласований, так и не переходя к прак- тической реализации. Решение: Процесс внедрения проходит значи- тельно быстрее и проще при правильной фокусировке. Главное – не пытаться автоматизировать все сразу. 46 • ТЕХНОЛОГИИ Как внедрить SGRC-систему так, чтобы она приносила пользу? GRC-системы уже считаются стандартом для зрелых процес- сов кибербезопасности. Однако из-за ошибок во внедрении они могут не приносить ожидаемой отдачи. Рассмотрим спо- собы раскрытия всего потенциала решений класса SGRC при их интеграции в бизнес-процессы. S Андрей Быков, руководитель BI.ZONE GRC Фото: BI.ZONE