В.В. Андрианов
В.Б. Голованов
Н.А. Голдуев
С.Л. Зефиров Глава из книги «Обеспечение информационной безопасности бизнеса»
ЦИПСиР
Желание иметь СОИБ, адекватную целям ИБ организации по обеспечению доступности, целостности и конфиденциальности информационных активов, приводит к стремлению совершенствовать СОИБ. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учетом контекста оценки.
Критерии оценки — это все то, что позволяет установить значения оценки для объекта оценки. В качестве критериев оценки ИБ могут использоваться требования ИБ, процедуры ИБ, сочетание требований и процедур ИБ, уровень инвестиций, затрат на ИБ.
Рисунок 1 — Общий вид процесса оценки ИБ организации
Рисунок 2 — Способы оценки ИБ организации
Рисунок 3 — Основные элементы процесса оценки ИБ
Рисунок 4 — Роли процесса оценки ИБ и их функции
Рисунок 5 — Модель измерений, связанных с обеспечением ИБ
Рисунок 6 — Формирование анкет для измерения атрибутов
Рисунок 7 — Формирование метрик для измерения атрибутов
Рисунок 8 — Модель оценки процессов обеспечения ИБ организации
,
,
Рисунок 9 — Алгоритм проведения риск-ориентированной оценки
Рисунок 10 — Модель риск-ориентированной оценки ИБ организации
В.Б. Голованов
Н.А. Голдуев
С.Л. Зефиров Глава из книги «Обеспечение информационной безопасности бизнеса»
ЦИПСиР
Способы оценки информационной безопасности
Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ (СОИБ). СОИБ представляет собой совокупность аппаратно-программных, технических и организационных защитных мер (ЗМ), функционирующих под управлением СМИБ и процессов осознания ИБ, инициирующих и поддерживающих деятельность по менеджменту ИБ.Желание иметь СОИБ, адекватную целям ИБ организации по обеспечению доступности, целостности и конфиденциальности информационных активов, приводит к стремлению совершенствовать СОИБ. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учетом контекста оценки.
Критерии оценки — это все то, что позволяет установить значения оценки для объекта оценки. В качестве критериев оценки ИБ могут использоваться требования ИБ, процедуры ИБ, сочетание требований и процедур ИБ, уровень инвестиций, затрат на ИБ.
К свидетельствам оценки ИБ относятся записи, изложение фактов или любая информация, которая имеет отношение к критериям оценки ИБ и может быть проверена. Такими свидетельствами оценки ИБ могут быть доказательства выполняемой и выполненной деятельности по обеспечению ИБ в виде отчетных, нормативных, распорядительных документов, результатов опросов, наблюдений.
Контекст оценки ИБ объединяет цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки и роли.
Модель оценки ИБ определяет сферу оценки, отражающую контекст оценки ИБ в рамках критерия оценки ИБ, отображение и преобразование оценки в параметры объекта оценки, а также устанавливает показатели, обеспечивающие оценку ИБ в сфере оценки.
В общем виде процесс проведения оценки ИБ (рисунок 1) представлен основными компонентами процесса: контекст, свидетельства, критерии и модель оценки — необходимыми для реализации процесса оценки.
Оценка ИБ заключается в выработке оценочного суждения относительно пригодности (зрелости) процессов обеспечения ИБ, адекватности используемых защитных мер или целесообразности (достаточности) инвестиций (затрат) для обеспечения необходимого уровня ИБ на основе измерения и оценивания критических элементов (факторов) объекта оценки.
Рисунок 1 — Общий вид процесса оценки ИБ организации
Наряду с важнейшим назначением оценки ИБ — создание информационной потребности для совершенствования ИБ, возможны и другие цели проведения оценки ИБ, такие как:
– определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;
– выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;
– сравнение зрелости различных процессов обеспечения ИБ и сравнение степени соответствия различных защитных мер установленным требованиям.
Результаты оценки ИБ организации могут также использоваться заинтересованной стороной для сравнения уровня ИБ организаций с одинаковым бизнесом и сопоставимым масштабом.
В зависимости от выбранного для оценки ИБ критерия можно разделить способы оценки ИБ организации (рисунок 2) на оценку по эталону, риск-ориентированную оценку и оценку по экономическим показателям.
Рисунок 2 — Способы оценки ИБ организации
Способ оценки ИБ по эталону сводится к сравнению деятельности и мер по обеспечению ИБ организации с требованиями, закрепленными в эталоне. По сути дела проводится оценка соответствия СОИБ организации установленному эталону. Под оценкой соответствия ИБ организации установленным критериям понимается деятельность, связанная с прямым или косвенным определением выполнения или невыполнения соответствующих требований ИБ в организации. С помощью оценки соответствия ИБ измеряется правильность реализации процессов системы обеспечения ИБ организации и идентифицируются недостатки такой реализации.
В результате проведения оценки ИБ должна быть сформирована оценка степени соответствия СОИБ эталону, в качестве которого могут быть приняты (в совокупности и отдельно):
– требования законодательства Российской Федерации в области ИБ;
– отраслевые требования по обеспечению ИБ;
– требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ;
– требования национальных и международных стандартов в области ИБ.
Основные этапы оценки информационной безопасности по эталону включают выбор эталона и формирование на его основе критериев оценки ИБ, сбор свидетельств оценки и измерение критических элементов (факторов) объекта оценки, формирование оценки ИБ.
Риск-ориентированная оценка ИБ организации представляет собой способ оценки, при котором рассматриваются риски ИБ, возникающие в информационной сфере организации, и сопоставляются существующие риски ИБ и принимаемые меры по их обработке. В результате должна быть сформирована оценка способности организации эффективно управлять рисками ИБ для достижения своих целей.
Основные этапы риск-ориентированной оценки информационной безопасности включают идентификацию рисков ИБ, определение адекватных процессов менеджмента рисков и ключевых индикаторов рисков ИБ, формирование на их основе критериев оценки ИБ, сбор свидетельств оценки и измерение риск-факторов, формирование оценки ИБ.
Способ оценки ИБ на основе экономических показателей оперирует понятными для бизнеса аргументами о необходимости обеспечения и совершенствования ИБ. Для проведения оценки в качестве критериев эффективности СОИБ используются, например, [2], показатели совокупной стоимости владения (Total Cost of Ownership — ТСО).
Под показателем TCO понимается сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение СОИБ. Под прямыми затратами понимаются все материальные затраты, такие как покупка оборудования и программного обеспечения, трудозатраты соответствующих категорий сотрудников. Косвенными являются все затраты на обслуживание СОИБ, а также потери от произошедших инцидентов. Сбор и анализ статистики по структуре прямых и косвенных затрат проводится, как правило, в течение года. Полученные данные оцениваются по ряду критериев с показателями ТСО аналогичных организаций отрасли.
Оценка на основе показателя TCO позволяет оценить затраты на информационную безопасность и сравнить ИБ организации с типовым профилем защиты, а также управлять затратами для достижения требуемого уровня защищенности.
Основные этапы оценки эффективности СОИБ на основе модели TCO включают сбор данных о текущем уровне ТСО, анализ областей обеспечения ИБ, выбор сравнимой модели ТСО в качестве критерия оценки, сравнение показателей с критерием оценки, формирование оценки ИБ.
Однако этот способ оценки требует создания общей информационной базы данных об эффективности СОИБ организаций схожего бизнеса и постоянной поддержки базы данных в актуальном состоянии. Такое информационное взаимодействие организаций, как правило, не соответствует целям бизнеса. Поэтому оценка ИБ на основе показателя TCO практически не применяется.
Далее рассмотрим подробнее способ оценки ИБ на основе эталона и способ риск-ориентированной оценки ИБ.
Процесс оценки информационной безопасности
Основные элементы процесса оценки
Процесс оценки ИБ включает следующие элементы проведения оценки:
– контекст оценки, который определяет входные данные: цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки и роли;
– критерии оценки;
– модель оценки;
– мероприятия процесса оценки: сбор свидетельств оценки и проверка их достоверности, измерение и оценивание атрибутов объекта оценки;
– выходные данные оценки.
Основные элементы процесса оценки ИБ [3] представлены на рисунке 3 в виде процессной модели.
Прежде чем рассмотреть особенности способов оценки ИБ организации, необходимо описать общие для любой оценки ИБ компоненты: контекст оценки, сбор свидетельств оценки и проверка их достоверности, измерение и оценивание атрибутов при проведении оценки различного вида (независимая оценка, самооценка) и выходные данные оценки. Модель оценки и критерии оценки, определяющие особенности способов оценки, будут рассмотрены в других разделах.
Рисунок 3 — Основные элементы процесса оценки ИБ
Рассмотрим подробнее элементы процесса оценки ИБ организации.
Контекст оценки информационной безопасности организации
Контекст оценки ИБ включает цели и назначение оценки ИБ, вид оценки, объект и области оценки ИБ, ограничения оценки, роли.
