Журнал "Information Security/ Информационная безопасность" #6, 2025

1. Финансы – акцент на требования ЦБ, быстрые сроки и автоматизацию. 2. Отрасли входящие в КИИ – контроли под циклы АСУ ТП и методики ФСТЭК России. 3. Ретейл/E-com – ПДн, поставщики, веб-уязвимости. Контроли меняют периодичность, вла- дельцев и виды доказательств под спе- цифику отрасли. Мария Новикова, R-Vision Ключевые метрики для оценки эффек- тивности могут быть у каждой компании свои, но необходимо сосредоточиться на следующих аспектах: 1. Время работы. Насколько быстро вы проводите аудит и высчитываете риски. 2. Процент автоматизации. Одна из задач SGRC – упростить жизнь и значи- тельно сэкономить время коллегам бла- годаря автоматизации процессов. К сожалению, не всегда этот процент зависит только от использующегося ПО. При внедрении SGRC необходимо также провести большую работу по выстраи- ванию новых процессов. 3. Количество времени и/или кликов для выгрузки информации по состоянию ИБ. Для директоров и руководителей в первую очередь необходимо быстро и системно получать информацию о состоянии защищенности их компании. Данный процесс необходимо сделать максимально простым и понятным для сотрудников. Конечно, под разные отрасли эконо- мики есть свои приоритетные KPI. Для КИИ в первую очередь – это время и количество специалистов, которые необходимы для процесса категориро- вания. Банкам стоит сделать упор на скорости и автоматизации расчетов по 716-П и операционных рисков. Осталь- ным отраслям стоит сосредоточиться на законах, которые относятся к именно их специфике, и брать в расчет время на их обработку. Николай Казанцев, SECURITM Основные метрики: 1. Количество процессов, переведен- ных на SGRC. 2. Экономия времени на каждом из процессов за счет автоматизации. Андрей Быков, BI.ZONE Метрики во многом зависят от кон- кретной организации, но можно выде- лить основные: показатели остаточного риска; покрытие ключевых информа- ционных активов средствами защиты; скорость устранения уязвимостей с уче- том их критичности; доля инцидентов, обнаруженных на ранних этапах; общий уровень зрелости организации по раз- личным направлениям кибербезопасно- сти. Адаптация метрик зависит от спе- цифики отрасли: в здравоохранении важны защита персональных данных и непрерывность работы медицинских систем; в энергетике – устойчивость критической инфраструктуры и изоляция технологических сетей; в розничной тор- говле – защита платежных данных и мониторинг каналов взаимодействия с клиентами. Роман Овчинников, Security Vision Для оценки эффективности SGRC можно использовать метрику оценки полноты автоматизации процессов ИБ, полноты охвата источников данных в инфраструктуре, оценивать актуаль- ность информации в SGRC с учетом дедупликации и обогащения, результа- тивность использования встроенных и кастомизированных качественных и количественных методик оценки рис- ков и моделирования угроз. Можно оце- нивать экономию времени, достигнутую с помощью SGRC на формирование отчетности, заполнение различных опросных листов, проведение проверок соответствия (внутренних аудитов, само- оценок). Метрики, пороговые значения, индикаторы эффективности должны настраиваться в самой SGRC-системе – это поможет адаптировать их под раз- личные сценарии применения. Роман Овчинников, Security Vision Большинство новых функций, скорее всего, будет связано с применением технологий ИИ в SGRC-решениях. Например, в системе Security Vision SGRC технологии ИИ используются уже сейчас для моделирования угроз и про- гнозирования рисков, а в ближайших релизах мы будем применять ИИ для моделирования достижимости риска, динамического расчета индикаторов риска, автоматической оценки рисков с учетом инцидентов и свойств активов, а также появится ИИ-ассистент по обра- ботке рисков. В ближайшие 1–2 года SGRC-системы могут стать полноцен- ными центрами управления всеми кор- поративными процессами, связанными с ИТ и ИБ, и смогут применяться для глубокой аналитики и ретроспективного поиска взаимосвязей, мониторинга инфраструктуры и контроля эффектив- ности бизнес-процессов с учетом мно- жества событий из самых разных источ- ников. Андрей Быков, BI.ZONE Использование искусственного интел- лекта для анализа данных, которые собраны GRC, и прогнозирование рисков на их основе. Помимо этого, автомати- зация рутинных задач (например, обра- ботка уязвимостей) и более глубокая аналитика. Появится также больше гото- вых отраслевых шаблонов, что ускорит внедрение системы, например для BI- аналитики, чтобы руководство в режиме реального времени оценивало ключевые для него факторы. Константин Саматов, BISA В силу большого внимания к техноло- гиям искусственного интеллекта логично предположить, что в ближайшее время в SGRC массово начнут встраивать большие языковые модели. Собственно, на мой взгляд, они должны хорошо впи- саться в системы такого рода. Как мини- мум выглядят уместными ИИ-ассистенты для таких систем. Ксения Коляда, R-Vision Мы наблюдаем тренд перехода к кросс-продуктовым сценариям. Поль- зователи хотят опираться на реальные данные, поступающие из внедренных ИБ-продуктов, – рассчитывать риски, приоритизировать защитные меры с уче- том фактической статистики по киберу- грозам и уязвимостям. Поэтому ожида- ется увеличение интеграций с продукта- ми класса SOAR и VM. l Какие новые функции появятся в SGRC-системах в ближайшие 1–2 года? • 29 SGRC www.itsec.ru Рисунок: ГРОТЕК Ваше мнение и вопросы присылайте по адресу is@groteck.ru