GRC - Information security Governance Risk Compliance
Для поддержания информационной безопасности любой организации на должном уровне, необходимо реализовать Управление информационной безопасностью (Information Security Governance) совместно с выполнением требований соответствия различным стандартам (Compliance).
Cистема управления и соответствия рискам (GRC) фокусируется на комплексном управлении организацией, управлением корпоративными рисками и соблюдением нормативных требований. Это целостный подход к информационной безопасности, который может гарантировать то, что организация действует в рамках соответствующих нормативных актов и отраслевых стандартов.
Структура GRC состоит из следующих трех компонентов:
Компонент управления информационной безопасностью
Включает в себя руководство организацией путем определения направления развития информационной безопасности с помощью разработки высокоуровневых нормативных документов, таких как: стратегия информационной безопасности, различные политики, регламенты, стандарты, положения и т.д.
Руководство при этом достигается путём установления соответствующих методов мониторинга для измерения эффективности применения разработаных документов и оценки результатов их исполнения.
Компонент управления рисками
Включает в себя выявление, оценку и приоритизацию рисков для организации, а также внедрение средств контроля и стратегий смягчения последствий для эффективного управления этими рисками.
Для обеспечения постоянной эффективности программы управления рисками используется мониторинг рисков и отчетность об их обработке.
Компонент соответствия нормативным требованиям
Включает в себя обеспечение выполнением организацией юридических, нормативных и отраслевых обязательств для того чтобы ее деятельность соответствовала ее политике и процедурам.
Включает в себя разработку и внедрение программ соблюдения требований, проведение регулярных аудитов и оценок, а также отчетность по вопросам соблюдения требований перед заинтересованными сторонами.
Общие рекомендации по разработке программы GRC
Определение объема и целей программы
На этом этапе определяется объем и цели программы GRC. К примеру, целью может быть снижение количества инцидентов информационной безопасности на 50% в течение следующего года.
Проведение оценки рисков
На этом этапе выявляются и оцениваются киберриски. Например, оценка рисков может выявить, что условная CRM уязвима для внешних атак из-за слабых средств контроля доступа или из-за древнего ПО. После выявления таких рисков, их нужно приоритизировать, а потом разработать стратегию управления рисками.
Разработка политик и регламентов
Политики и регламенты (далее - нормативные документы) разрабатываются в качестве одной из организационных мер информационной безопасности. Например, разработанная политика паролей используется не только для документального закрепления использования надежных паролей, но и устанавливает ответственность, к примеру, за передачу своего пароля третьим лицам.
Внедрение средств контроля
Для снижения рисков необходимо, в том числе, внедрять различные средтва контроля: как программные/технические так и организационные/физические. Сюда же можно включить и внедрение средств обучения и повышения осведомленности работников.
Мониторинг и измерение производительности
Налаженные процессы мониторинга и измерения эффективности программы GRC помогают понять, что организация движется в правильном направлении. Например, можно отслеживать показатели соответствия политикам безопасности, а потом использовать эту информацию для определения областей которые нуждаются в корректировке программы.
Постоянное совершенствование
На основании ранее определенных процессов мониторинга эффективности, следует так же постоянно пересматривать программу GRC в целом, для её дальнейшего совершенствования.