Системы GRC (Governance, Risk and Compliance) — один из трендов в сфере ИБ. Благодаря им компании автоматизируют процессы управления рисками и контроля соответствия принятым политикам и внешним требованиям. После внедрения GRC-системы вы сможете проактивно подходить к снижению рискам, принимать более обоснованные решения и обеспечить безотказную работу компании
Несмотря на распространенное мнение, что все методы аутентификации одинаково надежны, аутентификация пользователей с помощью протокола OpenID Connect выделяется на фоне альтернатив благодаря своей универсальности и безопасности.
В этой статье мы раскроем механизм работы OpenID Connect, обсудим его ключевые преимущества. Также мы рассмотрим наиболее частые ошибки, с которыми сталкиваются разработчики при внедрении этого протокола, и проведем сравнение с другими методами аутентификации.
Что такое GRC-системы
GRC-система — функциональный инструмент, предназначенный для управления следующими аспектами и процессами ИБ:
- Политики информационной безопасности
- Риски и инциденты
- Соответствие стандартам и требованиям регуляторов (ФСБ, ФСТЭК, Роскомнадзор и др.)
- Внутренний аудит
- Конфигурации и т.д.
Суть GRC состоит в том, чтобы компания реализовала все описанные выше процессы в совокупности, предотвратив распараллеливание и обеспечив замыкание друг на друге.
Внедрение GRC-системы обеспечит компании стабильное развитие в жестких условиях. Однако стоит помнить, что это дорогое и сложное решение, которое в основном использует крупный бизнес
Кому нужны GRC
Решение о внедрении GRC-системы стоит принимать с учетом 3 факторов:
- Количество процессов, подразделений и сотрудников. Чем их больше, тем сложнее все контролировать вручную, поэтому крупные компании активно внедряют новые платформы для автоматизации данных процессов. Малые предприятия могут внедрить некоторые практики GRC, но специализированный инструмент для этого не требуется
- Стремление придерживаться стандартов. Отечественные регуляторы на фоне увеличения количества ИТ-угрозу и количества хакерских атак ужесточают законы, связанные с хранением и обработкой данных, надежностью критической информационной инфраструктуры. Благодаря автоматизации процессов ИБ компании обеспечивают более безопасное хранение данных и проактивно борются с угрозами
- Зрелость процессов. Новым организациям не требуется срочное внедрение GRC-систем, потому что еще нет выстроенных операционных процессов. Для них автоматизация — одна из второстепенных задач, поскольку сначала требуется создать бизнес-процессы и привести их в порядок
Этапы внедрения GRC-систем
Реализация таких проектов — сложный процесс, учитывающий специфику и компоненты ИТ-инфраструктуры предприятия. В этой статье мы обозначим только основные этапы внедрения GRC-систем
Планирование и аудит
На первом этапе рекомендуется привлечь ИТ-аудиторов и GRC-аналитиков. Они изучат бизнес-процессы, опишут имеющиеся GRC-процессы, определят «пробелы» и недостатки, а также помогут составить требования к GRC-технологиям, которые компании нужно внедрить
На этом этапе важно определить все типы рисков, с которыми сталкивалась или может столкнуться организация, включая операционные, финансовые, технологические, репутационные, стратегические и комплаенс-риски.
Работу стоит начинать с определения правил и стандартов внутреннего контроля, которые приняты в организации. Также компания должна учитывать государственные нормативные акты и приказы регуляторов
Подбор решений
В России рынок GRC-систем все еще находится на этапе становления. Отечественные вендоры пока уступают иностранным конкурентам, но это не означает, что нет систем, подходящих решений.
Выбирая систему для последующего внедрения, компании анализируют функционал по автоматизации процессов внутреннего контроля и управления рисками, а также оценивают стратегии развития программных продуктов. Мы рекомендуем изучить документ «Созвездие GRC», в котором описаны существующие отечественные решения, включая:
- Авакор от Digital Desing
- Вектор Плюс от DynamicSun
- КАИРИС от Финэкс
В этом документе аналитики описали ключевые возможности имеющихся систем, включая мониторинг и оценку рисков, менеджмент знаний, внутренний контроль и т.д.
Так, в 2024 году флагманской GRC-системой считается «Авакор» от «Диджитал Дизайн» — комплексный инструмент для внутреннего аудита, ИТ-контроля и управления рисками
Наша компания также вошла в обзор. Стоит отметить, что наше решение на базе платформы «Вектор плюс» ИИ в своей работе, что делает его уникальным
Внедрение
Внедрением GRC-систем и последующим обслуживанием в основном занимаются сами вендоры, поскольку в России, включая Москву, крайне мало специалистов с необходимыми компетенциями.
В рамках проектов по автоматизации ИБ-процессов с использованием GRC-систем вендоры решают ряд задач, включая:
- Создание единого реестра рисков и контрольных процедур с разграниченным доступом для пользователей
- Автоматизация процесса управления рисками, а точнее, регистрации рисков и их последующей оценки с возможность контролировать выполнение оценки каждым пользователем
- Автоматизация процесса расчета KPI
- Автоматизация процедур создания и утверждения контрольных мероприятий, включая проведение аудита с возможность контролировать ход проверки
- Автоматизация процесса формирования актуальных финансово-аналитических отчетных документов и дашбордов
В зависимости от бизнес-требований и специфики предприятия список задач будет отличаться
Тестирование и ввод в эксплуатацию
После внедрения и настройки функционала разработчики изучают работоспособность каждого автоматизированного процесса в соответствии с проектом и техническим заданием. Если сбоев и проблем нет, они создают учетные записи для сотрудников и вводят систему в эксплуатацию
Преимущества внедрения GRC-систем
Благодаря таким программным платформам компании:
- Быстрое и обоснованное принятие решений. ИТ-система помогает оперативно реагировать на угрозы
- Повышение защиты бизнес-активов и данных. Автоматизация контроля и стандартизация мероприятий по соблюдению ИБ-требований обеспечивает дополнительную защиту ИТ-инфраструктуры от угроз
- Комплексная оценка рисков. Автоматическая расстановка приоритетов гарантирует, что ИБ-отдел вовремя отреагирует на потенциальные угрозы
- Строгий контроль. Использование GRC-решений упрощает отслеживание соответствия ИТ-систем компании требованиям регуляторов
- Снижение расходов. Благодаря автоматизации ряда процессов компания может сократить траты на ФОТ. Кроме того, само внедрение GRC-системы поможет избежать штрафов за нарушение нормативно-правовых требований
Заключение
Внедрение GRC-систем — непростая задача, которая требует от компании рабочих процессов с определенным уровнем зрелости, устоявшихся методов управления рисков и четкого понимания требований со стороны законов.
Из-за этого внедрением GRC-решений обычно занимаются высокотехнологичные крупные компании, которые нуждаются в прозрачных и надежных ИБ-процессах, позволяющих эффективно бороться с существующими угрозами и обеспечить устойчивое развитие бизнеса