Выбор инструментов GRC начинается не с софта, а с понимания практики

от

«Говорить про «инструменты GRC» — значит искать конкретный софт, но упускать из виду главное: GRC, это прежде всего практика управления. Инструменты лишь её обслуживают, а выбор зависит от того, какой из трёх китов — Governance, Risk или Compliance — для вас критичен. В России, с её спецификой 152-ФЗ и ФСТЭК, этот выбор почти всегда сводится к Compliance, и это меняет всю архитектуру поиска»

.

Почему разговор об инструментах GRC начинается не с софта

GRC (Governance, Risk Management, and Compliance) часто воспринимается как некий единый программный комплекс, который можно купить и «включить». Это ошибка, ведущая к выбору неподходящего решения. В реальности GRC, это три пересекающихся, но разных направления деятельности организации.

  • Governance (Управление): архитектура принятия решений, распределение ответственности, стратегическое целеполагание.
  • Risk Management (Управление рисками): идентификация, анализ, оценка и обработка рисков (включая ИБ-риски).
  • Compliance (Соответствие требованиям): обеспечение выполнения внутренних политик и внешних регуляторных норм (152-ФЗ, ФСТЭК, ФСБ и т.д.).

Почти все компании в России входят в мир GRC через дверь Compliance, потому что регуляторные требования 152-ФЗ и приказы ФСТЭК, это не рекомендация, а обязательное условие работы. Поэтому «инструменты GRC» в российском контексте чаще всего означают «инструменты для автоматизации процессов соответствия требованиям 152-ФЗ».

Типология инструментов: от универсальных платформ до узкоспециализированных решений

На рынке можно выделить три основных типа продуктов, которые позиционируются как GRC-инструменты.

1. Универсальные GRC-платформы

Это комплексные системы, заточенные под крупные предприятия с разветвлённой структурой. Их сила — в централизации. В единой системе можно вести реестр активов, оценивать риски, управлять инцидентами, строять процессы согласования и отчитываться перед регулятором.

Примеры в российском сегменте: продукты крупных вендоров, таких как «Код безопасности», «ИнфоТеКС» (линейка «Гарда»), «СёрчИнформ». Эти платформы часто имеют встроенные модули для автоматизации проверок по требованиям ФСТЭК.

Недостаток: высокая стоимость, сложность внедрения и настройки, избыточность функционала для малого и среднего бизнеса.

2. Инструменты управления рисками (RMIS)

Risk Management Information Systems, это более узкий класс, сфокусированный на цикле управления рисками. Основные функции: создание и поддержка реестра рисков, оценка вероятности и последствий, расчёт интегральных показателей, планирование и контроль мероприятий по обработке рисков.

В России такие системы редко используются в чистом виде. Чаще их функционал включают в состав SIEM-систем (например, MaxPatrol SIEM) или в универсальные платформы, о которых шла речь выше. Отдельный RMIS, это выбор компаний, где управление рисками выделено в отдельную, глубоко проработанную дисциплину (финансовый сектор, крупные промышленные холдинги).

3. Инструменты автоматизации compliance (особенно для 152-ФЗ)

Это самый востребованный сегмент в России. Фактически это не GRC-инструмент в полном смысле, а его важнейшая часть, выделенная в самостоятельный продукт.

Что такие инструменты делают:

  • Хранят актуальные версии нормативных документов (приказы ФСТЭК, методики).
  • Позволяют сопоставить требования регулятора с мерами защиты, реализованными в компании.
  • Автоматизируют сбор доказательств соответствия (с помощью интеграции с другими системами: SIEM, DLP, средствами защиты).
  • Формируют отчёты и предотчётные документы (Анкету, Заключение по модели угроз и т.д.).
  • Управляют планами доработок по устранению несоответствий.

Примеры: специализированные модули в составе российских СОВ (систем оперативного анализа) или самостоятельные сервисы от консалтинговых компаний, специализирующихся на аудите.

Пример: как инструмент помогает закрыть конкретное требование ФСТЭК

Рассмотрим абстрактное требование: «Обеспечить регистрацию событий безопасности на критичных узлах» (грубое обобщение множества конкретных пунктов из приказов ФСТЭК).

