Преобразование должно быть полным, четким и однозначным. Преобразование показателей в модели оценки процесса должно производиться в:
— назначения и результаты процессов в установленной модели процесса;
— параметры процесса (включая все результаты достижения, перечисленные для каждого параметра процесса) в структуре измерений.
Международный стандарт ИСО/МЭК 15504 [29] определяет, что для оценки процесса могут использоваться модель, оценивающая функционирование процесса, и модель, оценивающая возможности процесса. Измерение функционирования процесса обеспечивается эталонной моделью процесса. Измерение возможности процесса состоит из структуры измерений, включающей шесть уровней возможностей процесса и соответствующие атрибуты процесса.
Разберем первую модель — модель оценки функционирования процесса, для чего рассмотрим измерение и оценивание атрибутов и формирование оценки процессов обеспечения ИБ с помощью этой модели.
Каждый процесс характеризуется назначением (вход), результатом (выход), управляющими воздействиями и ресурсами.
Состояние любого процесса отображается совокупностью атрибутов мероприятий процесса, входных атрибутов, атрибутов управления, атрибутов ресурсов и выходных атрибутов:
Для проведения оценки функционирования процессов каждый процесс должен быть представлен совокупностью атрибутов, требуемых для функционирования процессов в соответствии с их назначением:
В общем случае каждый вид атрибута описывается набором атрибутов, т. е
Для описания соответствия реальных атрибутов процесса требуемым атрибутам YTP формально введем числовую функцию на множестве атрибутов процесса ρ = ρ (Y(u), YTP), которая называется функцией соответствия. Каждый атрибут процесса измеряется с помощью функции соответствия. Конкретный вид функции зависит от метода измерения атрибута.
Для совокупности атрибутов функция соответствия ρ (Y (u), YTP) показывает степень достижения требуемых атрибутов. Совокупность атрибутов Y может быть случайной переменной Y (и) (числовой или нечисловой), зависящей от стратегии и ∈ U. Стратегиями U могут быть следующие действия в отношении процессов обеспечения ИБ: применение базовой оценки рисков ИБ, использование определенного поставщика для реализации СОИБ, применение аутсорсинга для реализации некоторых процессов. Функция соответствия ρ (Y (u), YTP) в этом случае также может быть случайной величиной. Тогда показатель функционирования определяется математическим ожиданием функции соответствия:
Если Y (u), и YTP — неслучайные переменные, то W (и) = ρ (Y (u), YTP).
На рис. 60 показана модель оценки процессов обеспечения ИБ организации на основе измерения атрибутов процессов.
Данная модель оценки соответствия ИБ связывает потребности в оценке функционирования процессов обеспечения ИБ с соответствующими процессами и представляющими интерес атрибутами процессов. С помощью метода измерения атрибуты преобразовываются в основные меры (частные показатели), с помощью производных мер формируются групповые показатели.
Примеры метрик из [30] и [23] для измерения атрибутов представлены в приложении 3
Для оценивания функционирования (правильности реализации) любого процесса введем групповой (векторный) показатель функционирования
объединяющий частные показатели разных видов:
— частные показатели правильности реализации входных атрибутов
— частные показатели правильности реализации атрибутов управления
— частные показатели правильности реализации атрибутов ресурсов
— частные показатели правильности реализации атрибутов мероприятий
— частные показатели правильности реализации выходных атрибутов
Для каждого атрибута процесса, когда Y(u), и YTP — неслучайные (детерминированные) переменные, функция соответствия служит частным показателем функционирования:
где mk — число атрибутов определенного вида, k = 5.
Введение векторного показателя функционирования накладывает дополнительные требования: минимальность числа частных показателей и полнота. Требование минимальности числа частных показателей связано со стремлением к снижению трудоемкости оценивания, однако при сохранении полноты охвата атрибутов процесса.
В зависимости от вида функции соответствия можно получить различные значения частных показателей функционирования. Вид функции соответствия определяется преобразованиями, которые допустимы в выбранных для метода измерения шкалах.
Например, пусть событие А означает достижение атрибута процесса требуемого значения. Вероятность Ри (А) наступления этого события зависит от стратегии и ∈ U. Тогда функция соответствия р в этом случае вводится как переменная, которая может принять лишь два значения 0 или 1, т. е.
Частные показатели могут иметь различную размерность. Поэтому при формировании группового показателя необходимо оперировать с нормированными значениями показателей.