К ролям, участвующим в реализации процесса оценки, относятся организатор, аналитик, руководитель группы оценки, оценщик, владелец активов, представитель объекта оценки.
Организатор (заказчик) оценки ИБ формирует цель оценки (совершенствование объекта оценки, определение соответствия объекта оценки установленным критериям и т.д.) и определяет критерий оценки, объект и область оценки. Под организатором оценки понимается лицо или организация, являющиеся внутренними или внешними по отношению к оцениваемому объекту оценки, которые организуют проведения оценки и предоставляют финансовые и другие ресурсы, необходимые для ее проведения. Организатор должен обеспечить доступ группы оценки (руководитель группы оценки, оценщик) к активам объекта оценки для изучения, к персоналу для проведения опросов, к инфраструктуре, необходимой во время оценивания. Хотя руководство объекта оценки напрямую не имеет никаких конкретных обязанностей по проведению оценивания, осознание важности оценки имеет очень большое значение. Это особенно актуально в том случае, когда организатор оценки не является членом руководства объекта оценки.
По завершении оценки организатор передает отчетные документы по оценке заинтересованным сторонам для использования их в соответствии с заявленной целью оценки.
Аналитик оценки ИБ выбирает способ оценки ИБ, модель оценки и определяет методическое и информационное обеспечение оценки, т.е. методики, данные для оценки. Аналитик оценки анализирует результаты оценки и формирует отчет и рекомендации по результатам оценки ИБ.
Руководитель группы оценки и оценщик измеряют и оценивают свидетельства оценки, предоставленные владельцами активов, и формируют результаты оценки. Руководитель группы должен распределить ответственность между членами группы за оценивание конкретных процессов, подразделений, областей или видов деятельности объекта оценки. Такое распределение должно учитывать потребность в независимости, компетентности специалистов по оценке и результативном использовании ресурсов. Мероприятия по измерению и оцениванию выполняются исключительно руководителем группы оценки и оценщиком, входящими в группу оценки. Другой персонал (представитель объекта оценки, технический эксперт) может участвовать в работе группы оценки для обеспечения специализированных знаний или консультаций. Они могут обсуждать с оценщиком формулировки суждений, но не будут нести ответственность за окончательную оценку.
На рисунке 4 показаны роли процесса оценки ИБ и основные функции, выполняемые ролями.
Рисунок 4 — Роли процесса оценки ИБ и их функции
Важным аспектом при определении контекста оценки является вид оценки: независимая или самооценка. В зависимости от вида оценки различается отношение ролей процесса оценки и объекта оценки.
Независимая оценка достигается путем проведения оценки группой оценки, члены которой независимы от объекта оценки. Организатор оценки может относиться к той же организации, к которой относится объект оценки, но не обязательно к оцениваемому объекту оценки. Степень независимости может варьироваться в соответствии с целью и областью оценки. В случае внешнего организатора оценки предполагается наличие взаимного соглашения между организатором оценки и организацией, к которой относится объект оценки. Представитель объекта оценки принимает участие в формировании свидетельств оценки, обеспечивает взаимодействие группы оценки с владельцами активов. Их участие в проведении оценки дает возможность определить и учесть особенности объекта оценки, обеспечить достоверность результатов оценки.
Самооценка выполняется организацией с целью оценки собственной СОИБ. Организатор самооценки обычно входит в состав объекта оценки, как и члены группы оценки.
Область оценки может включать, например, один или несколько процессов объекта оценки, например, организатор может сосредоточить внимание на одном или нескольких критических процессах и/или защитных мерах. Выбор объекта оценки должен отражать намеченное использование организатором выходных данных оценки. Например, если выходные данные предназначены для использования при совершенствовании деятельности по обеспечению ИБ, то область оценки должна соответствовать области намеченных работ по совершенствованию. Область оценки может быть любой: от отдельного процесса до всей организации. В контексте оценки должно быть представлено подробное описание объекта оценки, включающее размеры объекта оценки, область применения продуктов или услуг объекта оценки, основные характеристики (например, объем, критичность, сложность и качество) продуктов или услуг объекта оценки.
К ограничениям оценки можно отнести возможную недоступность основных активов, используемых в обычной деловой деятельности организации; недостаточный временной интервал, выделенный для проведения оценивания; необходимость исключения определенных частей объекта оценки из-за стадии жизненного цикла. Кроме того, могут быть наложены ограничения на количество и вид данных, которые должны быть собраны и изучены.
Содержание контекста оценки должно быть согласовано руководителем группы оценки с организатором и уполномоченным представителем объекта оценки и задокументировано до начала процесса оценки. Фиксирование контекста оценки важно, так как он содержит исходные элементы процесса оценки.
Во время выполнения оценки могут происходить изменения в контексте оценки. Изменения должны быть одобрены организатором оценки и уполномоченным представителем объекта оценки. Если эти изменения оказывают влияние на временной график и ресурсы проведения оценки, то планирование оценки должно быть соответствующим образом пересмотрено.
Мероприятия и выходные данные процесса оценки
Сбор свидетельств оценки и проверка их достоверности.
Назначение мероприятия: сбор свидетельств оценки с соблюдением условий обеспечения достоверной оценки ИБ.
Независимая оценка ИБ может быть осуществлена с помощью внутреннего и внешнего аудита ИБ. В [4] аудит ИБ определяется как систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ, установления степени выполнения в организации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения об информационной безопасности организации.
Необходимыми условиями обеспечения достоверной оценки ИБ при проведении аудита являются:
– использование доверенного процесса аудита и соблюдение основных принципов аудита;
– менеджмент программы аудита ИБ;
– использование наиболее достоверных источников свидетельств оценки;
– определение объема выборки с учетом заданной достоверности свидетельств оценки;
– учет факторов, влияющих на аудиторский риск, с целью снижения аудиторского риска.
Доверенный процесс аудита ИБ должен отвечать требованиям принятого в организации нормативного документа, описывающего процесс аудита ИБ, либо требованиям признаваемого сообществом международного (национального) нормативного документа (стандарта, рекомендации). Таким нормативным документом для банковской системы РФ является СТО БР ИББС–1.1–2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности», принятый и введенный в действие Распоряжением Банка России от 28 апреля 2007 года №Р-345. В стандарте изложены принципы проведения аудита ИБ организации, описана последовательность этапов проведения аудита ИБ, установлены требования к этапам проведения аудита ИБ организаций и к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации.
В СТО БР ИББС–1.1–2007 изложено также содержание программы аудита ИБ, включающей деятельность, необходимую для планирования и организации определенного количества и вида аудитов и обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов в заданные сроки. В стандарте определены процедуры менеджмента программы аудита ИБ, направленные на контроль внедрения программы аудита ИБ, анализ достижения целей программы аудита ИБ и определение возможностей для ее совершенствования. Совершенствование программы аудита ИБ состоит в определении корректирующих и превентивных действий по совершенствованию программы аудита ИБ, включающих в себя пересмотр и корректировку сроков проведения аудитов ИБ и необходимых ресурсов, улучшение методов подготовки свидетельств аудита ИБ.
К основным принципам проведения аудита ИБ [5] относятся:
– независимость аудита ИБ.
Аудиторы (группа оценки) независимы в своей деятельности и неответственны за деятельность, которая подвергается аудиту ИБ. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ;
– полнота аудита ИБ.
Аудит ИБ должен охватывать все области аудита ИБ, соответствующие цели оценки. Кроме того, полнота аудита ИБ определяется достаточностью затребованных и предоставленных материалов, документов и уровнем их соответствия поставленным задачам. Полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам оценки ИБ;
– оценка на основе свидетельств аудита ИБ.
При периодическом проведении аудита ИБ оценка на основе свидетельств аудита ИБ является единственным способом, позволяющим получить повторяемое заключение по результатам аудита ИБ, что повышает доверие к такому заключению. Для повторяемости заключения свидетельства аудита ИБ должны быть проверяемыми;
– достоверность свидетельств аудита ИБ.
Оценщики должны быть уверены в достоверности свидетельств оценки ИБ. Доверие к документальным свидетельствам оценки ИБ повышается при подтверждении их достоверности третьей стороной или руководством организации. Доверие к фактам, полученным при опросе сотрудников объекта оценки, повышается при подтверждении данных фактов из различных источников. Доверие к фактам, полученным при наблюдении за деятельностью в области ИБ объекта оценки, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов;
– компетентность и этичность поведения.
Доверие к процессу и результатам оценки ИБ зависит от компетентности тех, кто проводит аудит ИБ, и от этичности их поведения. Компетентность базируется на способности аудитора применять знания и навыки. Этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.
Соблюдение принципов проведения аудита ИБ является предпосылкой для объективных заключений по результатам оценки.