Без инструмента: специалист по compliance вручную собирает выгрузки из журналов Windows, Linux, сетевого оборудования, сводит их в таблицу, проверяет полноту и пытается доказать аудитору, что «всё работает».

С инструментом:

  1. Система знает модель угроз и перечень критичных узлов.
  2. Через API она запрашивает у SIEM или напрямую у агентов на узлах статус сбора журналов.
  3. Полученные данные автоматически сверяются с требованиями из встроенной базы нормативки.
  4. На панели управления формируется статус: «Требование выполнено на 94%. Не настроен сбор с маршрутизатора в филиале N».
  5. Система автоматически создаёт задачу для администратора сети и отслеживает её исполнение.

Такой подход превращает ежегодный аудит из аврала в непрерывный мониторинг.

На что смотреть при выборе

Если ваша цель — не «внедрить GRC», а решить конкретные задачи по 152-ФЗ, критерии выбора смещаются.

  • Глубина проработки нормативной базы. Имеет ли система вшитые актуальные приказы ФСТЭК, методики ФСТЭК России? Как часто эта база обновляется? Это ключевой критерий.
  • Интеграционные возможности. Может ли инструмент «спросить» у вашего SIEM, DLP, межсетевого экрана, как у них обстоят дела? Или придётся всё заносить вручную?
  • Гибкость настройки. Требования и инфраструктура компаний разные. Можно ли адаптировать процессы проверки, шаблоны отчётов, метрики под себя?
  • Поддержка отечественного ПО и «железа». Убедитесь, что инструмент корректно работает с отечественными операционными системами, СУБД и средствами защиты, которые могут быть у вас в инфраструктуре.

Чего не стоит ждать от любого инструмента

Важно понимать ограничения. Ни одна система не сделает за вас самое важное.

  • Не создаст политики и процессы. Инструмент поможет их исполнять и контролировать, но изначально они должны быть разработаны людьми.
  • Не определит зоны ответственности. Кто отвечает за риск? Кто согласует исключение? Это вопрос организационной структуры, который решается до выбора софта.
  • Не заменит экспертизу. Система покажет несоответствие, но интерпретировать его критичность и выбрать способ исправления должен специалист.

Инструмент, это усилитель. Он делает эффективным уже налаженный процесс и катастрофически усугубляет хаос, если процессов нет.

Что делать, если нет бюджета на специализированную платформу

Для небольших организаций или в качестве отправной точки можно выстроить работу на связке более простых и доступных средств.

Комбинация может выглядеть так:

  • Реестр активов и требований — таблицы или специализированные low-code системы для создания простых баз данных.
  • Управление рисками — электронные таблицы с формулами для расчёта уровня риска. Иногда этого достаточно на первых этапах.
  • Управление инцидентами и задачами — любая система учёта заявок (ticketing system), даже если она не заточена под ИБ. Важен процесс, а не название.
  • Хранение доказательной базы — система документооборота с разграничением прав доступа.

Главный минус такого подхода — отсутствие автоматических связей между этими «островками». Информацию придётся переносить вручную. Однако это лучше, чем полное отсутствие учёта, и позволяет понять свои реальные потребности перед покупкой дорогой системы.

Вместо вывода: от Compliance к Risk-Based Approach

Эволюция использования инструментов идёт по спирали. Сначала компании ищут софт, чтобы «закрыть» ФСТЭК (Compliance). Набравшись опыта, они начинают использовать те же системы для оценки, как тот или иной невыполненный пункт влияет на риски компании. Так compliance-инструмент становится risk-инструментом.

Например, система показывает не просто «не настроен парольной политики», а оценивает: «Из-за этого риск несанкционированного доступа повышен до критического уровня, что угрожает конфиденциальности персональных данных». Это позволяет аргументировать инвестиции в исправление ситуации перед руководством не страхом штрафа, а языком бизнес-рисков.

правильный инструмент GRC, это не тот, у которого больше галочек в функциональной матрице, а тот, который сегодня помогает эффективнее выполнять требования регулятора, а завтра — стать основой для риск-ориентированного управления безопасностью, где соответствие нормам является следствием, а не самоцелью.

Оставьте комментарий