Журнал "Information Security/ Информационная безопасность" #6, 2025

Николай Казанцев, SECURITM Часто SGRC подсвечивает слабые места не только в процессах ИБ, но и в ИТ, например в управлении активами, конфигурациями, учетными записями. И если относиться к этому не как к общей точке роста, а как к поводу для спора, то внедрение SGRC может получить противодействие. Константин Саматов, BISA Основная проблема – это неясные цели, то есть отсутствие четкого пони- мания, какие деловые процессы можно автоматизировать и зачем. Решение – предварительный аудит и технико-эко- номическое обоснование, пилотное внед- рение (лучше нескольких разных систем). Иван Федоров, "НПЦ "КСБ" Я отмечу значимость уровня зрелости управленческих процессов и коммуни- каций в организации. При внедрении GRC-решений это один из ключевых факторов успеха. Выявить ранние при- знаки такого рода можно, например, по полноте и содержательности ответов заказчика на вопросы по метрикам функ- ции ИБ, выравненных с бизнес-целями организации, или по существующим под- ходам по оценке рисков ИБ. Под устра- нением можно рассмотреть обозначение необходимости параллельного повыше- ния уровня зрелости общих процессов и коммуникаций в организации. Звучит немного фантастично, я знаю случаи, когда именно вопросы требований ИБ были драйвером для такого развития. Андрей Быков, BI.ZONE Самые ранние признаки – отсутствие заинтересованности у ключевых поль- зователей и непонимание задач, которые будут автоматизированы через систему. Наиболее важный признак, который появляется уже после внедрения, – ред- кое использование системы. Для эффек- тивного использования системы необхо- димо обеспечить вовлеченность всех подразделений и встроить SGRC во внутренние процессы. Не навязывать систему как дополнительную нагрузку, а использовать для упрощения уже имеющихся задач. Константин Саматов, BISA Я бы выделил два основных направ- ления: 1. Объем и уровень автоматизации конт- ролей (контроли – единицы учета в систе- ме): безопасники хотят автоматические проверки, бизнес опасается блокировок процессов (транзакций), аудит требует документирование автоматизации. 2. Интерпретация регуляторных тре- бований: безопасники интерпретируют с точки зрения минимизации рисков, бизнес – с точки зрения минимизации издержек, аудит же предполагает бук- вальное толкование. Ксения Коляда, R-Vision Один из краеугольных вопросов в рам- ках SGRC-систем – оценка ценности активов, поскольку вся дальнейшая приоритизация работы строится на ее основе. Часто безопасники не обладают достаточным контекстом по активу, а бизнес не насколько погружен в тех- нические аспекты безопасности, чтобы дать взвешенный ответ. В итоге одна сторона боится нести ответственность за цифры, а другая – не доверяет резуль- татам. Разработка подхода к решению этой задачи требует хорошо налажен- ного диалога между бизнесом и ИБ и утверждения методики, которой бы доверяли все заинтересованные лица. Иван Федоров, "НПЦ "КСБ" Трудности и споры в коммуникациях чаще всего вызывает разность в цен- ностных картинах мира: бизнес, ИБ- функция, другие заинтересованные сто- роны видят ее по-своему. Споры возни- кают чаще всего не из-за конкретного предмета, а из-за разности взглядов на него. В этом, на мой взгляд, и дорога к конструктивному диалогу, – через насыщенный контекстом диалог и через выравнивания, сближение взаимных представлений вообще, и о функции ИБ в частности. Хорошим признаком про- гресса будет набор выравненных с биз- несом метрик функции ИБ, подход к оценке рисков с точки зрения бизнеса. Роман Овчинников, Security Vision Если SGRC настраивается гибко, то каждая команда работает со своими процессами в своем интерфейсе, а споры сводятся к способам устранения выявлен- ных недостатков. При внедрении каждая группа может преследовать свои цели, но главное, чтобы они не противоречили друг другу. Преимуществом SGRC является возможность посмотреть на компанию с точки зрения показателей и метрик, поэтому важно завести в систему все необходимые источники, обогащать и коррелировать собранные данные, строить аналитику в различных разрезах, обеспечивать мониторинг состояния про- цессов и инфраструктуры, способство- вать повышению уровня зрелости СУИБ и смежных процессов. В современных продуктах SGRC поддерживаются кон- тентно-ролевая модель управления доступом ко всем элементам системы и глубокая кастомизация интерфейса под потребности команд заказчика, а резуль- таты работы системы (статистика, ана- литика) визуализируются на разнооб- разных графических элементах с под- держкой функционала Drill Down. Андрей Быков, BI.ZONE Это говорит о том, что система не интег- рирована в ключевые бизнес-процессы и воспринимается только как инструмент отчетности для аудита или временное реше- ние, которое не решает реальные боли компании. Еще на этапе внедрения необхо- димо провести аудит, чтобы сформировать конкретные цели и понять, какие бизнес- процессы нужно автоматизировать. При таком подходе система будет действительно помогать и позволит в дальнейшем сэко- номить время и ресурсы команд. Константин Саматов, BISA Бизнесу от SGRC всегда "не больно", так как это, как правило, инструмент работы специалистов подразделения ИБ (иногда СБ), автоматизации их задач. Если нужно защитить бюджет на сопро- вождение, то необходимо показать биз- Что в SGRC чаще всего вызывает трудности и споры внутри команды – между безопасниками, бизнесом, аудитом? Если видно, что SGRC теряет актуальность, но бизнесу от этого "не боль- но" – как это объяснить и что предложить? • 27 SGRC www.itsec.ru Рисунок: ГРОТЕК