Основными методами получения свидетельств оценки должны быть:
– проверка и анализ документов, относящихся к объекту оценки;
– наблюдение за процессами объекта оценки;
– опрос сотрудников объекта оценки и независимой (третьей) стороны.
Наряду с ручными способами сбора информации формирование свидетельств аудита может быть автоматическим или полуавтоматическим в результате применения какого-то инструментального средства или применения нескольких инструментальных средств.
При сборе данных оценщики должны исходить из того, что деятельность по обеспечению ИБ в области оценки осуществляется в соответствии с критериями оценки ИБ, если этому есть доказательства. Оценщики должны проявлять достаточную степень профессионального скептицизма в отношении собираемых свидетельств оценки, принимая во внимание возможность наличия нарушений ИБ.
Проверка и анализ документов позволяют оценщику получить свидетельства оценки, обладающие наибольшей полнотой и удобством восприятия и использования по сравнению с другими методами получения свидетельств аудита. Однако эти свидетельства аудита имеют различную степень достоверности в зависимости от их характера и источника, а также от эффективности контроля за процессом подготовки и обработки представленных документов.
Свидетельствами оценки ИБ, полученными в результате проверки и анализа документов, могут быть, например:
– наличие документа (документов) с релевантным содержанием;
– выдержки из документа (документов), подтверждающие реализацию деятельности по обеспечению ИБ, возложение ответственности и обязанностей на сотрудника (сотрудников) за реализацию деятельности по обеспечению ИБ;
– выдержки из документа (документов), содержащие описания реализованных ЗМ, процессов обеспечения ИБ.
Наблюдение представляет собой отслеживание оценщиком процедур или процессов обеспечения ИБ, выполняемых другими лицами (в т.ч. персоналом организации). Информация считается достоверной только в том случае, если она получена непосредственно в момент функционирования проверяемых процедур или процессов.
Свидетельствами аудита, полученными с помощью наблюдения за деятельностью, могут быть, например, записи, факты или другая информация, имеющие отношение к результатам автоматического контроля техническими средствами, зафиксированные оценщиками в ходе наблюдения.
Устный опрос проводят оценщики среди сотрудников (владельцев активов), утвержденных представителем объекта оценки для предоставления источников свидетельств и свидетельств оценки. Результаты устных опросов должны оформляться в виде протокола или краткого конспекта, в котором обязательно должны быть указаны фамилия, имя, отчество оценщика, проводившего опрос, фамилия, имя, отчество опрашиваемого лица, а также их подписи. Для проведения типовых опросов могут быть подготовлены бланки с перечнями интересующих вопросов. Результаты устного опроса следует проверять, так как опрашиваемый может выражать свое субъективное мнение.
Свидетельствами аудита, полученными при проведении опроса, могут быть, например, описания и разъяснения опрашиваемых лиц по реализации процессов, процедур по обеспечению ИБ.
Для уверенности в достоверности оценки оценщики должны быть уверены в достоверности выявленных свидетельств аудита. Собранные свидетельства оценки, используемые для оценивания показателей, должны быть точным представлением оцениваемого объекта оценки. Для этого следует учитывать достоверность источников свидетельств аудита.
По степени достоверности (от наибольшей к наименьшей) источники свидетельств оценки делятся на:
– документальные источники свидетельств, полученные из различных источников третьей стороны (сведения об использовании лицензионных мер и средств обеспечения ИБ, договора по сопровождению мер и средств обеспечения ИБ и т.д.);
– документальные источники свидетельств, полученные на (от) объекте(та) оценки и подтвержденные третьей стороной (план мероприятий по результатам внешнего аудита ИБ, материалы ведомственных проверок ИБ и т.д.);
– источники свидетельств, полученные в ходе проведения аудиторских процедур, не предусматривающих периодическую документальную отчетность (результаты наблюдения за деятельностью, анализа данных системы мониторинга ИБ и т.д.);
– источники свидетельств, полученные в виде нормативных и распорядительных документов (политики, регламенты, отчеты о деятельности, приказы, распоряжения и т.д.), указывающих на надлежащее применение процессов и мер обеспечения ИБ на практике (наличие разрешительных записей уполномоченных лиц, данных контроля рисков и т.д.);
– свидетельства, полученные в результате устных и письменных опросов о объекте оценки, и наблюдение за применением мер и средств обеспечения ИБ, которые не оставляют документальных свидетельств (выявление ролей процессов, последовательности применения ЗМ и т.д.).
Наряду с достоверностью источников свидетельств следует учитывать временной период получения свидетельств и сочетание источников свидетельств оценки. Например, доверие к фактам, полученным при наблюдении за деятельностью, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов; доверие к фактам, полученным при опросе сотрудников, повышается при подтверждении данных фактов из различных источников.
Достоверность выявленных свидетельств оценки ИБ зависит также от объема выборки при формировании свидетельств оценки. Соответствующее использование объема выборки тесно связано с доверием, с которым относятся к заключениям по результатам аудита.
Некоторые свидетельства оценки основано на выборках релевантных данных. Например, свидетельства наличия ЗМ для всех систем, степени охвата персонала и сотрудников подразделения процессами обучения и осведомления ИБ и т.д. Выборка производится с целью измерения и оценивания менее чем 100% объектов проверяемой совокупности. Задачей оценщика при проведении выборки является определение наиболее оптимального способа отбора элементов для формирования свидетельств оценки. При этом возможно:
– отобрать все элементы (сплошная проверка);
– отобрать специфические (определенные) элементы;
– отобрать отдельные элементы (сформировать аудиторскую выборку).
Сплошная проверка может быть целесообразна, если:
– генеральная совокупность состоит из небольшого числа элементов большой стоимости;
– риск контроля является высоким, а другие средства не позволяют получить достаточные свидетельства оценки;
– повторяющийся характер расчетов или иных процессов делает сплошную проверку эффективной с точки зрения соотношения затрат и результатов.
Сплошная проверка редко применяется при проведении оценки ИБ.
Оценщик может решить отобрать специфические (определенные) элементы генеральной совокупности, основываясь на следующих факторах.
Отбираемые специфические статьи могут включать:
– элементы с высокой стоимостью или так называемые критические (ключевые) элементы выборки;
– элементы, стоимость которых превышает определенную величину;
– элементы для проверки процедур, позволяющие определить, выполняется ли организацией конкретная процедура.
Выводы по результатам измерения, применяемого к отобранным таким способом элементам, не могут быть распространены на всю генеральную совокупность. При использовании этого метода анализируется потребность в получении свидетельств оценки в отношении оставшейся части генеральной совокупности, если оставшаяся часть является существенной.
Оценщик с учетом имеющихся сведений может принять решение о проведении выборочной проверки путем отбора отдельных элементов, т.е. применить статистический подход. Общее требование в этом случае — репрезентативность, т.е. все элементы изучаемой генеральной совокупности должны иметь равную вероятность быть отобранными в выборку.
При применении методов, связанных со статистической выборкой, объем отобранной совокупности может определяться на основании теории вероятностей и математической статистики либо профессионального суждения аудитора.
Достоверность оценки во многом зависит от того, как будут оценщиками учтены факторы, влияющие на аудиторский риск, который включает:
– риск контроля;
– риск необнаружения.
Риск контроля представляет собой риск того, что внутренний контроль не предотвратит или не выявит существенных нарушений ИБ. Важным фактором для повышения достоверности оценок является оптимизация объема выборки в соответствии с предполагаемым риском контроля.
Риск необнаружения представляет собой риск того, что процедуры и методы аудита, применяемые оценщиками, не выявят существенных нарушений.
Важными факторами для снижения риска необнаружения и, тем самым, повышения достоверности оценок являются:
– увеличение времени проверки;
– проведение опросов, ориентированных на представителей третьих независимых лиц;
– увеличение объема выборки.
Измерение и оценивание атрибутов объекта оценки.
Назначение мероприятия: измерение и оценивание атрибутов объекта оценки на основе свидетельств оценки ИБ с целью установления степени выполнения критериев оценки и формирования отчета по результатам оценки.
Атрибут представляет собой свойство или характеристику сущности, которые могут быть определены количественно или качественно ручными или автоматическими средствами.
Для рассмотрения процесса измерения и оценивания атрибутов объекта оценки ИБ воспользуемся моделью измерений, связанных с обеспечением ИБ, представленной на рисунке 5.
Рисунок 5 — Модель измерений, связанных с обеспечением ИБ
Информационная потребность определяет, что требуется измерить для достижения целей оценки ИБ объекта оценки. Измерения, связанные с обеспечением ИБ, могут применяться к различным объектам в рамках контекста оценки. Для идентификации объектов измерения выделяются критические атрибуты процессов, процедур, защитных мер, которые могут предоставить данные, соответствующие информационной потребности.