Характеристики и свойства процессов обеспечения ИБ, которые несут атрибуты, не равнозначные с точки зрения реализации этих процессов. Поэтому необходимо определить способ объединения частных показателей (рис. 60) при формировании групповых показателей из частных. Наиболее часто применяемой производной мерой является усреднение объединяемых основных мер, т. е. групповые показатели формируются путем усреднения частных показателей, предполагая их равную значимость:
где Wj — групповой показатель j-го процесса;
Wji — частный показатель i-го атрибута j-го процесса;
n — число показателей всех измеряемых атрибутов j-го процесса.
Вычисление среднего значения для количественных показателей или вычисление медианы для качественных показателей дают хорошие результаты с точки зрения понимания правильности реализации процессов, однако адекватность такой обобщенной оценки не столь высока ввиду различной значимости оцениваемых атрибутов. Повысить адекватность обобщенной оценки процессов позволяет использование коэффициентов значимости (весовых коэффициентов) частных показателей.
Под значимостью частного показателя будем понимать важность оцениваемых частным показателем атрибутов процессов обеспечения ИБ с точки зрения функционирования (правильности реализации) этих процессов.
Групповые показатели при различной значимости частных показателей вычисляются следующим образом:
где αji — коэффициент значимости частного показателя i-го атрибута j-го процесса.
Значимость атрибутов процессов обеспечения ИБ может быть определена с помощью экспертных методов (непосредственной численной оценки, балльного оценивания, относительных частот рангов), основанных на субъективной оценке значимости экспертами, и аналитических методов с использованием формализованных процедур, снижающих субъективность оценки. Экспертные методы просты, субъективны. Аналитические методы менее субъективны, но сложны. Кроме того, они не ориентированы на процессный подход к оценке.
Комплексный показатель оценки ИБ (рис. 60) формируется как производная мера, объединяющая групповые показатели. Модель объединения групповых показателей может быть такой же, как модель объединения частных показателей, но со своими коэффициентами значимости. Другим вариантом модели объединения может быть модель предпочтения, когда значение комплексного показателя определяется по самому низкому значению показателя среди наиболее значимых групповых показателей.
3.3.2. Оценка информационной безопасности на основе модели зрелости процессов
Рассмотрим применение оценки возможности (оценки зрелости) процессов для оценки ИБ организации.
В ISO/IEC 15504 [29] определена модель оценки зрелости, основу которой составляют идентифицированные атрибуты оцениваемых процессов, представляющие измеримые характеристики возможностей того или иного процесса, и методы их оценивания.
В ISO/IEC 15504 [29] определена модель оценки зрелости, основу которой составляют идентифицированные атрибуты оцениваемых процессов, представляющие измеримые характеристики возможностей того или иного процесса, и методы их оценивания.
Стандартом определена следующая шкала рейтингов оценки процесса, определяющих степень достижения определенных значений для оцениваемого атрибута процесса:
— N — не достигнуто: мало или нет свидетельств достижения определенным атрибутом оцениваемого процесса некоторого желаемого значения;
— P — частично достигнуто: существуют некоторые свидетельства приближения к желаемому значению определенного атрибута оцениваемого процесса;
— L — в значительной степени достигнуто: существуют свидетельства систематического приближения к определенному значению атрибута оцениваемого процесса, в оцениваемом процессе могут существовать некоторые слабые места, связанные с этим атрибутом;
— F — полностью достигнуто: существуют свидетельства полного и систематического приближения к определенному значению атрибута оцениваемого процесса, никаких слабых мест, связанных с этим атрибутом, в оцениваемом процессе не существует.
Фактически рассматриваются определенные показатели атрибутов процессов, которые ранжируются по 4-уровневой шкале оценивания. Значения для оцениваемых параметров следующие:
— N — не достигнуто — от 0 до 15 %;
— P — частично достигнуто — от >15 до 50 %;
— L — в значительной степени достигнуто — от >50 до 85 %;
— F — полностью достигнуто — от >85 до 100 %.
При этом любая интересующая задача, представленная в спецификации процессного подхода с выделенными атрибутами данного процесса и установленным методом измерения данных атрибутов, может быть далее оценена на основе следующей обобщенной модели зрелости (уровням возможностей — рейтингам) процесса как представлено в таблице 10.
Таблица 10
Для целей определения рейтинга (уровня) зрелости процесса выделяются характеризующие его атрибуты, которые можно было бы измерить, по следующим позициям:
— функционирование процесса — процесс выполняется и формирует определенные результаты;
— менеджмент функционирования — процесс управляем в контексте его назначения и целей процесса;
— менеджмент рабочего продукта — осуществляется управление результатами процесса в части их содержания и потребностей использования;
— формализация процесса — имеется полная формальная модель процесса, и его реализация осуществляется в соответствии со спецификацией;
— развертывание процесса — реализацией процесса охвачены все вовлеченные стороны;
— количественная оценка процесса — определены и используются количественные метрики процесса;
— контроль процесса — процесс контролируется во всех составляющих его работах и операциях;
— инновация процесса — разрабатываются и внедряются передовые технологии для работ и операций процесса;
— оптимизация процесса — осуществляются меры по улучшению процесса, результаты которых оцениваемы в количественном или качественном выражении.
