Загрузка не удалась. Возможно, проблемы с правами доступа?

GRC - Governance, risk management and compliance

Идея

Аббревиатура GRC сложена из первых букв английских слов Governance, Risc, Compliance, перевод которых на русский язык в рамках описываемой предметной области не настолько прост, насколько это может показаться с первого взгляда. Этим термином западные эксперты обозначают новую парадигму обеспечения информационной безопасности, состоящую из трех основных направлений деятельности, цель которых — решение трех вышеописанных задач, стоящих перед современным руководителем службы информационной безопасности (CISO).

Governance — стратегическое управление информационной безопасностью на высшем уровне. Это понятие несет в себе вполне определенный практический смысл, а именно — вывод вопросов, касающихся защиты информационных активов на высший уровень управления компанией. Это понятие не следует путать с термином Management, не смотря на то, что оба они переводятся на русский язык как «управление». Если Management — это повседневная деятельность CISO, то Governance — это представление ситуации вокруг обеспечения информационной безопасности с точки зрения топ-менеджмента. В целом данное направление обеспечивает рассмотрение процесса защиты информации как бизнес-потребности компании.

Risk — рассмотрение любой деятельности по защите информационных активов с точки зрения управления рисками организации. Что характерно, такой подход чаще отвечает не на вопрос «что надо делать», а на вопрос «что надо прекратить делать», а также «что надо прекратить делать немедленно». Высвобожденные вследствие этого ресурсы направляются на снижение тех рисков, которые действительно являются неприемлемыми для деятельности организации.

Compliance — управление соответствием. В общем случае в рамках этого направления снижается риск невыполнения организацией каких-либо внешних требований в области информационной безопасности — законодательства, договорных обязательств, международных и национальных стандартов. С этой точки зрения данное направление является подзадачей деятельности по управлению рисками, однако оно выведено в отдельное направление в виде третьей буквы аббревиатуры GRC ввиду сложности и объема работы, а также специфичности снижаемого риска.1)

Хотя, три эти области тесно связаны, но их не спешили объединять, пока в 2002 году не вышел закон Sarbanes-Oxley. В настоящее время требования к бизнесу только возросли, поэтому не стоит понимать GRC только лишь как средство обеспечения соответствия данному закону. Концепция “Governance, Risk and Compliance, GRC ” не определена строго, например, Gartner характеризует её как “очень гибкую”.2)

На рынке информационных систем имеется множество корпоративных решений класса GRC. В то же время, многими экспертами Governance, Risk management and Compliance рассматривается как способ управления информационными технологиями или информационной безопасностью. Чем же на самом деле является GRC и почему эта тема становится всё более популярной?
GRC это взгляд на управление чем-либо с трёх точек зрения: высшего руководства (Governance), управления рисками (Risk management) и соответствия требованиям (Compliance). Любую деятельность можно разложить по этим трём составляющим.
Действительно, сначала компании определяют цели, которых собираются достичь. Затем инициируют некую деятельность для их достижения. Пока деятельность выполняется, они хотят её контролировать, получая своевременную, объективную и достоверную информацию о ходе выполнения. Это и есть функции высшего руководства (Governance) — указание целей и контроль их достижения.
Затем компании продумывают риски, которые могут встретиться на пути к поставленной цели. Для этого они выясняют, какие препятствия могут стать причиной нарушения сроков или сделать цель недостижимой, а также, что компания рискует потерять на пути к цели. Выявленные риски обрабатываются, и в дальнейшем эта процедура периодически повторяется. Это функция управления рисками (Risk management), которая, к сожалению, во многих российских компаниях носит пока недостаточно системный характер.
Кроме того, планируя и исполняя свою деятельность, компании заботятся о соблюдении множества внешних и внутренних и правил. На них оказывают влияние законы, отраслевые стандарты и договорные обязательства. Кроме того, в компаниях имеются собственные нормативные документы, учитывающие их опыт и описывающие требования к выполняемым бизнес-процессам. Исполнение всех этих требований является функцией управления соответствием (Compliance).
Именно такой взгляд на управление реализуется в ИТ-системах класса GRC. Большинство из таких систем представляют собой решения для сбора и анализа информации о ходе выполнения деятельности со всех подразделений компании. Информация о прогнозируемых рисках и исполнении требований применимых законов, стандартов и внутренних нормативных документов предоставляется ТОП-менеджерам в виде наглядных отчетов, демонстрирующих проблемные места. Линейным менеджерам эти системы предоставляют детальную информацию, необходимую для идентификации и обработки рисков и несоответствий.

Концепция GRC крайне актуальна сегодня для области информационной безопасности.

Управление соответствием требованиям законодательства в области персональных данных, стандарта Банка России СТО БР ИББС и международного стандарта безопасности данных индустрии платёжных карт PCI DSS(www.pcisecuritystandards.org), согласно многим исследованиям, является в 2010 — 2011 годах основным драйвером российского рынка информационной безопасности. Для европейского банковского сектора основным драйвером стал методический документ Basel II.
Тема управления рисками хорошо знакома большинству специалистов по информационной безопасности. Согласно таким стандартам, как ISO 27001 и СТО БР ИББС, именно на анализе рисков строится управление информационной безопасностью. Однако, практика показывает, что процессы управления информационными рисками внедрены далеко не во многих российских компаниях. Это зачастую приводит к нехватке бюджетов на необходимую защиту, перерасходу на решение неактуальных задач и потерям, связанным с происходящими инцидентами.3)

Виды GRC-систем


GRC системы разделяют на EGRC (Enterprise GRC) и ITGRC (Information Technology GRC).

ITGRC ориентированна на ИТ-центричные процессы, другими словами, с ITGRC в основном работают сотрудники ИТ и ИБ департаментов.

EGRC предназначена также и для сотрудников финансового, юридического, кадрового, а так же департаментов, отвечающих за операционную деятельность.

Решения


IBM OpenPages GRC

Платформа IBM OpenPages GRC - это интегрированная платформа управления предприятием, рисками и соблюдением нормативных требований, которая позволяет организациям управлять рисками и решать вопросы, связанные с официальными положениями, на уровне всего предприятия. В решении предусмотрен ряд базовых служб и функциональных компонентов, охватывающих область рисков и соблюдения официальных требований: область производственных рисков, стратегий, управления средствами финансового контроля, управления ИТ и внутреннего аудита.
С помощью платформы OpenPages GRC организации получают возможность досконально разобраться во всех аспектах управления предприятием, рисками и соблюдением нормативных требований.4)

Acuity STREAM

Дополнительные материалы

1)
Концепция GRC - deiteriy.com
2)
Хабрабар - О технологии GRC в общем и её применении для управления информационной безопасностью в частности. Часть 1 http://habrahabr.ru/sandbox/79307/
3)
Что такое GRC и чем это может быть полезно для информационной безопасности? - deiteriy.com
4)
Интегрированный подход к управлению предприятием, рисками и соблюдением нормативных требований - ibm.com