Метод измерения используется для количественного измерения объекта измерения посредством преобразования атрибутов в основную меру. Основная мера — это мера, определенная в терминах атрибута и метода его количественного определения (мера — это переменная, которой присваивается значение). Основная мера функционально независима от других мер. Основная мера собирает информацию о единственном атрибуте.
Метод измерения количественно измеряет атрибуты посредством применения соответствующей шкалы.
Методы измерения могут быть субъективными или объективными. Субъективные методы полагаются на количественное измерение, включающее мнение человека, тогда как объективные методы используют количественное определение, основанное на числовых правилах, которые могут быть реализованы с помощью ручных или автоматических средств.
Функция измерения определяет, как основные меры объединяются в производную меру. Производная мера — это способ объединения двух или более основных мер.
Функции измерения могут включать разнообразные приемы, такие как усреднение всех основных мер, применение весовых коэффициентов к основным мерам или присвоение качественных значений основным мерам перед их объединением в производные меры.
Для каждой меры должна быть определена аналитическая модель с целью преобразования одной или более производных мер в показатель. Показатель — это результат применения аналитической модели к одной или более мерам по отношению к критериям принятия решений или информационной потребности.
Показатели будут формироваться путем объединения производных мер и интерпретации их на основе критериев принятия решений.
Для каждого показателя должны быть идентифицированы и задокументированы основанные на целях информационной безопасности критерии принятия решений, которые устанавливают максимальное значение показателя и предоставляют руководство для интерпретации текущего значения показателя.
В таблицах 1 — 4 показаны примеры проведения измерения и оценивания атрибута.
Таблица 4
| Объект измерения | Атрибут | Метод измерения | Основная мера |
| База данных служащих | Записи, относящиеся к служащим | 1) Запрос базы данных для извлечения числа служащих из базы данных отслеживания обучения и повышения осознания. 2) Запрос базы данных для извлечения числа служащих, подписавших соглашения с пользователями. 3) Запрос базы данных для извлечения числа служащих, подписавших соглашения с пользователями, из базы данных отслеживания обучения и повышения осознания. 4) Запрос базы данных для извлечения общего числа служащих | 1) Число служащих, получивших обучение, направленное на повышение осознания безопасности. 2) Число служащих, подписавших соглашения с пользователями. 3) Число служащих, получивших обучение, направленное на повышение осознания безопасности, и подписавших соглашения с пользователями. 4) Общее число служащих |
Таблица 2
| Основные меры | Функция измерения | Производная мера |
| 1) Число служащих, получивших обучение, направленное на повышение осознания безопасности, и подписавших соглашения с пользователями. 2) Число служащих, подписавших соглашения с пользователями. 3) Общее число служащих | 1) Разделить число служащих, получивших обучение, направленное на повышение осознания безопасности, и подписавших соглашения с пользователями, на число служащих, подписавших соглашения с пользователями, и умножить на 100% 2) Разделить число служащих, подписавших соглашения с пользователями, на общее число служащих и умножить на 100% | 1) Процентное отношение служащих, получивших обучение, направленное на повышение осознания безопасности, и подписавших соглашения с пользователями. 2) Процентное отношение служащих, подписавших соглашения с пользователями |
Таблица 3
| Производные меры | Аналитическая модель | Показатель |
| 1) Процентное отношение служащих, получивших обучение, направленное на повышение осознания безопасности, и подписавших соглашения с пользователями. 2) Процентное отношение служащих, подписавших соглашения с пользователями | Х = определенное пороговое значение для соответствия политике, приемлемое для организации. Предполагается, что значение показателя является красным. Если Х% служащих подписало соглашение с пользователями, значение показателя становится желтым. Если Х% служащих получило обучение, направленное на повышение осознания безопасности, и подписало соглашения с пользователями, значение показателя становится зеленым | Красный, желтый, зеленый или линейный график, представляющий тенденцию результатов измерений в течение многих отчетных периодов. Когда линия пересекает пороговые значения, цвет на графике меняется в соответствии с аналитической моделью |
Таблица 4
| Показатели | Критерии принятия решений | Результат измерений |
| Красный, желтый, зеленый или линейный график, представляющий тенденцию результатов измерений в течение многих отчетных периодов. Когда линия пересекает пороговые значения, цвет на графике меняется в соответствии с аналитической моделью | Зеленый — соответствие политике. Желтый или красный — несоответствие политике. Возрастающая тенденция указывает на улучшение соответствия, убывающая тенденция указывает на ухудшение соответствия. Наклон может дать понимание эффективности реализации средств контроля. Резкие изменения наклона в любом направлении указывают, что реализация средств контроля требует внимательного изучения для определения причины. Негативные тенденции могут требовать вмешательства руководства. Позитивные тенденции должны быть изучены для идентификации потенциальных лучших практических приемов | Соответствующее требованиям и эффективное средство контроля не требует изменений. Соответствующее требованиям, но неэффективное средство контроля должно быть рассмотрено на предмет исправления Несоответствующее требованиям и неэффективное средство контроля требует усовершенствования |
Сообщение результатов оценки может проходить неформально при внутренней оценке или может происходить в форме подробного отчета при независимой внешней оценке. Кроме того, для представления результатов оценки могут быть подготовлены и другие выводы и предлагаемые планы действий, рекомендации, в зависимости от назначения оценки. Результаты могут быть представлены в абсолютных выражениях или в относительных выражениях в сравнении с результатами предыдущих оценок, контрольными данными, в сравнении с деловыми потребностями и т.д. Результаты оценки ИБ обычно используются в качестве основы для определения рисков ИБ и разработки плана совершенствования СОИБ.
Выходные данные оценки включают дату проведения оценки, входные данные оценки, собранные свидетельства оценки, описание используемого процесса измерения и оценивания. Зарегистрированные выходные данные оценки могут сохраняться в различной форме — бумажной или электронной — в зависимости от обстоятельств и инструментов, использованных для проведения и поддержки оценки.
На основе любого соглашения об обеспечении конфиденциальности или ограничений доступа зарегистрированные данные могут сохраняться организатором оценки или руководством объекта оценки.
Важными факторами достижения цели оценки ИБ являются следующие:
– осознание и мотивация руководства организации;
– конфиденциальность;
– доверие.
Позиция руководства организации оказывает существенное влияние на процесс оценки. Поэтому руководство организации должно побуждать участников оценки к открытости и конструктивности. Оценка объекта сосредотачивается на оценке процессов, процедур, защитных мер, а не на функционировании персонала объекта оценки. Смысл оценки состоит в том, чтобы сделать объект оценки более эффективными в достижении целей бизнеса, а не в том, чтобы возложить вину на отдельных лиц.
Обеспечение обратной связи и поддержка атмосферы, поощряющей открытое обсуждение предварительных выводов во время оценивания, содействуют обеспечению того, чтобы выходные данные оценки были значимыми для объекта оценки. Руководителям организации и персоналу объекта оценки необходимо осознавать, что участники оценки являются основным источником знаний и опыта, связанных с процессом, и что руководители и персонал имеют хорошую возможность для идентификации потенциальных слабых мест.
Уважение к конфиденциальности источников информации и документации, собранной во время оценивания, необходимо для обеспечения безопасности этой информации. В тех случаях, когда используются опросы или обсуждения, следует обратить внимание на обеспечение того, чтобы их участники не ощущали угрозы или не испытывали какого-либо беспокойства в отношении конфиденциальности. Некоторая из предоставленной информации может составлять собственность организации. Поэтому важно наличие адекватных средств контроля для обращения с такой информацией.
Организатор оценки, руководство и персонал объекта оценки должны верить в то, что оценка принесет результат, являющийся объективным для объекта оценки. Важно, чтобы все стороны могли быть уверены в том, что специалисты по оценке обладают адекватными знаниями и опытом для проведения оценки, беспристрастны и обладают адекватным пониманием объекта оценки и его бизнеса для проведения оценки.
Способы измерения атрибутов объекта оценки
Атрибуты, выделенные для измерения как критические элементы процесса, процедуры, защитной меры или объекта оценки, должны быть представлены в удобном для анализа виде с целью адекватного преобразования атрибута в основную меру. Оценщик получает больше возможностей для адекватного представления атрибута основной мерой, если измеряемый атрибут будет дополнен элементами, отражающими контекст оценки.
В настоящее время используются две формы описания измеряемого атрибута: форма анкет и форма метрики.
Для подготовки процесса измерения атрибутов с помощью анкет требуется (см. рисунок 6):
– выделить среди атрибутов критические, т.е. те атрибуты, которые позволят достичь цели оценки и сформировать вопросы анкеты;
– определить с помощью модели оценки способ измерения.
