Журнал "Information Security/ Информационная безопасность" #6, 2025

несу ROI от использования SGRC, эко- номию ФОТ – за счет автоматизации, неполученных штрафов (отсутствие репутационного вреда) от хорошего про- хождения проверок регуляторов, кото- рому способствовала автоматизация комплаенса и т. п. Роман Овчинников, Security Vision Система SGRC, как и любая платформа автоматизации, должна ускорять про- цессы, минимизировать влияние челове- ческого фактора (ошибки персонала, субъективность, нехватка кадров), обес- печивать повышение прозрачности СУИБ и количественную оценку эффективности процессов ИБ, а также предоставлять хороший задел на будущее для оциф- ровки новых процессов и применения ИИ. В идеальном случае SGRC должна забирать данные из всех корпоративных систем и обеспечивать ситуационную осведомленность руководителей для при- нятия объективных риск- и дата-ориен- тированных управленческих решений. Если своевременно выявить, что данные в SGRC нерелевантны, а практические выводы ее работы неприменимы, то пере- настройка источников данных и коррек- тировка процессов их обработки помогут актуализировать ценность SGRC. Ксения Коляда, R-Vision SGRC – не продукт первого приоритета в контексте безопасности. Потребность в нем нередко возникает лишь с опреде- ленного уровня зрелости процессов, а их отсутствие имеет накопительный эффект. Поэтому в моменте бизнес действительно может не заметить негативных эффектов. SGRC стоит преподносить как инструмент, который позволит выстроить приоритеты ИБ в соответствии с целями бизнеса, рационально управлять доступными ресурсами и оптимизировать процессы. Если департамент ИБ ощущает дефицит ресурсов, а у руководства накапливается раздражение от непонимания деятельно- сти CISO, SGRC поможет выстроить диа- лог и сделать процесс ИБ более видимым для всех сторон. Николай Казанцев, SECURITM За каждым дашбордом (метрикой) должен лежать смысл для конкретных ИБ-процессов. За метриками должны быть закреплены ответственные. При нарушении порогов метрики должны динамически влиять на комплаенс, риски, процессы ИБ, запускать задачи, то есть являться частью процесса, а не украшением новогодней елки. Андрей Быков, BI.ZONE Дашборды часто не используются потому, что показывают избыточные технические детали, не связанные с целями организации, рисками и ключе- выми направлениями безопасности. Эффективность повышается, когда дан- ные отражают динамику, риски и их критичность, уровень зрелости кибер- безопасности для ключевых активов и отклонения от целевых показателей. Такие показатели дают возможность сразу инициировать меры по улучше- нию. Константин Саматов, BISA Это из-за переизбытка данных (ненуж- ные показатели), плохого интерфейса (нагромождение метрик), отсутствия интеграции в ежедневную работу и неправильных ожиданий (отсутствия опыта использования данной системы) у заказчика. Подходы – не делать все- объемлющий дашборд, а настраивать панели по ролям. Например, для руково- дителя подразделения ИБ/СБ – дашбор- ды с фокусом на стратегические риски, эффективность команды и общую защи- щенность, для аудитора ИБ дашборд должен акцентировать внимание на про- верках, соответствии и доказательствах (свидетельствах аудита) и т. п. Роман Овчинников, Security Vision Действительно, такие "генеральские" дашборды востребованы при внедрении SGRC – они должны отображать инфор- мацию на стратегическом уровне, легко читаться и предоставлять значимые ана- литические выводы. Важно также, чтобы с помощью функционала Drill Down можно было провалиться в данные, на основе которых дашборды были сфор- мированы. На момент написания ТЗ или внедрения SGRC-системы заказчики могут не вполне точно представлять себе финальный образ проекта и те выводы, которые удастся получить по результатам анализа обработанных в SGRC данных. Поэтому важно, чтобы отчетность, даш- борды и другие элементы визуализации могли быть перенастроены уже на этапе эксплуатации системы. Ксения Коляда, R-Vision Любой дашборд быстро теряет цен- ность, если он разрабатывался без учета реальных кейсов использования систе- мы. Чтобы этого избежать, необходимо четко сформулировать, какова реальная цель покрываемых им процессов и какие метрики нужно регулярно отслеживать, чтобы следить за ее выполнением. Лучше начинать с менее масштабных дашбордов и не пытаться охватить все за один раз. Иван Федоров, "НПЦ "КСБ" Наверное, ключевой вопрос здесь не "что?" (дашборд в SGRC), а "зачем?" (как он используется). Если это красивая сводная информация для руководителя ИБ, создающая впечатление, что все вопросы под контролем – это одна исто- рия. Если информация из дашборда постоянно используется в управленчес- ком диалоге с руководством и со смеж- ными функциями (прежде всего – ИТ), то здесь, наверное, и проявляется долго- срочная потребность в решениях GRC- класса. В таком случае ценной будет актуальность, объективность и полнота информации на таком дашборде, гиб- кость настройки нужных и полезных мет- рик с точки зрения целей организации. Константин Саматов, BISA KPI адаптируют под отрасль через при- вязку к регуляторам, рискам и специфи- ческим для отрасли ограничениям. Напри- мер: Заказчики часто требуют всеобъемлющий дашборд в SGRC, но потом им не пользуются. Почему это происходит и какие подхо- ды к созданию дашбордов помогут повысить их эффективность? Каковы ключевые метри- ки (KPI) для оценки эффективности SGRC и как их адаптировать под разные отрасли и компа- нии? 28 • СПЕЦПРОЕКТ Рисунок: ГРОТЕК