В. Андрианов - Обеспечение информационной безопасности бизнеса

Модель оценки процесса должна позволять отображать атрибуты процессов объекта оценки на выбранной шкале. Такой шкалой может быть количественная шкала (например, абсолютная или шкала отношений), которая указывает степень реализации процесса или достижение заданного уровня атрибута процесса, или качественная шкала (например, порядковая), которая указывает на уровень качества процесса.

Показатели, отображая назначения, результаты и атрибуты процессов, формируют таким образом эталонные профили процессов.

Отображение модели оценки процесса должно обеспечивать формальный и поддающийся проверке механизм представления результатов оценки как совокупности параметров процесса для каждого процесса, выбранного из установленной модели (моделей) процесса.

Модель оценки процесса должна обеспечивать четкое преобразование из основных элементов модели в процессы выбранной модели процессов и в соответствующие параметры процесса в структуре измерений.

Преобразование должно быть полным, четким и однозначным. Преобразование показателей в модели оценки процесса должно производиться в:

— назначения и результаты процессов в установленной модели процесса;

— параметры процесса (включая все результаты достижения, перечисленные для каждого параметра процесса) в структуре измерений.

Международный стандарт ИСО/МЭК 15504 [29] определяет, что для оценки процесса могут использоваться модель, оценивающая функционирование процесса, и модель, оценивающая возможности процесса. Измерение функционирования процесса обеспечивается эталонной моделью процесса. Измерение возможности процесса состоит из структуры измерений, включающей шесть уровней возможностей процесса и соответствующие атрибуты процесса.

Разберем первую модель — модель оценки функционирования процесса, для чего рассмотрим измерение и оценивание атрибутов и формирование оценки процессов обеспечения ИБ с помощью этой модели.

Каждый процесс характеризуется назначением (вход), результатом (выход), управляющими воздействиями и ресурсами.

Состояние любого процесса отображается совокупностью атрибутов мероприятий процесса, входных атрибутов, атрибутов управления, атрибутов ресурсов и выходных атрибутов:

Для проведения оценки функционирования процессов каждый процесс должен быть представлен совокупностью атрибутов, требуемых для функционирования процессов в соответствии с их назначением:

В общем случае каждый вид атрибута описывается набором атрибутов, т. е

Для описания соответствия реальных атрибутов процесса требуемым атрибутам Y TP формально введем числовую функцию на множестве атрибутов процесса ρ = ρ ( Y ( u ), Y TP ), которая называется функцией соответствия. Каждый атрибут процесса измеряется с помощью функции соответствия. Конкретный вид функции зависит от метода измерения атрибута.

Для совокупности атрибутов функция соответствия ρ (Y ( u ), Y TP) показывает степень достижения требуемых атрибутов. Совокупность атрибутов Y может быть случайной переменной Y ( и ) (числовой или нечисловой), зависящей от стратегии и ∈ U . Стратегиями U могут быть следующие действия в отношении процессов обеспечения ИБ: применение базовой оценки рисков ИБ, использование определенного поставщика для реализации СОИБ, применение аутсорсинга для реализации некоторых процессов. Функция соответствия ρ (Y ( u ), Y TP ) в этом случае также может быть случайной величиной. Тогда показатель функционирования определяется математическим ожиданием функции соответствия:

Если Y ( u ), и Y TP — неслучайные переменные, то W ( и) = ρ ( Y ( u ), Y TP ).

На рис. 60 показана модель оценки процессов обеспечения ИБ организации на основе измерения атрибутов процессов.

Данная модель оценки соответствия ИБ связывает потребности в оценке функционирования процессов обеспечения ИБ с соответствующими процессами и представляющими интерес атрибутами процессов. С помощью метода измерения атрибуты преобразовываются в основные меры (частные показатели), с помощью производных мер формируются групповые показатели.

Примеры метрик из [30] и [23] для измерения атрибутов представлены в приложении 3

Для оценивания функционирования (правильности реализации) любого процесса введем групповой (векторный) показатель функционирования

объединяющий частные показатели разных видов:

— частные показатели правильности реализации входных атрибутов

— частные показатели правильности реализации атрибутов управления

— частные показатели правильности реализации атрибутов ресурсов

— частные показатели правильности реализации атрибутов мероприятий

— частные показатели правильности реализации выходных атрибутов

Для каждого атрибута процесса, когда Y ( u ), и Y TP — неслучайные (детерминированные) переменные, функция соответствия служит частным показателем функционирования:

где m k — число атрибутов определенного вида, k = 5.

Введение векторного показателя функционирования накладывает дополнительные требования: минимальность числа частных показателей и полнота. Требование минимальности числа частных показателей связано со стремлением к снижению трудоемкости оценивания, однако при сохранении полноты охвата атрибутов процесса.