Как показано на рис. 52, процесс измерений по ISO/IEC 15939 включает четыре целевых вида деятельности (мероприятия). Мероприятия упорядочены в итеративном цикле (подобном циклу Деминга), предусматривающем постоянную обратную связь и совершенствование процесса измерения. Работы в рамках мероприятий также являются итеративными.
Блок «Технические процессы и процессы менеджмента» организационной единицы или проекта выходят за рамки положений данного стандарта, хотя они являются важным внешним связующим звеном с мероприятиями измерений. Два мероприятия считаются относящимися к основному процессу измерения: планирование процесса измерения и выполнение процесса измерения. Эти мероприятия в основном уделяют внимание интересам пользователя измерений. Два других мероприятия — установление и поддержка приверженности измерениям и оценивание измерений — обеспечивают основу для основного процесса измерения и обратную связь для него.
В цикл включена «база опыта, связанного с измерениями». Она предназначена для хранения информационных продуктов из прошлых итераций цикла, предыдущих оценок информационных продуктов и оценок предыдущих итераций процесса измерения. Она может включать сведения, которые были сочтены полезными для будущего. Никаких положений о характере или технологии «базы опыта, связанного с измерениями» в стандарте не дается, предполагается только то, что это постоянное хранилище. Хранящиеся в «базе опыта, связанного с измерениями» сведения предназначены в основном для повторного использования в будущих итерациях процесса измерения.
Типичные функциональные роли, упомянутые в стандарте, включают причастную сторону, организатора, пользователя измерений, аналитика измерений, библиотекаря измерений, поставщика данных и владельца процесса измерения.
В целом же вопросы измерений в СМИБ не столь просты, как может показаться на первый взгляд. Область информационной безопасности, подобно области риск-менеджмента, является чрезвычайно трудной сферой для задач измерений.
Основная проблема заключается в том, как измерить «отсутствие инцидентов».
Вопрос состоит в следующем.
Если анализ рисков информационной безопасности является точным и если мы реализовали эффективные средства контроля и управления ИБ, мы должны избежать или по крайней мере уменьшить число серьезных инцидентов безопасности.
Если мы будем последовательно измерять и фиксировать число и серьезность инцидентов, у нас будут некоторые цифры для анализа, но о чем эти цифры будут фактически говорить нам?
Если эти цифры ниже, чем до начала действия официально утвержденной программы по обеспечению информационной безопасности, мы можем заявить об успехе, но что если число и серьезность инцидентов каким-либо образом снизилось ввиду иных причин, не связанных с нашими усилиями («затаился» агент угроз и т. п.)?
Если цифры выше, чем раньше, обязательно ли это означает, что наши средства контроля и управления неэффективны? Или это может означать, что угрозы и воздействия возросли, а мы их не учли (не видели, неверно оценили актуальность и т. д.)?
Настоящая проблема — это проблема прогноза. Практически невозможно абсолютно достоверно и объективно измерить то, что может произойти в будущем, если бы мы не совершенствовали наши средства контроля и управления информационной безопасности (ничего не меняли бы в своей операционной среде в части средств и мер ИБ).
Измерения ИБ следует вывести из действия общекорпоративной модели системы планирования и отчетности, так как это специфичная задача и она не полностью отвечает методологии прогнозных плановых показателей, применимых к производственной сфере. Вопросы измерений в СМИБ сопоставимы с иными подобными измерениями по форматам категорий отдельных результатов, но решения по ним должны рассматриваться отдельно.
Таким образом, основными вопросами измерения и контроля в СМИБ организации и корпоративном управлении ИБ являются следующие.
Что мы собираемся измерять?
Это, несомненно, важный вопрос, но на практике идентификация надлежащей метрики является по-настоящему сложной. Нам необходимо учитывать следующие практические правила:
— не следует реализовывать процесс измерений, если мы не намерены регулярно и систематически его поддерживать, необходимы воспроизводимые и надежные методы измерений;
— не следует собирать данные, которые мы не намерены анализировать, — это нерациональные расходы, которых можно избежать;
— не следует анализировать данные, если мы не намерены практически использовать результаты анализа, другими словами, нам необходимо идентифицировать информационные потребности в результатах измерений.
Мы можем достичь многого без дорогостоящих решений или сложных измерительных процессов. Не следует углубляться в частные вопросы. Вопросы материально-технического обеспечение сбора данных для измерений могут быть организованы на основе уже имеющейся в других подразделениях организации сведений (см. пример по измерению осведомленности ИБ). Следует лишь удостовериться в том, что они формируются на основе регламентированных процедур и их достоверность может быть проверена и подтверждена.
Как мы будем осуществлять измерения?
