Единая стратегия управления ИБ

Общепринятое сокращение GRC расшифровывается как «Управление процессами» (G), «Управление рисками» (R), «Управление соответствием установленным требованиям» (C). При этом из всего класса систем eGRC выделяется подкласс IT GRC, специализированных для решения задач управления IT- и ИБ-процессами.
Назначение GRC целесообразно разделить на 2 ключевых области. К первой относятся функции, поддерживающие контроль и управление со стороны руководства для формирования отчетности и принятия решений, а также являющиеся связующим звеном между подразделениями IT, ИБ и бизнес-подразделениями банка. За решение этих задач отвечают модули по управлению рисками, взаимоотношению с третьими сторонами (SLA), управлению политиками безопасности. Вторая область включает функции, поддерживающие процессы обеспечения ИБ путем централизации сведений о состоянии ИБ. Например, процессы управления уязвимостями, непрерывного мониторинга, а также управления соответствием требованиям ИБ (PCI DSS, ФЗ-161, СТО БР ИБББС и др.).
Другими словами, GRC позволяет выстроить единую вертикаль взаимоотношений между всеми участниками процессов управления и обеспечения ИБ, имеющую в основании единую корпоративную политику и стратегию.

Актуальность GRC для банков

GRC-системы уже достаточно давно закрепились на западном рынке в качестве эффективного решения задач повышения эффективности процессов ИБ, наравне с системами SIEM, SCM, DLP, VM. В России же, несмотря на растущий интерес, тематика GRC до сих пор не снискала популярности. Среди основных причин можно выделить следующие:
• невысокий уровень зрелости ИБ и компаний в целом;
• малое количество законодательных актов и стандартов, регламентирующих ИБ.
Однако представленные выше аргументы не совсем применимы к банковской отрасли. Рассмотрим каждую причину подробнее.

Невысокий уровень зрелости ИБ и компаний в целом
Критериями зрелости процессов (Maturity) являются наличие формализованного и документированного процесса, степень его управляемости и соответствия лучшим практикам, а также степень выполнения требований документов. В соответствии с моделями оценки уровней зрелости, применяемыми в различных стандартах (CMM, Cobit, ISO 15504), выделяется 5 уровней: 0 — отсутствует, 1 — начальный, 2 — повторяемый, 3 — определенный, 4?— управляемый, 5 — оптимизированный.
Большинство компаний в России соответствует уровням 2–3. Кроме того, согласно материалам исследовательской и консалтинговой компании Gartner, 60% предприятий в качестве своих основных инструментов для управления процессами ИБ используют редакторы Microsoft Word и Microsoft Excel (анализ рисков, контроль соответствия требованиям, разработка нормативных документов). Для России аналогичной статистики нет, но, по нашему опыту, процент гораздо выше.
В банковской отрасли ситуация иная. Уровень зрелости многих банков приближен к уровню четыре (управляемые процессы) за счет обеспечения соответствия стандартам СТО БР ИББС, ISO/IEC 27001 и PCI DSS, риск-ориентированному подходу к ИБ, пристальному вниманию со стороны регуляторов, наличия документированных бизнес-процессов и процессов ИБ.
GRC возымеет наибольший эффект при внедрении на четвертом уровне зрелости. В соответствии с CMM для достижения пятого (оптимизированного) уровня зрелости необходимо построить процесс, в котором применяются лучшие практики, используется автоматизация рабочих процессов, специальные технические средства обеспечивают рост качества и эффективности, быстрое приспособление к изменяющимся условиям.

Малое количество законодательных актов и стандартов, регламентирующих ИБ

По большому счету, для всех организаций на территории РФ обязательны для выполнения только требования, накладываемые ФЗ-152 «О персональных данных». Остальные стандарты для негосударственных организаций имеют статус необязательных и, как правило, редко применяются.
А что для кредитных организаций? Только в этом году уже произошли или произойдут в недалеком будущем изменения следующих НПА и стандартов:
• приказ ФСТЭК России № 21 в области защиты ПДн;
• ФЗ-161, в том числе положения Банка России;
• PCI DSS;
• СТО БР ИББС;
• ISO/IEC 27001.
При этом почти по всем вышеперечисленным НПА и стандартам необходимо проходить периодическое подтверждение соответствия требованиям. И решение этой задачи в условиях ограниченного времени и ресурсов, разнородности документов (зачастую подготовленных разными интеграторами или разными работниками за весь цикл работы банка) является задачей отнюдь не тривиальной.
Таким образом, можно отметить возрастающую потребность и, главное, готовность банка к применению новых технологий автоматизации. Рассмотрим основные модули GRC на примере хорошо зарекомендовавшего себя продукта RSA Archer eGRC.

Инвентаризация и классификация активов

Модуль Enterprise Management позволяет создать в банке единый реестр взаимоувязанных между собой активов, включая информационные и технологические активы, бизнес-процессы, товары и услуги, подразделения и отдельные бизнес-единицы, производственные помещения и оборудование, контакты с ответственными работниками банка, партнерами и поставщиками. Для каждого актива определяется его владелец и ценность для банка. Результаты данной работы могут использоваться при дальнейшем проведении процедуры оценки рисков ИБ. Интеграция с системами управления уязвимостями, SIEM или DLP позволяет установить приоритет устранения уязвимостей и нейтрализации инцидентов в отношении каждого конкретного актива.

Управление рисками ИБ

Процесс управления рисками ИБ является ключевым компонентом GRC. Он позволяет систематизировать процессы управления рисками ИБ банка в рамках одного функционального модуля. В качестве базовой методики, используемой при оценке рисков ИБ, представлена методика, соответствующая ISO 31000:2009 и ISO/IEC 27005:2011. Однако модуль позволяет применять любую методику оценки рисков, основанную на оценке вероятности и ущерба от реализации риска. Таким образом, возможно осуществлять оценку рисков по методикам ФСТЭК России для ПДн, СТО БР ИББС и т.д. Модуль включает в себя создание качественных и количественных метрик (KPI) для оценки эффективности применяемых контрмер.

Управление документацией ИБ

Посредством модуля Policy Management оптимизируется процесс управления всем жизненным циклом документации, систематизируются все нормативные документы банка, исключаются избыточные, осуществляется выстраивание соответствия (mapping) каждого требования внутреннего документа требованиям внешнего стандарта или НПА.
Благодаря упрощенной структуре документации и единого репозитория можно значительно повысить степень осведомленности работников банка в вопросах ИБ, организовать тестирование на знание требований нормативных документов и т.д. Упрощается процесс пересмотра и внесения изменений в положения нормативных документов.

Управление соответствием требованиям

Управление соответствием требованиям осуществляется посредством модуля Compliance Management. В рамках процесса осуществляется оценка соответствия требованиям стандарта, НПА в отдельности, либо группе стандартов. Оценка соответствия требованиям может осуществляться в «ручном» и «автоматизированном» режимах. В первом случае формируются ответы на вопросы, например, в рамках проведения самооценки ФЗ-161, СТО БР ИББС, PCI DSS. Во втором случае используются сведения, полученные из интегрированных систем контроля конфигураций, анализа уязвимостей и др.

Заключение

Существует большое количество как стандартных модулей, так и адаптируемых под специфические задачи. Применение GRC и ее отдельных модулей определяется конкретными целями и особенностями банка. Внедрение GRC позволит оптимизировать расходы на ИБ, снизить ТСО и операционные затраты путем централизации данных и автоматизации ручных процессов.