Обеспечение информационной безопасности бизнеса
Шрифт:
Комплексный показатель оценки ИБ (рис. 60) формируется как производная мера, объединяющая групповые показатели. Модель объединения групповых показателей может быть такой же, как модель объединения частных показателей, но со своими коэффициентами значимости. Другим вариантом модели объединения может быть модель предпочтения, когда значение комплексного показателя определяется по самому низкому значению показателя среди наиболее значимых групповых показателей.
3.3.2. Оценка информационной безопасности на основе модели зрелости процессов
Рассмотрим применение оценки возможности (оценки зрелости) процессов для оценки ИБ организации.
В ISO/IEC 15504 [29] определена модель оценки зрелости, основу которой составляют идентифицированные атрибуты оцениваемых процессов, представляющие измеримые характеристики возможностей того или иного процесса, и методы их оценивания.
Стандартом определена следующая шкала рейтингов оценки процесса, определяющих степень достижения определенных значений для оцениваемого атрибута процесса:
— N — не достигнуто: мало или нет свидетельств достижения определенным атрибутом оцениваемого процесса некоторого желаемого значения;
— P — частично достигнуто: существуют некоторые свидетельства приближения к желаемому значению определенного атрибута оцениваемого процесса;
— L — в значительной степени достигнуто: существуют свидетельства систематического приближения к определенному значению атрибута оцениваемого процесса, в оцениваемом процессе могут существовать некоторые слабые места, связанные с этим атрибутом;
— F — полностью достигнуто: существуют свидетельства полного и систематического приближения к определенному значению атрибута оцениваемого процесса, никаких слабых мест, связанных с этим атрибутом, в оцениваемом процессе не существует.
Фактически рассматриваются определенные показатели атрибутов процессов, которые ранжируются по 4-уровневой шкале оценивания. Значения для оцениваемых параметров следующие:
— N — не достигнуто — от 0 до 15 %;
— P — частично достигнуто — от >15 до 50 %;
— L — в значительной степени достигнуто — от >50 до 85 %;
— F — полностью достигнуто — от >85 до 100 %.
При этом любая интересующая задача, представленная в спецификации процессного подхода с выделенными атрибутами данного процесса и установленным методом измерения данных атрибутов, может быть далее оценена на основе следующей обобщенной модели зрелости (уровням возможностей — рейтингам) процесса как представлено в таблице 10.
Таблица 10
Для целей определения рейтинга (уровня) зрелости процесса выделяются характеризующие его атрибуты, которые можно было бы измерить, по следующим позициям:
— функционирование процесса — процесс выполняется и формирует определенные результаты;
— менеджмент функционирования — процесс управляем в контексте его назначения и целей процесса;
— менеджмент рабочего продукта — осуществляется управление результатами процесса в части их содержания и потребностей использования;
— формализация процесса — имеется полная формальная модель процесса, и его реализация осуществляется в соответствии со спецификацией;
— развертывание процесса — реализацией процесса охвачены все вовлеченные стороны;
— количественная оценка процесса — определены и используются количественные метрики процесса;
— контроль процесса — процесс контролируется во всех составляющих его работах и операциях;
— инновация процесса — разрабатываются и внедряются передовые технологии для работ и операций процесса;
— оптимизация процесса — осуществляются меры по улучшению процесса, результаты которых оцениваемы в количественном или качественном выражении.
Для оценки ИБ на основе модели зрелости необходимы два основных источника:
— требования к составу процессов менеджмента ИБ организации — требования ГОСТ Р ИСО / МЭК 27001;
— эталонная модель зрелости процессов ИБ.
Для идентифицированных процессов обеспечения ИБ должны быть разработаны:
— описание каждого из процессов в терминах уровней зрелости эталонной модели;
— методика оценки зрелости процессов, включающая анкеты для оценки возможностей процессов, в соответствии с заявленным уровнем зрелости.
С учетом анализа содержания и семантики требований ГОСТ Р ИСО/МЭК 27001 можно выделить следующие 17 процессов СМИБ организации:
— определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ;
— анализ и оценка рисков ИБ, варианты обработки рисков ИБ;
— определение/уточнение политики для СМИБ организации;
— выбор/уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ;
— принятие руководством организации остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ;
— разработка плана обработки рисков ИБ;
— реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ;
— реализация программ по обучению и осведомленности ИБ;
— обнаружение и реагирование на инциденты безопасности ИБ;
— мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ;
— анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ;
— внутренний аудит СМИБ;
— анализ СМИБ со стороны высшего руководства;
— реализация тактических улучшений в СМИБ, осуществляемых в рамках полномочий служб (ответственных) ИБ организации;
— реализация стратегических улучшений СМИБ, требующих принятия решений на уровне руководства организации и инициирования процессов планирования СМИБ; использование опыта;
— информирование об изменениях и их согласование с заинтересованными сторонами;
— оценка достижения поставленных целей и потребностей в развитии СМИБ.
В [31] рассмотрен пример описания модели зрелости процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ», который приведен ниже.