Это подразумевает следующие вопросы: откуда мы получаем данные для измерений и контроля и где они будут храниться? Если исходная информация еще не доступна для измерений, то необходимо реализовать процессы для ее сбора. Это, в свою очередь, связано с вопросом о том, кто будет собирать данные (новая работа должна быть обоснована потенциальной выгодой организации от ее выполнения). Предполагает ли это централизованные или распределенные процессы сбора данных? Если источниками данных будут отделы и подразделения, находящиеся вне вашего контроля, то насколько достоверными могут быть эти сведения (возможны ли манипуляции цифрами)? Будут ли они отвечать вашим требованиям по форматам и срокам предоставления? Насколько вы можете автоматизировать сбор и обработку данных, встроив, например, отчет о безопасности в отчеты прикладных системы?
Как мы будем осуществлять отчетность?
Чего действительно ожидает высшее руководство? Необходимо обсудить назначение и ожидаемые результаты измерений с руководителями и сотрудниками смежных подразделений. Следует придерживаться принципа «от простого к сложному». Система неизбежно будет развиваться. Следует начать с простых (типовых для практики организации), понятных отчетов, развивая их далее с учетом рекомендаций руководства. Если система отчетности измерений проектируется «с нуля», то есть возможность вариаций, может существовать возможность предоставления отчетности отличным от других направлений отчетности в организации образом, используя иные форматы представления и оформления содержания.
Как мы должны реализовывать систему измерений и отчетности?
Разрабатывая метрики (структура, шкала, модели и методы измерений), следует оценить осуществимость и эффективность процессов измерений и полезность выбранной метрики в ограниченном масштабе, прежде чем развертывать их во всей организации. То, что хорошо выглядит в теории, может не оказаться эффективным в практике. Экспериментальные исследования и опытная эксплуатация являются уместным методом отработки оптимальных конфигураций в процессах сбора и анализа, принятия решения о том, является ли метрика действительно наглядной для принятия решений по итогам измерений.
Являются ли данные достаточно точными? Может не требоваться совершенная точность, но определенно необходимым является то, чтобы цифры были правдоподобными и воспроизводимыми. Следует ожидать, что руководству могут быть необходимы сведения об источнике данных, процедурах их сбора, анализа и формах представления.
Далее рассмотрим, как работают процессы аудита в функциях контроля обеспечения информационной безопасности бизнеса.
3. Оценка информационной безопасности бизнеса. Проблема измерения и оценивания информационной безопасности бизнеса
3.1. Способы оценки информационной безопасности
Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ (СОИБ). СОИБ представляет собой совокупность аппаратно-программных, технических и организационных защитных мер (ЗМ), функционирующих под управлением СМИБ и процессов осознания ИБ, инициирующих и поддерживающих деятельность по менеджменту ИБ.
Желание иметь СОИБ, адекватную целям ИБ организации по обеспечению доступности, целостности и конфиденциальности информационных активов, приводит к стремлению совершенствовать СОИБ. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учетом контекста оценки.
3.1. Способы оценки информационной безопасности
Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ (СОИБ). СОИБ представляет собой совокупность аппаратно-программных, технических и организационных защитных мер (ЗМ), функционирующих под управлением СМИБ и процессов осознания ИБ, инициирующих и поддерживающих деятельность по менеджменту ИБ.
Желание иметь СОИБ, адекватную целям ИБ организации по обеспечению доступности, целостности и конфиденциальности информационных активов, приводит к стремлению совершенствовать СОИБ. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учетом контекста оценки.
Критерии оценки — это все то, что позволяет установить значения оценки для объекта оценки. В качестве критериев оценки ИБ могут использоваться требования ИБ, процедуры ИБ, сочетание требований и процедур ИБ, уровень инвестиций, затрат на ИБ.
К свидетельствам оценки ИБ относятся записи, изложение фактов или любая информация, которая имеет отношение к критериям оценки ИБ и может быть проверена. Такими свидетельствами оценки ИБ могут быть доказательства выполняемой и выполненной деятельности по обеспечению ИБ в виде отчетных, нормативных, распорядительных документов, результатов опросов, наблюдений.
Контекст оценки ИБ объединяет цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки и роли.
Модель оценки ИБ определяет сферу оценки, отражающую контекст оценки ИБ в рамках критерия оценки ИБ, отображение и преобразование оценки в параметры объекта оценки, а также устанавливает показатели, обеспечивающие оценку ИБ в сфере оценки.
В общем виде процесс проведения оценки ИБ (рис. 53) представлен основными компонентами процесса: контекст, свидетельства, критерии и модель оценки, — необходимыми для реализации процесса оценки.
Оценка ИБ заключается в выработке оценочного суждения относительно пригодности (зрелости) процессов обеспечения ИБ, адекватности используемых защитных мер или целесообразности (достаточности) инвестиций (затрат) для обеспечения необходимого уровня ИБ на основе измерения и оценивания критических элементов (факторов) объекта оценки.
Наряду с важнейшим назначением оценки ИБ — создание информационной потребности для совершенствования ИБ, возможны и другие цели проведения оценки ИБ такие, как:
— определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;
— выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;
— сравнение зрелости различных процессов обеспечения ИБ и сравнение степени соответствия различных защитных мер установленным требованиям.
