Журнал "Information Security/ Информационная безопасность" #6, 2025

ленческой деятельности". Набор при- ложений операционного уровня попол- няется решениями для управления инци- дентами ИБ ( АльфаИнциденты 4 ) и решениями для управления осведом- ленностью ( АльфаИнтенсив 5 ). В банковской сфере даже при внед- ренных GRC-решениях всегда сохра- нялся интерес к использованию Альфа- Док в части защиты персональных дан- ных, и теперь мы дополняем возможно- сти этого приложения оценкой и разра- боткой актуальных мер для финансовых организаций (ГОСТ Р 57580). Контуры GRC Экосистема развивалась как поэтап- ная автоматизация наиболее востребо- ванных практических задач, которые стояли перед российскими организация- ми на разных этапах развития инфор- мационной безопасности, а не как попыт- ка сразу создать идеальный GRC. Тем не менее по совокупности реализован- ных контуров сегодня экосистема пол- ностью укладывается в функциональный класс GRC-систем. 1. В части контура управления (Gover- nance) экосистема обеспечивает управ- ление политиками, регламентами, роля- ми, ответственностью и непосредственно мероприятиями и задачам в области информационной безопасности. Форми- руя управляемую ИБ-функцию, связан- ную с целями организации, а не набор разрозненных мероприятий. 2. Контур соответствия требованиям (Compliance) является одним из наиболее зрелых: реализованы перечни и реали- зации требований, механизмы само- оценки, что позволяет организациям объективно понимать свой уровень соот- ветствия требованиям ФСТЭК России, ФСБ России и РКН. 3. В части управления рисками (Risk Management) экосистема поддерживает моделирование угроз. Развитие этого контура идет в сторону глубокой экс- пертной автоматизации, что особенно важно в условиях роста сложности систем и требований. 4. Отдельного внимания заслуживает управленческая аналитика: экосистема формирует показатели и статусы соот- ветствия, динамику готовности к про- хождению контрольно-надзорных меро- приятий. 5. Контуры управления доступом, инци- дентами, средствами криптографической защиты и осведомленностью пользова- телей реализует операционный уровень GRC: бизнес-процессы проверки соот- ветствия, фиксация результатов, кор- ректирующие действия, управление инцидентами – таким образом обес- печивается замкнутый управляемый цикл безопасности. Контур управления активами, интегрированный в ИТ-ланд- шафт организации, формирует основу всей информационной модели экоси- стемы. В контексте развития экосистемы при- ложений Альфа GRC – не догма, а прак- тическая архитектура управляемой ИБ- функции, которая обеспечивает: l доступную экспертизу внутри продук- та без навязывания идеальной модели; l операционную эффективность функ- ции ИБ через автоматизацию рутинных задач, преимущественно на стыке с ИТ- функцией; l понятный управленческий контекст для конструктивного диалога с ИТ-функ- цией, высшим руководством, иными заинтересованными сторонами. Заключение Экосистема "Альфа" выросла вместе с рынком и во многом повторила путь развития российской ИБ. Она не пыта- лась сразу охватить весь спектр задач, а последовательно закрывала те из них, которые становились для организаций наиболее актуальными. Такой подход позволил создать инструменты, которые работают в реальных условиях, а не в идеаль- ной модели. Сегодня важнее не количество функций, а простота и удобство управления ими: понима- ние происходящего, конт- роль процессов, подготов- ка к проверкам и отсле- живание проблем. Экосистема обеспечи- вает все эти возможности за счет объ- единения функций управления, соответ- ствия требованиям, рисков и операцион- ных задач в одну понятную структуру. Для разных типов организаций – от небольших учреждений до крупных хол- дингов – такая практичность становится ключевой. "Альфа" не предлагает уни- версальный рецепт, но позволяет выстроить рабочий и предсказуемый контур безопасности, который можно развивать без перестройки всей инфра- структуры. l • 25 SGRC www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ООО "НПЦ "КСБ" см. стр. 78 NM Реклама Рисунок: ООО "НПЦ "КСБ" 4 https://npc-ksb.ru/alfaincidents 5 https://npc-ksb.ru/alfaintensive