Рисунок 6 — Формирование анкет для измерения атрибутов
Это позволит оценщику преобразовать измеряемые атрибуты в основные меры при наличии необходимых для измерения источников свидетельств и свидетельств оценки. Отражение контекста оценки в анкете минимально, а именно описание атрибута в виде вопроса. Элементы контекста оценки могут присутствовать в дополнительных методических и распорядительных документах, обеспечивающих процесс оценки ИБ. В этих документах, как правило, указываются источники свидетельств оценки, а также персонал, ответственный за заполнение анкет. Анкеты могут быть построены не только для получения основной меры атрибута, но и для формирования производной меры. В этом случае в анкете должна быть определена модель объединения основных мер в производную меру.
Примеры анкет, предназначенных для измерения атрибутов, связанных с информационной безопасностью, рассмотрены, например, в документе NIST Special Publication 800–26 «Security Self-Assessment Guide for Information Technology Systems» и в BSI PAS 56 [6]. Фрагмент анкеты BSI PAS 56, содержащей атрибуты в виде вопросов, шкалу для измерения атрибутов и модель для объединения основных мер в производную меру, представлен в таблице.
Таблица 5 — Фрагмент анкеты BSI PAS 56
| Жизненный цикл | Количество вопросов | Номер вопроса | Вопросы | Total NO of returns | Ответы | Среднее значение | Вес вопроса | Общее значение | Соответствие | Комментарии | ||||||
| «НЕТ»0% | 20% | 40% | 60% | 80% | 100% | N/A | ||||||||||
| Управление менеджментом непрерывности бизнеса | ||||||||||||||||
| 12 | 1.1 | Имеет ли организация четко определенный, документированный, подтвержденный процесс управления программой менеджмента непрерывности бизнеса? | 0 | 0.08 | ||||||||||||
| 1.2 | Использует ли организация BSI PAS 56 как основу программы менеджмента непрерывности бизнеса? | 0 | 0.08 | |||||||||||||
| 1.3 | Достигает ли процесс управления программой менеджмента непрерывности бизнеса результата, который приведен в части 5.2.3 BSI PAS 56? | 0 | 0.08 | |||||||||||||
Другой подход к измерению атрибутов опирается на применение метрик при измерении атрибутов. Для подготовки процесса измерения атрибутов с помощью метрик требуется (см. рисунок 7):
– выделить среди атрибутов критические, т. е. те атрибуты, которые позволят достичь цели оценки;
– определить с помощью модели оценки способ измерения;
– сформировать перечень источников свидетельств оценки и свидетельств оценки, необходимых для измерения атрибутов;
– установить роли и их функции при проведении измерения;
– определить условия функционирования процесса, процедуры, защитной меры или объекта оценки, включающие период сбора, анализа данных, отчетности.
Рисунок 7 — Формирование метрик для измерения атрибутов
При разработке метрик и реализации метрик ИБ должны выполняться следующие условия:
– метрики должны давать результат в количественно измеримой форме (в процентах, в усредненных и абсолютных значениях). Например: «процент систем, для которых имеется план работы в чрезвычайной ситуации», «процент уникальных идентификаторов пользователей», «процент систем, в которых применяются запрещенные к использованию протоколы», «процент систем, для которых существуют документированные отчеты об оценке рисков» и т. п.;
– данные для поддержки метрик должны быть доступными;
– значения метрик должны быть достижимы и иметь смысл для бизнеса;
– не следует измерять атрибуты, которые не требуется совершенствовать
Пример формирования метрик в соответствии со стандартом NIST 800–55 «NIST Special Publication 800–55 «Security Metrics Guide for Information Technology Systems» показан в таблице 6.
Таблица 6 — Форма метрик в соответствии со стандартом NIST 800–55
| Цель эффективности | Формулируются желаемые результаты, которые должна обеспечить реализация одной или нескольких целей безопасности или методов и средств управления безопасностью системы, которые измеряются метрикой. При использовании NIST SP 800–26 в данный элемент описания метрики следует внести критический (контролируемый) элемент, заданный в NIST SP 800–26. |
| Задача эффективности | Формулируются действия, которые следует выполнить для достижения цели эффективности. При использовании NIST SP 800–26 в данном элементе должен быть представлен один или несколько дополнительных вопросов, определенных для критичного (контролируемого) элемента в NIST SP 800–26. Для одной цели эффективности может существовать несколько задач эффективности. |
| Метрика | Задается количественная мера, обеспечиваемая метрикой. Используется численное выражение, которое начинается словами «процентное отношение», «число», «частота», «среднее значение» или другие аналогичные термины. |
| Назначение | Описывается общая функциональность, для осуществления которой проводится сбор метрик. Описывается, будет ли метрика использоваться для измерения качества работы внутри организации или для отчетности во внешние контролирующие органы. Также здесь описывается, понимание каких вопросов планируется получить, используя метрики, причины сбора конкретных метрик (регулятивные и законодательные требования), если таковые существуют, и другие аналогичные аспекты. |
| Свидетельство реализации | Перечисляются доказательства существования средств управления безопасностью, которые подтверждают правильность их реализации. Свидетельство реализации используется для вычисления метрики. Свидетельство выступает в качестве косвенного показателя, который подтверждает выполнение деятельности, и в качестве причинных факторов, которые могут указывать на причины неудовлетворительных результатов для конкретной метрики. |
| Частота | Задаются периоды времени для сбора данных, который осуществляется для измерения происходящих изменений. Периоды времени задаются на основе вероятных ожидаемых обновлений, которые могут возникнуть при реализации средств управления. |
| Формула | Описывается способ расчета численного значения метрики. В качестве входных данных для формулы используется информация из перечисленных свидетельств реализации. |
| Источник данных | Перечисляется местонахождение данных, используемых для расчета метрики. Указываются базы данных, средства слежения, подразделения или конкретные роли в организации, которые могут предоставить необходимую информацию. |
| Индикаторы | Предоставляется информация о смысле метрики и ее тренде. Перечисляются возможные причины измеренных трендов и указываются возможные решения для исправления выявленных недостатков. Описывается цель качества работы (эффективности), если она установлена для метрики, и указывается, какие тренды будут считаться положительными в контексте достижения заданной цели. Описывается способ использования информации из свидетельств реализации в качестве входных данных для анализа показателей. Свидетельство реализации служит для подтверждения эффективности деятельностей по обеспечению безопасности и для точного определения причинных факторов. |
Форма метрик, показанная в таблице 7, подробно описывает объект измерения и атрибут, основную и производную меры, роли и функции ролей при измерении, метод измерения, процедуры сбора и анализа данных.
Таблица 7 — Форма метрик в соответствии с ISO/IEC 27004
| Идентификация меры | |
| Название меры | Название меры. |
| Числовой идентификатор | Уникальный, характерный для организации числовой идентификатор. |
| Назначение меры | Описывает причины введения меры. |
| Проверяющий | Лицо или организационная единица, проверяющие, чтобы критерии оценивания мер были соответствующими для верификации эффективности средств контроля. |
| Объекты измерения и атрибуты | |
| Объект измерения | Объект, подлежащий измерению. Объекты могут включать процессы, системы или компоненты систем. |
| Атрибуты | Свойство или характеристика объекта измерения, которые могут быть определены количественно или качественно ручными или автоматическими средствами. |
| Спецификация основной меры (для каждой основной меры) | |
| Основные меры | Основная мера — это мера единственного атрибута, определенная посредством специфицированного метода измерения (например, число обученных членов персонала, количество площадок, совокупные расходы на данных момент). Когда данные собраны, основной мере присваивается значение. |
| Метод измерения | Логическая последовательность операций, определяющих правило вычисления, для вычисления каждой основной меры. Для основных мер — метод измерения, посредством которого будут получены данные для измерения, включая точность, шкалу и единицы измерения. |
| Шкала | Упорядоченная совокупность значений или категорий, которые используются в основной мере. |
| Спецификация производной меры | |
| Производная мера | Мера, которая выведена как функция двух или более основных мер. |
| Методы измерения | Формула, которая используется для вычисления производной меры. Для производных мер — функция измерения, посредством которой объединяются производные меры, на основе соответствующих основных мер и результирующая совокупная точность. |
| Шкала | Упорядоченная совокупность значений или категорий, которые используются в основной мере. |
| Спецификация показателя | |
| Описание и пример показателя | Представление одной или более мер (основных и производных) для поддержки пользователя в получении информации для анализа и принятия решений. Показатель часто представляется как график или диаграмма. Включает общее описание показателя. |
| Аналитическая модель | Процесс, применяющий критерии принятия решений для определения поведенческих реакций на количественные результаты показателей. |
| Критерии принятия решений | Определенная совокупность действий, которые будут предприняты в ответ на достигнутые количественные значения модели. |
| Интерпретация показателя | Описание того, как интерпретировался примерный показатель (смотри примерное значение в описании показателя). |
| Эффекты/влияние | Описание эффектов и влияния, выведенных как следствие результатов, полученных путем измерения. |
| Причины отклонения | Определение возможных причин отклонения полученных результатов. |
| Позитивные значения | Формулировка, объясняющая, указывают ли увеличивающиеся значения на позитивные значения (хороший результат) или для указания позитивных значений должны быть взяты уменьшающиеся значения. |
| Форматы отчетности | Должны быть идентифицированы и задокументированы форматы отчетности. Описывает наблюдения, которые организация или владелец информации могут хотеть зафиксировать. Форматы отчетности будут наглядно изображать меры и предоставлять словесное объяснение показателей. Форматы отчетности должны удовлетворять требованиям заказчика информации. |
| Процедура сбора данных | |
| Частота сбора данных | Как часто осуществляется сбор данных. |
| Владелец информации | Лицо или организация, которые владеют информацией об объектах измерения и атрибутах, используемых для создания основных мер, и которые отвечают за измерения. |
| Сборщик информации | Лицо или организационная единица, отвечающие за сбор, фиксирование и хранение данных. |
| Инструментальные средства, используемые для сбора данных | Перечислите любые инструментальные средства, используемые для сбора данных (например, сканер уязвимостей). |
| Репозитарий собранных данных | Перечислите любые инструментальные средства, где хранятся данные после их сбора (например, база данных). |
| Дата сбора | Дата получения данных. |
| Процедура фиксирования данных | Определяет процедуру фиксирования данных (ссылка на процедуру). |
| Мера действительна до | Дата пересмотра (истечение срока или обновление действенности меры). |
| Период анализа | Определяет измеряемый период. |
| Процедура анализа данных (для каждого показателя) | |
| Частота сообщения данных | Как часто представляется отчетность по данным (это может происходить реже, чем сбор данных). |
| Лицо, сообщающее информацию | Лицо или организационная единица, отвечающие за анализ данных и сообщение результатов. |
| Источник данных для анализа | Перечислите любые источники данных для этого анализа. |
| Инструментальные средства, используемые в анализе | Перечислите любые инструментальные средства, используемые для анализа (например, средства статистического анализа). |
| Заказчик информации | Лицо или организационная единица, запрашивающие и требующие меры в поддержку своих деловых функций. |
Применение типовых моделей оценки на основе оценки процессов и уровней зрелости процессов для оценки информационной безопасности
Модель оценки информационной безопасности на основе оценки процессов
При описании процесса оценки ИБ организации не рассматривалось содержание модели оценки ИБ и критериев оценки ИБ. Эти компоненты процесса оценки ИБ связаны с целью оценки таким образом, что через цель оценки определяется критерий оценки ИБ, в рамках которых (цель, критерий) выбирается модель оценки ИБ организации.
