В. Андрианов - Обеспечение информационной безопасности бизнеса

Наряду с важнейшим назначением оценки ИБ — создание информационной потребности для совершенствования ИБ, возможны и другие цели проведения оценки ИБ такие, как:

— определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;

— выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;

— сравнение зрелости различных процессов обеспечения ИБ и сравнение степени соответствия различных защитных мер установленным требованиям.

Результаты оценки ИБ организации могут также использоваться заинтересованной стороной для сравнения уровня ИБ организаций с одинаковым бизнесом и сопоставимым масштабом.

В зависимости от выбранного для оценки ИБ критерия можно разделить способы оценки ИБ организации (рис. 54) на оценку по эталону, риск-ориентированную оценку и оценку по экономическим показателям.

Способ оценки ИБ по эталону сводится к сравнению деятельности и мер по обеспечению ИБ организации с требованиями, закрепленными в эталоне. По сути дела проводится оценка соответствия СОИБ организации установленному эталону. Под оценкой соответствия ИБ организации установленным критериям понимается деятельность, связанная с прямым или косвенным определением выполнения или невыполнения соответствующих требований ИБ в организации. С помощью оценки соответствия ИБ измеряется правильность реализации процессов системы обеспечения ИБ организации и идентифицируются недостатки такой реализации.

В результате проведения оценки ИБ должна быть сформирована оценка степени соответствия СОИБ эталону, в качестве которого могут быть приняты (в совокупности и отдельно):

— требования законодательства Российской Федерации в области ИБ;

— отраслевые требования по обеспечению ИБ;

— требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ;

— требования национальных и международных стандартов в области ИБ.

Основные этапы оценки информационной безопасности по эталону включают выбор эталона и формирование на его основе критериев оценки ИБ, сбор свидетельств оценки и измерение критических элементов (факторов) объекта оценки, формирование оценки ИБ.

Риск-ориентированная оценка ИБ организации представляет собой способ оценки, при котором рассматриваются риски ИБ, возникающие в информационной сфере организации, и сопоставляются существующие риски ИБ и принимаемые меры по их обработке. В результате должна быть сформирована оценка способности организации эффективно управлять рисками ИБ для достижения своих целей.

Основные этапы риск-ориентированной оценки информационной безопасности включают идентификацию рисков ИБ, определение адекватных процессов менеджмента рисков и ключевых индикаторов рисков ИБ, формирование на их основе критериев оценки ИБ, сбор свидетельств оценки и измерение риск-факторов, формирование оценки ИБ.

Способ оценки ИБ на основе экономических показателей оперирует понятными для бизнеса аргументами о необходимости обеспечения и совершенствования ИБ. Для проведения оценки в качестве критериев эффективности СОИБ используются, например, показатели совокупной стоимости владения (Total Cost of Ownership — ТСО) [24].

Под показателем TCO понимается сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение СОИБ. Под прямыми затратами понимаются все материальные затраты, такие как покупка оборудования и программного обеспечения, трудозатраты соответствующих категорий сотрудников. Косвенными являются все затраты на обслуживание СОИБ, а также потери от произошедших инцидентов. Сбор и анализ статистики по структуре прямых и косвенных затрат проводится, как правило, в течение года. Полученные данные оцениваются по ряду критериев с показателями ТСО аналогичных организаций отрасли.

Оценка на основе показателя TCO позволяет оценить затраты на информационную безопасность и сравнить ИБ организации с типовым профилем защиты, а также управлять затратами для достижения требуемого уровня защищенности.

Основные этапы оценки эффективности СОИБ на основе модели TCO включают сбор данных о текущем уровне ТСО, анализ областей обеспечения ИБ, выбор сравнимой модели ТСО в качестве критерия оценки, сравнение показателей с критерием оценки, формирование оценки ИБ.

Однако этот способ оценки требует создания общей информационной базы данных об эффективности СОИБ организаций схожего бизнеса и постоянной поддержки базы данных в актуальном состоянии. Такое информационное взаимодействие организаций, как правило, не соответствует целям бизнеса. Поэтому оценка ИБ на основе показателя TCO практически не применяется.

Далее рассмотрим подробнее способ оценки ИБ на основе эталона и способ риск-ориентированной оценки ИБ.

Процесс оценки ИБ включает следующие элементы проведения оценки:

— контекст оценки, который определяет входные данные: цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки, а также роли и ресурсы;

— критерии оценки;

— модель оценки;

— мероприятия процесса оценки: сбор свидетельств оценки и проверка их достоверности, измерение и оценивание атрибутов объекта оценки;

— выходные данные оценки.

Основные элементы процесса оценки ИБ [25] представлены на рис. 55 в виде процессной модели.

Прежде чем рассмотреть особенности способов оценки ИБ организации необходимо описать общие для любой оценки ИБ компоненты: контекст оценки, сбор свидетельств оценки и проверка их достоверности, измерение и оценивание атрибутов при проведении оценки различного вида (независимая оценка, самооценка) и выходные данные оценки. Модель оценки и критерии оценки, определяющие особенности способов оценки, будут рассмотрены в других разделах.

Рассмотрим подробнее элементы процесса оценки ИБ организации.

Контекст оценки ИБ включает цели и назначение оценки ИБ, вид оценки, объект и области оценки ИБ, ограничения оценки, роли и ресурсы.

К ролям, участвующим в реализации процесса оценки, относятся организатор, аналитик, руководитель группы оценки, оценщик, владелец активов, представитель объекта оценки.