В. Андрианов - Обеспечение информационной безопасности бизнеса

Метод измерения используется для количественного измерения объекта измерения посредством преобразования атрибутов в основную меру. Основная мера — мера, определенная в терминах атрибута и метода его количественного определения (мера — это переменная, которой присваивается значение). Основная мера функционально независима от других мер. Основная мера собирает информацию о единственном атрибуте.

Метод измерения количественно измеряет атрибуты посредством применения соответствующей шкалы.

Методы измерения могут быть субъективными или объективными. Субъективные методы полагаются на количественное измерение, включающее мнение человека, тогда как объективные методы используют количественное определение, основанное на числовых правилах, которые могут быть реализованы с помощью ручных или автоматических средств.

Функция измерения определяет, как основные меры объединяются в производную меру. Производная мера — способ объединения двух или более основных мер.

Функции измерения могут включать разнообразные приемы, такие как усреднение всех основных мер, применение весовых коэффициентов к основным мерам или присвоение качественных значений основным мерам перед их объединением в производные меры.

Для каждой меры должна быть определена аналитическая модель с целью преобразования одной или более производных мер в показатель. Показатель — это результат применения аналитической модели к одной или более мерам по отношению к критериям принятия решений или информационной потребности.

Показатели будут формироваться путем объединения производных мер и интерпретации их на основе критериев принятия решений.

Для каждого показателя должны быть идентифицированы и задокументированы основанные на целях информационной безопасности критерии принятия решений, которые устанавливают максимальное значение показателя, и предоставляют руководство для интерпретации текущего значения показателя.

В таблицах 3–6 показаны примеры проведения измерения и оценивания атрибута.

Таблица 3

Таблица 4

Таблица 5

Окончание табл. 5

Таблица 6

Сообщение результатов оценки может проходить неформально при внутренней оценке или происходить в форме подробного отчета при независимой внешней оценке. Кроме того, для представления результатов оценки могут быть подготовлены и другие выводы и предлагаемые планы действий, рекомендации, в зависимости от назначения оценки. Результаты могут быть представлены в абсолютных выражениях или в относительных выражениях в сравнении с результатами предыдущих оценок, контрольными данными, в сравнении с деловыми потребностями и т. д. Результаты оценки ИБ обычно используются в качестве основы для определения рисков ИБ и разработки плана совершенствования СОИБ.

Выходные данные оценки включают дату проведения оценки, входные данные оценки, собранные свидетельства оценки, описание используемого процесса измерения и оценивания. Зарегистрированные выходные данные оценки могут сохраняться в различной форме — бумажной или электронной — в зависимости от обстоятельств и инструментов, использованных для проведения и поддержки оценки.

На основе любого соглашения об обеспечении конфиденциальности или ограничений доступа зарегистрированные данные могут сохраняться организатором оценки или руководством объекта оценки.

Важные факторы достижения цели оценки ИБ следующие:

— осознание и мотивация руководства организации;

— конфиденциальность;

— доверие.

Позиция руководства организации оказывает существенное влияние на процесс оценки. Поэтому руководство организации должно побуждать участников оценки к открытости и конструктивности. Оценка объекта сосредотачивается на оценке процессов, процедур, защитных мер, а не на функционировании персонала объекта оценки. Смысл оценки состоит в том, чтобы сделать объект оценки более эффективными в достижении целей бизнеса, а не в том, чтобы возложить вину на отдельных лиц.

Обеспечение обратной связи и поддержка атмосферы, поощряющей открытое обсуждение предварительных выводов во время оценивания, содействуют обеспечению того, чтобы выходные данные оценки были значимыми для объекта оценки. Руководителям организации и персоналу объекта оценки необходимо осознавать, что участники оценки являются основным источником знаний и опыта, связанных с процессом, и что руководители и персонал имеют хорошую возможность для идентификации потенциальных слабых мест.

Уважение к конфиденциальности источников информации и документации, собранной во время оценивания, необходимо для обеспечения безопасности этой информации. В тех случаях, когда используются опросы или обсуждения, следует обратить внимание на обеспечение того, чтобы их участники не ощущали угрозы или не испытывали какого-либо беспокойства в отношении конфиденциальности. Некоторая из предоставленной информации может составлять собственность организации, поэтому важно наличие адекватных средств контроля для обращения с такой информацией.

Организатор оценки, руководство и персонал объекта оценки должны верить в то, что оценка принесет результат, являющийся объективным для объекта оценки. Важно, чтобы все стороны могли быть уверены в том, что специалисты по оценке обладают адекватными знаниями и опытом для проведения оценки, беспристрастны и обладают адекватным пониманием объекта оценки и его бизнеса для проведения оценки.

Атрибуты, выделенные для измерения как критические элементы процесса, процедуры, защитной меры или объекта оценки, должны быть представлены в удобном для анализа виде с целью адекватного преобразования атрибута в основную меру. Оценщик получает больше возможностей для адекватного представления атрибута основной мерой, если измеряемый атрибут будет дополнен элементами, отражающими контекст оценки.

В настоящее время используются две формы описания измеряемого атрибута: анкеты и метрики.

Для подготовки процесса измерения атрибутов с помощью анкет требуется (см. рис. 58):