Предположим, что целью оценки ИБ является оценка процессов обеспечения всей организации или объекта(ов) организации. Для достижения такой цели оценки в качестве критерия оценки ИБ должна использоваться эталонная модель процессов обеспечения ИБ, которая описывает в зависимости от объекта оценки совокупность из одного или более процессов в терминах назначения и ожидаемых результатов. Эталонная модель процессов может содержать более подробное описание процессов с выделением атрибутов по назначению и/или ключевых атрибутов — критических элементов процессов.
Модель оценки процесса включает сферу модели, показатели, отображение и преобразование модели оценки процесса.
Сфера модели оценки процесса может распространяться на подмножество процессов, определенных эталонной моделью процессов объекта оценки, а также охватывать дополнительные процессы, выходящие за рамки процессов объекта оценки. Сфера модели оценки может полностью соответствовать эталонной модели процессов объекта оценки.
Модель оценки процесса основывается на совокупности показателей, которые используются в качестве основы для сбора объективных данных для определения степени достижения атрибутов процессов, назначения и результатов процессов в рамках сферы модели оценки процесса. Показатели формализуют процесс оценки, дают возможность последовательно формировать суждения специалиста по оценке и повышать воспроизводимость результатов. Показатели позволяют оценить степень реализации процессов объекта оценки. Модели оценки процесса в целом обеспечивают различные степени анализа процесса на основе числа показателей оценки, предоставляемых моделью оценки процесса. Модель оценки процесса с двадцатью показателями оценки будет считаться обеспечивающей более глубокий анализ процесса, чем модель оценки процесса с десятью показателями оценки. Однако такой анализ требует более значительных усилий во время оценки по выявлению данных, касающихся показателей оценки, а затем обработки данных.
Модель оценки процесса должна позволять отображать атрибуты процессов объекта оценки на выбранной шкале. Такой шкалой может быть количественная шкала (например, абсолютная или шкала отношений), которая указывает степень реализации процесса или достижение заданного уровня атрибута процесса, или качественная шкала (например, порядковая), которая указывает на уровень качества процесса.
Показатели, отображая назначения, результаты и атрибуты процессов, формируют таким образом эталонные профили процессов.
Отображение модели оценки процесса должно обеспечивать формальный и поддающийся проверке механизм представления результатов оценки как совокупности параметров процесса для каждого процесса, выбранного из установленной модели (моделей) процесса.
Модель оценки процесса должна обеспечивать четкое преобразование из основных элементов модели в процессы выбранной модели процессов и в соответствующие параметры процесса в структуре измерений.
Преобразование должно быть полным, четким и однозначным. Преобразование показателей в модели оценки процесса должно производиться в:
– назначения и результаты процессов в установленной модели процесса;
– параметры процесса (включая все результаты достижения, перечисленные для каждого параметра процесса) в структуре измерений.
Международный Стандарт ИСО/МЭК 15504 [7] определяет, что для оценки процесса могут использоваться модель, оценивающая функционирование процесса, и модель, оценивающая возможности процесса. Измерение функционирования процесса обеспечивается эталонной моделью процесса. Измерение возможности процесса состоит из структуры измерений, включающей шесть уровней возможностей процесса и соответствующие атрибуты процесса.
Рассмотрим первую модель — модель оценки функционирования процесса, для чего рассмотрим измерение и оценивание атрибутов и формирование оценки процессов обеспечения ИБ с помощью этой модели.
Каждый процесс характеризуется назначением (вход), результатом (выход), управляющими воздействиями и ресурсами.
Состояние любого процесса отображается совокупностью атрибутов мероприятий процесса YM, входных атрибутов Y ВХ, атрибутов управления YУ, атрибутов ресурсов YР и выходных атрибутов YВЫХ:
Y = <YМ, YВХ, YУ, YР, YВЫХ>
Для проведения оценки функционирования процессов каждый процесс должен быть представлен совокупностью атрибутов, требуемых для функционирования процессов в соответствии с их назначением:
YТР = <YТРМ, YТРВХ, YТРУ, YТРР, YТРВЫХ>
В общем случае каждый вид атрибута описывается набором атрибутов, т.е.
YТР = <yТРMi>, i=1,m1; YТРВХ = <yТРВХi>, i=1,m2 и т.д.
Для описания соответствия реальных атрибутов Y процесса требуемым атрибутам YТР формально введем числовую функцию на множестве атрибутов процесса r=r(Y(u),YТР), которая называется функцией соответствия. Каждый атрибут процесса измеряется с помощью функции соответствия. Конкретный вид функции зависит от метода измерения атрибута.
Для совокупности атрибутов функция соответствия r(Y(u),YТР) показывает степень достижения требуемых атрибутов. Совокупность атрибутов Y может быть случайной переменной Y(u) (числовой или нечисловой), зависящей от стратегии uÎU. Стратегиями U могут быть следующие действия в отношении процессов обеспечения ИБ: применение базовой оценки рисков ИБ, использование определенного поставщика для реализации СОИБ, применение аутсорсинга для реализации некоторых процессов. Функция соответствия r(Y(u),YТР) в этом случае также может быть случайной величиной. Тогда показатель функционирования W(u) определяется математическим ожиданием функции соответствия:
W(u) = M[r(Y(u),YТР)]
Если Y(u) и YТР ‑ неслучайные переменные, то W(u) = r(Y(u),YТР).
На рисунке 8 показана модель оценки процессов обеспечения ИБ организации на основе измерения атрибутов процессов.
Рисунок 8 — Модель оценки процессов обеспечения ИБ организации
Данная модель оценки соответствия ИБ связывает потребности в оценке функционирования процессов обеспечения ИБ с соответствующими процессами и представляющими интерес атрибутами процессов. С помощью метода измерения атрибуты преобразовываются в основные меры (частные показатели), с помощью производных мер формируются групповые показатели.
Для оценивания функционирования (правильности реализации) любого процесса введем групповой (векторный) показатель функционирования W = ||WВХ, WУ, WР, WМ, WВЫХ||, объединяющий частные показатели разных видов:
частные показатели правильности реализации входных атрибутов WВХ = r(YВХ, YТРВХ);
частные показатели правильности реализации атрибутов управления WУ = r(YУ, YТРУ);
частные показатели правильности реализации атрибутов ресурсов WР = r(YР, YТРР);
частные показатели правильности реализации атрибутов мероприятий WМ = r(YМ, YТРМ);
частные показатели правильности реализации выходных атрибутов WВЫХ = r(YВЫХ, YТРВЫХ);
Для каждого атрибута процесса, когда Y(u) и YТР ‑ неслучайные (детерминированные) переменные, функция соответствия служит частным показателем функционирования:
Wi= r(yi, yТРi), i = 1,mK ,
где mK — число атрибутов определенного вида, k = 5.
