GRC по-русски. Экосистема приложений “Альфа” и эволюция российской ИБ

Информационная безопасность усложняется быстрее, чем меняются подходы к ее управлению. Сегодня организациям мало иметь набор инструментов, им нужна понятная и рабочая система, которая держит все под контролем и не разваливается при росте инфраструктуры. Именно вокруг этого сегодня строится разговор о современных GRC-подходах.

Автор: Иван Федоров, первый заместитель генерального директора ООО “НПЦ “КСБ”

Эволюция российской ИБ и путь "Альфы"

Российская практика информационной безопасности в очередной раз переживает глубокие трансформации. Если рассмотреть ретроспективу последних пятнадцати лет, то можно отметить ключевые этапы, меняющие роль, содержание, инструменты, а также функции ИБ в государственном и корпоративном сегментах. За это время практика информационной безопасности прошла путь от фрагментарной реализации до системного управления, а функция информационной безопасности – от вспомогательного направления до полноценной управленческой категории. Это отразилось и на развитии экосистемы приложений "Альфа". Фактически ее путь – эволюция от прикладных инструментов к полноценной цифровой платформе, которая растет вместе с потребностями рынка, реагирует на вызовы времени и предоставляет организациям необходимый результат.

С 2010 г. по 2015 г. произошло вступление в силу базовых требований и формирование профессиональных ролей ИБ в широком контексте. Информационная безопасность перестала быть уделом единичных отраслей и превратилась в повсеместную корпоративную и государственную необходимость. В этот период нарастает массовое регуляторное давление в контексте защиты персональных данных, а также информации в ГИС и КИИ (еще в формате КСИИ, ключевых систем информационной инфраструктуры); формировалась практика, которая сейчас вспоминается, скорее, в негативной коннотации – бумажная безопасность.

Первое приложение экосистемы "Альфа" – АльфаДок [1] – обеспечивало организациям возможность быстро и качественно готовить комплекты документов, отражающие регуляторные требования. В то время это было критически важно для огромного числа российских организаций: от школ, муниципальных учреждений и малых предприятий до крупных региональных структур.

Период с 2015 г. по 2020 г. ознаменовался качественной перестройкой практики. Состоялся переход от формального выполнения требований к операционной деятельности: стали применяться процессные модели, росла культура регулярного контроля, появился спрос на реальные измеримые результаты. В этот период активно развивались решения по автоматизации ИБ-процессов: все больше организаций впервые начинали выстраивать управляемый цикл безопасности, не ограничиваясь только комплектом нормативной документации и техническими мерами по защите информации. Платформа АльфаДок расширилась инструментами контроля, учета, мониторинга и процессной логики в сложных распределенных организационных структурах и стала массово применяться в отраслях здравоохранения, образования, промышленности, энергетике и органах власти. Она позволяла организациям шаг за шагом внедрять связные практики безопасности, не ломая существующие процессы, не требуя непосильных инвестиций, и оказалась востребована как в небольших учреждениях, где за ИБ отвечает один специалист, так и в крупных холдингах, федеральных ведомствах и государственных корпорациях с развитыми службами ИБ.

С 2020 г. информационная безопасность стала полноценной бизнес-функцией в корпоративном секторе и приобрела высокое значение в государственном управлении. На первый план вышли результативность и связность стратегических целей, тактических мер и операционного исполнения требований ИБ. На тот момент экосистема "Альфа" уже включала в себя набор приложений, способных поддержать стратегические, тактические и операционные уровни управления, а отдельный акцент был сделан на операционных задачах обеспечения информационного взаимодействия с внешними пользователями и подрядчиками (АльфаКоннект [2]) и организации выдачи и регистрации СКЗИ (АльфаКрипто [3]). Для быстрого запуска и эффективной работы экосистемы на больших ИТ-ландшафтах и в организационных структурах развивался интеграционный слой, включающий взаимодействие с наиболее распространенными решениями (KSC, продукты PT, 1С). Для одних организаций экосистема работала как набор отдельных решений, закрывающих конкретные задачи, а для других – как единая интегрированная платформа.