Результаты оценки ИБ организации могут также использоваться заинтересованной стороной для сравнения уровня ИБ организаций с одинаковым бизнесом и сопоставимым масштабом.
В зависимости от выбранного для оценки ИБ критерия можно разделить способы оценки ИБ организации (рис. 54) на оценку по эталону, риск-ориентированную оценку и оценку по экономическим показателям.
Способ оценки ИБ по эталону сводится к сравнению деятельности и мер по обеспечению ИБ организации с требованиями, закрепленными в эталоне. По сути дела проводится оценка соответствия СОИБ организации установленному эталону. Под оценкой соответствия ИБ организации установленным критериям понимается деятельность, связанная с прямым или косвенным определением выполнения или невыполнения соответствующих требований ИБ в организации. С помощью оценки соответствия ИБ измеряется правильность реализации процессов системы обеспечения ИБ организации и идентифицируются недостатки такой реализации.
В результате проведения оценки ИБ должна быть сформирована оценка степени соответствия СОИБ эталону, в качестве которого могут быть приняты (в совокупности и отдельно):
— требования законодательства Российской Федерации в области ИБ;
— отраслевые требования по обеспечению ИБ;
— требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ;
— требования национальных и международных стандартов в области ИБ.
Основные этапы оценки информационной безопасности по эталону включают выбор эталона и формирование на его основе критериев оценки ИБ, сбор свидетельств оценки и измерение критических элементов (факторов) объекта оценки, формирование оценки ИБ.
Риск-ориентированная оценка ИБ организации представляет собой способ оценки, при котором рассматриваются риски ИБ, возникающие в информационной сфере организации, и сопоставляются существующие риски ИБ и принимаемые меры по их обработке. В результате должна быть сформирована оценка способности организации эффективно управлять рисками ИБ для достижения своих целей.
Основные этапы риск-ориентированной оценки информационной безопасности включают идентификацию рисков ИБ, определение адекватных процессов менеджмента рисков и ключевых индикаторов рисков ИБ, формирование на их основе критериев оценки ИБ, сбор свидетельств оценки и измерение риск-факторов, формирование оценки ИБ.
Способ оценки ИБ на основе экономических показателей оперирует понятными для бизнеса аргументами о необходимости обеспечения и совершенствования ИБ. Для проведения оценки в качестве критериев эффективности СОИБ используются, например, показатели совокупной стоимости владения (Total Cost of Ownership — ТСО) [24].
Под показателем TCO понимается сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение СОИБ. Под прямыми затратами понимаются все материальные затраты, такие как покупка оборудования и программного обеспечения, трудозатраты соответствующих категорий сотрудников. Косвенными являются все затраты на обслуживание СОИБ, а также потери от произошедших инцидентов. Сбор и анализ статистики по структуре прямых и косвенных затрат проводится, как правило, в течение года. Полученные данные оцениваются по ряду критериев с показателями ТСО аналогичных организаций отрасли.
Оценка на основе показателя TCO позволяет оценить затраты на информационную безопасность и сравнить ИБ организации с типовым профилем защиты, а также управлять затратами для достижения требуемого уровня защищенности.
Основные этапы оценки эффективности СОИБ на основе модели TCO включают сбор данных о текущем уровне ТСО, анализ областей обеспечения ИБ, выбор сравнимой модели ТСО в качестве критерия оценки, сравнение показателей с критерием оценки, формирование оценки ИБ.
Однако этот способ оценки требует создания общей информационной базы данных об эффективности СОИБ организаций схожего бизнеса и постоянной поддержки базы данных в актуальном состоянии. Такое информационное взаимодействие организаций, как правило, не соответствует целям бизнеса. Поэтому оценка ИБ на основе показателя TCO практически не применяется.
Далее рассмотрим подробнее способ оценки ИБ на основе эталона и способ риск-ориентированной оценки ИБ.
3.2. Процесс оценки информационной безопасности
3.2.1. Основные элементы процесса оценки
Процесс оценки ИБ включает следующие элементы проведения оценки:
— контекст оценки, который определяет входные данные: цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки, а также роли и ресурсы;
— критерии оценки;
— модель оценки;
— мероприятия процесса оценки: сбор свидетельств оценки и проверка их достоверности, измерение и оценивание атрибутов объекта оценки;
— выходные данные оценки.
Основные элементы процесса оценки ИБ [25] представлены на рис. 55 в виде процессной модели.
Прежде чем рассмотреть особенности способов оценки ИБ организации необходимо описать общие для любой оценки ИБ компоненты: контекст оценки, сбор свидетельств оценки и проверка их достоверности, измерение и оценивание атрибутов при проведении оценки различного вида (независимая оценка, самооценка) и выходные данные оценки. Модель оценки и критерии оценки, определяющие особенности способов оценки, будут рассмотрены в других разделах.