Введение векторного показателя функционирования накладывает дополнительные требования: минимальности числа частных показателей и полноты. Требование минимальности числа частных показателей связано со стремлением к снижению трудоемкости оценивания, однако при сохранении полноты охвата атрибутов процесса.
В зависимости от вида функции соответствия можно получить различные значения частных показателей функционирования. Вид функции соответствия определяется преобразованиями, которые допустимы в выбранных для метода измерения шкалах.
Например, пусть событие А означает достижение атрибута процесса требуемого значения. Вероятность Pu(A) наступления этого события зависит от стратегии u Î U. Тогда функция соответствия r в этом случае вводится как переменная, которая может принять лишь два значения 0 или 1, т.е.
Частные показатели могут иметь различную размерность. Поэтому при формировании группового показателя необходимо оперировать с нормированными значениями показателей.
Характеристики и свойства процессов обеспечения ИБ, которые несут атрибуты, далеко не равнозначны с точки зрения реализации этих процессов. Поэтому необходимо определить способ объединения частных показателей (рисунок 8) при формировании групповых показателей из частных. Наиболее часто применяемой производной мерой является усреднение объединяемых основных мер, т. е. групповые показатели формируются путем усреднения частных показателей, предполагая их равную значимость:
,
где Wj — групповой показатель j-ого процесса;
Wji — частный показатель i-ого атрибута j-ого процесса;
n — число показателей всех измеряемых атрибутов j-ого процесса.
Вычисление среднего значения для количественных показателей или вычисление медианы для качественных показателей дают хорошие результаты с точки зрения понимания правильности реализации процессов, однако адекватность такой обобщенной оценки не столь высока ввиду различной значимости оцениваемых атрибутов. Повысить адекватность обобщенной оценки процессов позволяет использование коэффициентов значимости (весовых коэффициентов) частных показателей.
Под значимостью частного показателя будем понимать важность оцениваемых частным показателем атрибутов процессов обеспечения ИБ с точки зрения функционирования (правильности реализации) этих процессов.
Групповые показатели при различной значимости частных показателей вычисляются следующим образом:
,
где aji — коэффициент значимости частного показателя i-ого атрибута j-ого процесса.
Значимость атрибутов процессов обеспечения ИБ может быть определена с помощью экспертных методов (непосредственной численной оценки, балльного оценивания, относительных частот рангов), основанных на субъективной оценке значимости экспертами, и аналитических методов с использованием формализованных процедур, снижающих субъективность оценки. Экспертные методы просты, субъективны. Аналитические методы менее субъективны, но сложны. Кроме того, они не ориентированы на процессный подход к оценке.
Комплексный показатель оценки ИБ (рисунок 8) формируется как производная мера, объединяющая групповые показатели. Модель объединения групповых показателей может быть такой же, как модель объединения частных показателей, но со своими коэффициентами значимости. Другим вариантом модели объединения может быть модель предпочтения, когда значение комплексного показателя определяется по самому низкому значению показателя среди наиболее значимых групповых показателей.
Оценка информационной безопасности на основе модели зрелости процессов
Далее рассмотрим применение оценки возможности (оценки зрелости) процессов для оценки ИБ организации.
В ISO/IEC 15504 [7] определена модель оценки зрелости, основу которой составляют идентифицированные атрибуты оцениваемых процессов, представляющие измеримые характеристики возможностей того или иного процесса, и методы их оценивания.
Стандартом определена следующая шкала рейтингов оценки процесса, определяющих степень достижения определенных значений для оцениваемого атрибута процесса:
– N — не достигнуто. Мало или нет свидетельств достижения определенным атрибутом оцениваемого процесса некоторого желаемого значения;
– P — частично достигнуто. Существуют некоторые свидетельства приближения к желаемому значению определенного атрибута оцениваемого процесса;
– L — в значительной степени достигнуто. Существуют свидетельства систематического приближения к определенному значению атрибута оцениваемого процесса. В оцениваемом процессе могут существовать некоторые слабые места, связанные с этим атрибутом;
– F — полностью достигнуто. Существуют свидетельства полного и систематического приближения к определенному значению атрибута оцениваемого процесса. Никаких слабых мест, связанных с этим атрибутом, в оцениваемом процессе не существует.
Фактически рассматриваются определенные показатели атрибутов процессов, которые ранжируются по 4-х уровневой шкале оценивания. Значения для оцениваемых параметров определены следующие:
– N — «не достигнуто — от 0 до 15%;
– P — «частично достигнуто» — от >15 до 50%;
– L — «в значительной степени достигнуто» — от >50 до 85%;
– F — «полностью достигнуто» — от >85 до 100%.
При этом любая интересующая задача, представленная в спецификации процессного подхода с выделенными атрибутами данного процесса и установленным методом измерения данных атрибутов, может быть далее оценена на основе следующей обобщенной модели зрелости (уровням возможностей — рейтингам) процесса как представлено в таблице 8
Таблица 8 — Модель зрелости процессов
| Шкала | Атрибуты процесса | Рейтинг |
| Уровень 1 | Функционирование процесса | В значительной степени или полностью |
| Уровень 2 | Функционирование процесса Менеджмент функционирования Менеджмент рабочего продукта | Полностью В значительной степени или полностью В значительной степени или полностью |
| Уровень 3 | Функционирование процесса Менеджмент функционирования Менеджмент рабочего продукта Формализация процесса Развертывание процесса | Полностью Полностью Полностью В значительной степени или полностью В значительной степени или полностью |
| Уровень 4 | Функционирование процесса Менеджмент функционирования Менеджмент рабочего продукта Формализация процесса Развертывание процесса Количественная оценка процесса Контроль процесса | Полностью Полностью Полностью Полностью Полностью В значительной степени или полностью В значительной степени или полностью |
| Уровень 5 | Функционирование процесса Менеджмент функционирования Менеджмент рабочего продукта Формализация процесса Развертывание процесса Количественная оценка процесса Контроль процесса Инновация процесса Оптимизация процесса | Полностью Полностью Полностью Полностью Полностью Полностью Полностью В значительной степени или полностью В значительной степени или полностью |
Для целей определения рейтинга (уровня) зрелости процесса выделяются характеризующие его атрибуты, которые можно было бы измерить, по следующим позициям:
– функционирование процесса — процесс выполняется и формирует определенные результаты;
– менеджмент функционирования — процесс управляем в контексте его назначения и целей процесса;
– менеджмент рабочего продукта — осуществляется управление результатами процесса в части их содержания и потребностей использования;
– формализация процесса — имеется полная формальная модель процесса, и его реализация осуществляется в соответствии со спецификацией;
– развертывание процесса — реализацией процесса охвачены все вовлеченные стороны;
– количественная оценка процесса — определены и используются количественные метрики процесса;
– контроль процесса — процесс контролируется во всех составляющих его работах и операциях;
– инновация процесса — разрабатываются и внедряются передовые технологии для работ и операций процесса;
– оптимизация процесса — осуществляются меры по улучшению процесса, результаты которых оцениваемы в количественном или качественном выражении.
Для оценки ИБ на основе модели зрелости необходимы следующие два основных источника:
– требования к составу процессов менеджмента ИБ организации — требования стандарта ГОСТ Р 27001;
– эталонная модель зрелости процессов ИБ.
Для идентифицированных процессов обеспечения ИБ должны быть разработаны:
– описание каждого из процессов в терминах уровней зрелости эталонной модели;
– методика оценки зрелости процессов, включающая анкеты для оценки возможностей процессов, в соответствии с заявленным уровнем зрелости.
С учетом анализа содержания и семантики требований стандарта ГОСТ Р 27001 можно выделить следующие 17 процессов СМИБ организации:
– определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ;
– анализ и оценка рисков ИБ, варианты обработки рисков ИБ;
– определение/уточнение политики для СМИБ организации;
– выбор/уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ;
– принятие руководством организации остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ;
– разработка плана обработки рисков ИБ;
– реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ;
– реализация программ по обучению и осведомленности ИБ;
– обнаружение и реагирование на инциденты безопасности ИБ;
– мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ;
– анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ;
– внутренний аудит СМИБ;
– анализ СМИБ со стороны высшего руководства;
– реализация тактических улучшений в СМИБ, осуществляемых в рамках полномочий служб (ответственных) ИБ организации;
– реализация стратегических улучшений СМИБ, требующих принятия решений на уровне руководства организации и инициирования процессов планирования СМИБ. Использование опыта;
– информирование об изменениях и их согласование с заинтересованными сторонами;
– оценка достижения поставленных целей и потребностей в развитии СМИБ.
