Журнал "Information Security/ Информационная безопасность" #6, 2025

Андрей Быков, BI.ZONE Основное, что оказалось проще – это этап внедрения. GRC – это комплексная система с обширной функциональ- ностью. На начальном этапе компаниям нужно время для настройки системы, внедрения в бизнес-процессы, подключе- ния к работе ответственных подразде- лений. Компании часто беспокоятся, что это долгий и сложный процесс, но фак- тически все проходит значительно проще и быстрее. Ксения Коляда, R-Vision Как правило, на первых этапах зна- комства с продуктом его ключевые про- цессы кажутся наиболее сложными – оценка рисков, проведение аудитов. На деле оказывается, что вся связанная с ними функциональность давно прошла проверку реальными кейсами, учиты- вает лучшие практики и готова к быстрому старту. Настоящие сложно- сти начинаются на стыке настроек и организационных вопросов заказчика: какие критерии оценки ценности исполь- зовать, насколько детально связывать требования законодательства друг с другом и т. д. Николай Казанцев, SECURITM Сложности случаются, если заказчик не проявляет интереса к системе или у заказчика просто некому работать в SGRC. Такую систему недостаточно просто установить, SGRC – это модер- низация процессов, а значит и измене- ние подходов, стиля мышления в служ- бе ИБ. Константин Саматов, BISA Проще – автоматизация отчетности: готовые шаблоны просто оцифровать и затем использовать для повышения эффек- тивности работы специалиста по ИБ. Слож- нее – интеграция в инфраструктуру: как правило, SGRC поставляются с готовыми подключениями, если они не подходят, то переделать их сложно и зачастую дорого (вендор просит большие суммы). Роман Овчинников, Security Vision Реализация интеграций с ИТ-/ИБ- системами заказчика и воспроизведение логики бизнес-процессов могут оказать- ся проще, чем ожидается – конечно, при условии гибкости функционала решения. В нашей SGRC-платформе реализован инструментарий No-Code/Low-Code, в котором с помощью интуитивно понят- ного графического конструктора поль- зователи могут легко создавать новые интеграции и дорабатывать внутреннюю логику работы системы под требования компании. Сложнее бывает рационально использовать полученные в SGRC инсай- ты для корректировки процессов и исправления неэффективных контр- мер, поэтому важно подчеркивать прак- тическую применимость результатов работы решения для топ-менеджмента. Ксения Коляда, R-Vision Как и при внедрении любой ком- плексной системы, в случае продуктов класса SGRC важно, чтобы это внед- рение решало четкую задачу. Заказчик должен понимать, какие именно потребности он хочет закрыть автома- тизацией, и какой результат должен получиться на выходе. В противном случае у команды не будет мотивации работать в системе, адаптировать ее под свои потребности. Ресурсы на раз- витие системы будут выделяться в последнюю очередь, данные быстро устареют и проект потеряет актуаль- ность, каким бы функционалом не обладала система. Роман Овчинников, Security Vision Как и для других проектов, отсут- ствие заинтересованности у лиц, при- нимающих решения в компании, может поставить внедрение SGRC под удар – это стратегический риск. Ини- циатива снизу может быть эффектив- на для менее масштабных проектов, но для управления всей СУИБ и, воз- можно, смежными процессами требу- ется поддержка топ-менеджмента. Сдерживающими факторами могут также быть нежелание централизации и автоматизации процессов исполни- телями (по различным причинам) и сложности с формализацией теку- щих процессов ИБ и риск-менедж- мента. Для результативного внедрения важно показать преимущества SGRC стейкхолдерам из различных подраз- делений – не только ИТ-/ИБ-департа- ментам и риск-менеджерам, но и служ- бе безопасности, комплаенс-специа- листам, внутренним аудиторам, юри- стам, бизнес-аналитикам. Кроме того, важно собирать обратную связь от конечных пользователей и оперативно ее обрабатывать, добавляя новый функционал. По вашему опыту, что в SGRC оказалось проще, чем ожидают заказчики, а что сложнее? Какие ранние признаки на старте проекта по внедре- нию SGRC указывают на высокий риск его недолго- вечности или быстрого устаревания? 26 • СПЕЦПРОЕКТ SGRC: многообещающий дашборд безопасности истема SGRC умеет почти все, но в реальности работает только там, где ее не пытаются использовать просто как красивую витрину. Мы собрали мнения экспертов: что буксу- ет, а что, наоборот, дает неожиданный эффект. Никакой теории – только то, что видно изнутри. С Андрей Быков, руководитель BI.ZONE GRC Николай Казанцев, CEO SECURITM Ксения Коляда, руководитель продукта R-Vision SGRC Мария Новикова, менеджер по развитию бизнеса R-Vision Роман Овчинников, директор департамента внедрения Security Vision Константин Саматов, эксперт BISA (Business Information Security Association) Иван Федоров, первый заместитель генерального директора ООО “НПЦ “КСБ”