Для оценки ИБ на основе модели зрелости необходимы два основных источника:
— требования к составу процессов менеджмента ИБ организации — требования ГОСТ Р ИСО / МЭК 27001;
— эталонная модель зрелости процессов ИБ.
Для идентифицированных процессов обеспечения ИБ должны быть разработаны:
— описание каждого из процессов в терминах уровней зрелости эталонной модели;
— методика оценки зрелости процессов, включающая анкеты для оценки возможностей процессов, в соответствии с заявленным уровнем зрелости.
С учетом анализа содержания и семантики требований ГОСТ Р ИСО/МЭК 27001 можно выделить следующие 17 процессов СМИБ организации:
— определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ;
— анализ и оценка рисков ИБ, варианты обработки рисков ИБ;
— определение/уточнение политики для СМИБ организации;
— выбор/уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ;
— принятие руководством организации остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ;
— разработка плана обработки рисков ИБ;
— реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ;
— реализация программ по обучению и осведомленности ИБ;
— обнаружение и реагирование на инциденты безопасности ИБ;
— мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ;
— анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ;
— внутренний аудит СМИБ;
— анализ СМИБ со стороны высшего руководства;
— реализация тактических улучшений в СМИБ, осуществляемых в рамках полномочий служб (ответственных) ИБ организации;
— реализация стратегических улучшений СМИБ, требующих принятия решений на уровне руководства организации и инициирования процессов планирования СМИБ; использование опыта;
— информирование об изменениях и их согласование с заинтересованными сторонами;
— оценка достижения поставленных целей и потребностей в развитии СМИБ.
В [31] рассмотрен пример описания модели зрелости процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ», который приведен ниже.
Для процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» 4.2.1 c)÷f) СМИБ организации, определенной требованиями пунктами ГОСТ Р ИСО/МЭК 27001, описание модели его зрелости может быть определено следующим образом (приведем в качестве примера фрагменты описания нулевого, первого, третьего и пятого уровней зрелости процесса).
Модель зрелости
0-й уровень
На данном уровне наблюдается полное отсутствие определенного процесса по анализу и оценке рисков ИБ.
Не проводится оценка рисков ИБ для проектов, разрабатываемых стратегий и решений. Руководство организации не осознает возможных последствий для бизнеса организации, связанные с реализациями угроз ИБ, в спектре рисков организации не рассматриваются риски ИБ…
1-й уровень
В организации существуют документально зафиксированные свидетельства осознания руководством существования проблем обеспечения ИБ. В частности, определена и документально зафиксирована область действия СМИБ.
Информационные активы определены, составлен перечень их уязвимостей и вероятности использования уязвимостей угрозами. Просчитан ущерб от возможной реализации угроз, а также определены оценки актуальности угроз.
Процесс анализа и оценки рисков как таковой нестандартизирован. Деятельности в рамках процесса оценки и анализа рисков применяются эпизодически и бессистемно. Создана, но не обновляется база инцидентов ИБ. Определены приоритеты рисков, но данные приоритеты учитывают не все инциденты ИБ…
3-й уровень
Существует политика организации, в которой определяется периодичность и область оценки рисков ИБ. Процесс оценки рисков документирован и стандартизирован, суть процесса доводится до заинтересованного персонала посредством обучения базовым принципам безопасности, оценки и анализа рисков ИБ. Разработан план работ по оценке рисков. Методология оценки рисков с большой степенью вероятности гарантирует, что основные риски ИБ будут выявлены, поскольку результаты деятельности в рамках процесса по оценке и анализу рисков согласованы с соответствующими политиками, стандартами и /или процедурами…
5-й уровень
Оценка рисков в организации доведена до уровня лучших практик по оценке и анализу риска. Выбранная стратегия оценки рисков непрерывно совершенствуется, ориентируясь на последние достижения в области ИБ, действующие международные стандарты и результаты сравнения с уровнем других организаций. Привлекаются сторонние сертифицированные эксперты для консультаций по вопросам рисков, оптимизации существующей системы сбора и анализа первичной информации для анализа рисков. Проводятся совещания по принципу «мозгового штурма» с целью выявить и проанализировать причины идентифицированных рисков. Система защитных мер строго скоординирована с приоритетами рисков и зависимостью «эффективность защитных мер — стоимость», комплексно используется установленная форма отчетности об эффективности защитных мер…