В [9] рассмотрен пример описания модели зрелости процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ», который приведен ниже.
Для процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» СМИБ организации, определенной требованиями пунктами 4.2.1 c)÷f) ГОСТ Р 27001, описание модели его зрелости может быть определено следующим образом (приведем в качестве примера фрагменты описания нулевого, первого, третьего и пятого уровней зрелости процесса).
Модель зрелости.
0 уровень.
На данном уровне наблюдается полное отсутствие определенного процесса по анализу и оценке рисков ИБ.
Не проводится оценка рисков ИБ для проектов, разрабатываемых стратегий и решений. Руководство организации не осознает возможных последствий для бизнеса организации, связанные с реализациями угроз ИБ, в спектре рисков организации не рассматриваются риски ИБ……..
1 уровень.
В организации существуют документально зафиксированные свидетельства осознания руководством существования проблем обеспечения ИБ. В частности, определена и документально зафиксирована область действия СМИБ.
Информационные активы определены, составлен перечень их уязвимостей и вероятности использования уязвимостей угрозами. Просчитан ущерб от возможной реализации угроз, а также определены оценки актуальности угроз.
Процесс анализа и оценки рисков как таковой нестандартизирован. Деятельности в рамках процесса оценки и анализа рисков применяются эпизодически и бессистемно. Создана, но не обновляется база инцидентов ИБ. Определены приоритеты рисков, но данные приоритеты учитывают не все инциденты ИБ. ……
3 уровень.
Существует политика организации, в которой определяется периодичность и область оценки рисков ИБ. Процесс оценки рисков документирован и стандартизирован, суть процесса доводится до заинтересованного персонала посредством обучения базовым принципам безопасности, оценки и анализа рисков ИБ. Разработан план работ по оценке рисков. Методология оценки рисков с большой степенью вероятности гарантирует, что основные риски ИБ будут выявлены, поскольку результаты деятельности в рамках процесса по оценке и анализу рисков согласованы с соответствующими политиками, стандартами и/или процедурами…….
5 уровень.
Оценка рисков в организации доведена до уровня лучших практик по оценке и анализу риска. Выбранная стратегия оценки рисков непрерывно совершенствуется, ориентируясь на последние достижения в области ИБ, действующие международные стандарты и результаты сравнения с уровнем других организаций. Привлекаются сторонние сертифицированные эксперты для консультаций по вопросам рисков, оптимизации существующей системы сбора и анализа первичной информации для анализа рисков. Проводятся совещания по принципу «мозгового штурма» с целью выявить и проанализировать причины идентифицированных рисков. Система защитных мер строго скоординирована с приоритетами рисков и зависимостью «эффективность защитных мер — стоимость», комплексно используется установленная форма отчетности об эффективности защитных мер……….
По образу и подобию модель зрелости представляется для всех других процессов СМИБ организации.
Оценка уровня зрелости рассмотренного процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» СМИБ организации должна осуществлять на основе свидетельств выполненной деятельности по направлениям, соответствующим заявляемому или ожидаемому уровню зрелости. Например, для оценок на первый или третий уровень зрелости должны быть представлены свидетельства по следующим направлениям.
1 уровень зрелости (начальный):
| Вопрос | |
| Существует ли политика организации, в которой определена и документально зафиксирована область действия СМИБ организации? | |
| Существует ли документально зафиксированные свидетельства работ по оценке рисков ИБ в организации (стратегия оценки рисков, выбранный подход и т. п.)? | |
| Определены ли роли в рамках деятельности по оценке и обработке рисков ИБ? | |
| Выполнены ли идентификация информационных активов и их уязвимостей? | |
| Выполнена ли оценка потенциального ущерба бизнесу организации в случае реализации угроз ИБ? | |
| .............................................................................................................................. |
3 уровень зрелости.
1) Процесс аттестован на соответствие 2 уровню зрелости.
2) Получены свидетельства следующих действий:
| Вопрос | |
| Определена ли периодичность и область оценки рисков в политике ИБ организации? | |
| Доведена ли данная политика до сведения всего персонала? | |
| Согласованы ли результаты деятельности в рамках процесса по оценке и анализу рисков с соответствующими политиками, стандартами и/или процедурами? | |
| Придерживается ли организация документированных планов, политик, стандартов и процедур по оценке и анализу рисков? | |
| Существует ли план работы в рамках процесса анализа и оценки рисков ИБ? | |
| Оценена ли возможность переноса информационных рисков на другие стороны (например, страховщиков, поставщиков, органы сертификации и т.п.)? | |
| .............................................................................................................................. |
Риск-ориентированная оценка информационной безопасности
Оценка, основанная на оценке риска и оценке управления риском, отличается от системно-ориентированной и процессно-ориентированной оценки и называется [10] риск-ориентированной оценкой. Ключевое отличие риск-ориентированной оценки заключается в том, что оценка должна быть направлена на анализ того, как менеджмент организации оценивает риски, контролирует и проверяет процессы менеджмента риска.
Риск-ориентированная оценка дает объективное и наиболее информативное представление об уровне эффективности деятельности организации, эффективности принимаемых менеджментом решений и эффективности затрат на поддержание и развитие бизнеса, исходя из сопоставления существующих рисков деятельности организации и принимаемых организацией мер по обработке таких рисков.
Целью риск-ориентированной оценки является определение того, что:
– процессы менеджмента риска должным образом созданы и внедрены;
– процессы менеджмента риска, которые высшее руководство применяло в организации (процессы менеджмента риска на корпоративном уровне, уровне отдела, подразделения, уровне бизнес-процесса) действуют надлежащим образом;
– в отношении рисков, подлежащих обработке, действия руководства организации направлены на снижение этих рисков до приемлемого уровня.
Алгоритм проведения риск-ориентированной оценки показан на рисунке 9.
При проведении риск-ориентированной оценки следует:
– оценить инфраструктуру менеджмента риска, например, ресурсов, документации, методов, сообщения;
– оценить специфические риски;
– при необходимости пересматривать бизнес-цели и процессы менеджмента риска;
– там, где нельзя считать процессы менеджмента риска адекватными существующим рискам, оценщик должен проводить собственную оценку риска (совместно с высшим руководством) для того, чтобы идентифицировать и оценить риски, а затем сконцентрироваться на том, что деятельности, связанные с менеджментом риска, выполняются надлежащим образом;
– конечный результат оценки должен заключаться в обеспечении уверенности в том, что менеджмент риска осуществляется надлежащим образом и направлен на снижение рисков до приемлемого уровня.
Рисунок 9 — Алгоритм проведения риск-ориентированной оценки
На рисунке 10 показана модель риск-ориентированной оценки ИБ организации.
Рисунок 10 — Модель риск-ориентированной оценки ИБ организации
Риск реализуется через рисковые события, создающие ущерб целям бизнеса. В свою очередь, рисковые события являются следствием сочетания факторов риска, т.е. любому рисковому событию соответствует некоторый набор факторов риска.
Измерить фактор риска — это значит установить степень соответствия состояния r фактора риска некоторому состоянию rm, определяющему проявление рискового события.
Для совокупности факторов риска функция соответствия
r = r(R,Rm)
показывает степень достижения состояний R факторов риска нежелательных состояний Rm (состояний проявления рискового события).
Для каждого фактора риска, когда R и Rm являются неслучайными (детерминированными) переменными, функция соответствия служит результатом Wij измерения, полученного с помощью выбранного метода измерения:
Wij = r(rij, rmij),
где i — количество оцениваемых рисковых событий,
j — количество факторов риска i-го рискового события.
Объединение результатов измерения факторов риска с целью оценивания совокупности факторов риска может быть реализовано на основании модели предпочтения на множестве факторов риска, относящихся к каждому рисковому событию. Такой же подход может применяться и для формирования итоговой оценки, определяющей совокупный риск ИБ организации.
Список использованных источников
1) ISO/IEC 27004, Information technology — Security techniques — Information security management — Measurement.
2) Gartner. The Price of Information Security. Strategic Analysis Report
3) Курило А.П., Зефиров С.Л., Голованов В.Б. и др. Аудит информационной безопасности. — М.: Издательская группа «БДЦ-пресс», 2006. — 304с.
4) СТО БР ИББС–1.0–2008 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения.
5) СТО БР ИББС–1.1–2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности
6) BSI PAS 56 Guide to Business Continuity Management (BCM)
7) ISO/IEC 15504 Information technology — Process assessment.
8) NIST Special Publication 800-55 «Security Metrics Guide for Information Technology Systems
9) Зефиров С.Л., Голованов В.Б. Как измерить информационную безопасность организации? Объективно о субъективном // Защита информации. Инсайд, №3, 2006
10) Институт «внутренних» аудиторов — Великобритания и Ирландия // Проведение риск-ориентированного внутреннего аудита