В 2025 г. с выходом приказа ФСТЭК России № 117 автоматизация ИБ-функции стала не просто практическим преимуществом, а фактической обязанностью для широкого круга организаций. GRС-концепция, с которой на российском рынке в начале 2010-х в основном были знакомы только банковский сектор, а также корпорации с устойчивыми управленческими циклами, зрелыми процессными практиками и международными историями взаимодействия, – стала применимой для всех. На данном этапе экосистема "Альфа" выстраивается с учетом общей модели управления в приложениях, охватывая стратегический, тактический и операционный уровни. АльфаДок становится полноценной GRC-системой с четко формулируемой и управляемой цепочкой: "требования/риски/уязвимости – принимаемые меры – оценка управленческой деятельности". Набор приложений операционного уровня пополняется решениями для управления инцидентами ИБ (АльфаИнциденты [4]) и решениями для управления осведомленностью (АльфаИнтенсив [5]).

В банковской сфере даже при внедренных GRC-решениях всегда сохранялся интерес к использованию АльфаДок в части защиты персональных данных, и теперь мы дополняем возможности этого приложения оценкой и разработкой актуальных мер для финансовых организаций (ГОСТ Р 57580).

Контуры GRC

Экосистема развивалась как поэтапная автоматизация наиболее востребованных практических задач, которые стояли перед российскими организациями на разных этапах развития информационной безопасности, а не как попытка сразу создать идеальный GRC. Тем не менее по совокупности реализованных контуров сегодня экосистема полностью укладывается в функциональный класс GRC-систем.

1. В части контура управления (Governance) экосистема обеспечивает управление политиками, регламентами, ролями, ответственностью и непосредственно мероприятиями и задачам в области информационной безопасности. Формируя управляемую ИБ-функцию, связанную с целями организации, а не набор разрозненных мероприятий.
2. Контур соответствия требованиям (Compliance) является одним из наиболее зрелых: реализованы перечни и реализации требований, механизмы самооценки, что позволяет организациям объективно понимать свой уровень соответствия требованиям ФСТЭК России, ФСБ России и РКН.
3. В части управления рисками (Risk Management) экосистема поддерживает моделирование угроз. Развитие этого контура идет в сторону глубокой экспертной автоматизации, что особенно важно в условиях роста сложности систем и требований.
4. Отдельного внимания заслуживает управленческая аналитика: экосистема формирует показатели и статусы соответствия, динамику готовности к прохождению контрольно-надзорных мероприятий.
5. Контуры управления доступом, инцидентами, средствами криптографической защиты и осведомленностью пользователей реализует операционный уровень GRC: бизнес-процессы проверки соответствия, фиксация результатов, корректирующие действия, управление инцидентами – таким образом обеспечивается замкнутый управляемый цикл безопасности. Контур управления активами, интегрированный в ИТ-ландшафт организации, формирует основу всей информационной модели экосистемы.

В контексте развития экосистемы приложений Альфа GRC – не догма, а практическая архитектура управляемой ИБ-функции, которая обеспечивает:

• доступную экспертизу внутри продукта без навязывания идеальной модели;
• операционную эффективность функции ИБ через автоматизацию рутинных задач, преимущественно на стыке с ИТ-функцией;
• понятный управленческий контекст для конструктивного диалога с ИТ-функцией, высшим руководством, иными заинтересованными сторонами.

Заключение

Экосистема "Альфа" выросла вместе с рынком и во многом повторила путь развития российской ИБ. Она не пыталась сразу охватить весь спектр задач, а последовательно закрывала те из них, которые становились для организаций наиболее актуальными. Такой подход позволил создать инструменты, которые работают в реальных условиях, а не в идеальной модели.

Сегодня важнее не количество функций, а простота и удобство управления ими: понимание происходящего, контроль процессов, подготовка к проверкам и отслеживание проблем. Экосистема обеспечивает все эти возможности за счет объединения функций управления, соответствия требованиям, рисков и операционных задач в одну понятную структуру.

Для разных типов организаций – от небольших учреждений до крупных холдингов – такая практичность становится ключевой. "Альфа" не предлагает универсальный рецепт, но позволяет выстроить рабочий и предсказуемый контур безопасности, который можно развивать без перестройки всей инфраструктуры.

1. https://alfa-doc.ru/ecosystem/alfa-doc/
2. https://alfa-doc.ru/ecosystem/alfa-konnekt/
3. https://alfa-doc.ru/ecosystem/alfa-kripto/
4. https://npc-ksb.ru/alfaincidents
5. https://npc-ksb.ru/alfaintensive