В. Андрианов - Обеспечение информационной безопасности бизнеса

В зависимости от вида функции соответствия можно получить различные значения частных показателей функционирования. Вид функции соответствия определяется преобразованиями, которые допустимы в выбранных для метода измерения шкалах.

Например, пусть событие А означает достижение атрибута процесса требуемого значения. Вероятность Р и ( А ) наступления этого события зависит от стратегии и ∈ U. Тогда функция соответствия р в этом случае вводится как переменная, которая может принять лишь два значения 0 или 1, т. е.

Частные показатели могут иметь различную размерность. Поэтому при формировании группового показателя необходимо оперировать с нормированными значениями показателей.

Характеристики и свойства процессов обеспечения ИБ, которые несут атрибуты, не равнозначные с точки зрения реализации этих процессов. Поэтому необходимо определить способ объединения частных показателей (рис. 60) при формировании групповых показателей из частных. Наиболее часто применяемой производной мерой является усреднение объединяемых основных мер, т. е. групповые показатели формируются путем усреднения частных показателей, предполагая их равную значимость:

где W j — групповой показатель j -го процесса;

W ji — частный показатель i- го атрибута j -го процесса;

n — число показателей всех измеряемых атрибутов j -го процесса.

Вычисление среднего значения для количественных показателей или вычисление медианы для качественных показателей дают хорошие результаты с точки зрения понимания правильности реализации процессов, однако адекватность такой обобщенной оценки не столь высока ввиду различной значимости оцениваемых атрибутов. Повысить адекватность обобщенной оценки процессов позволяет использование коэффициентов значимости (весовых коэффициентов) частных показателей.

Под значимостью частного показателя будем понимать важность оцениваемых частным показателем атрибутов процессов обеспечения ИБ с точки зрения функционирования (правильности реализации) этих процессов.

Групповые показатели при различной значимости частных показателей вычисляются следующим образом:

где α ji — коэффициент значимости частного показателя i -го атрибута j -го процесса.

Значимость атрибутов процессов обеспечения ИБ может быть определена с помощью экспертных методов (непосредственной численной оценки, балльного оценивания, относительных частот рангов), основанных на субъективной оценке значимости экспертами, и аналитических методов с использованием формализованных процедур, снижающих субъективность оценки. Экспертные методы просты, субъективны. Аналитические методы менее субъективны, но сложны. Кроме того, они не ориентированы на процессный подход к оценке.

Комплексный показатель оценки ИБ (рис. 60) формируется как производная мера, объединяющая групповые показатели. Модель объединения групповых показателей может быть такой же, как модель объединения частных показателей, но со своими коэффициентами значимости. Другим вариантом модели объединения может быть модель предпочтения, когда значение комплексного показателя определяется по самому низкому значению показателя среди наиболее значимых групповых показателей.

Рассмотрим применение оценки возможности (оценки зрелости) процессов для оценки ИБ организации.

В ISO/IEC 15504 [29] определена модель оценки зрелости, основу которой составляют идентифицированные атрибуты оцениваемых процессов, представляющие измеримые характеристики возможностей того или иного процесса, и методы их оценивания.

Стандартом определена следующая шкала рейтингов оценки процесса, определяющих степень достижения определенных значений для оцениваемого атрибута процесса:

— N — не достигнуто: мало или нет свидетельств достижения определенным атрибутом оцениваемого процесса некоторого желаемого значения;

— P — частично достигнуто: существуют некоторые свидетельства приближения к желаемому значению определенного атрибута оцениваемого процесса;

— L — в значительной степени достигнуто: существуют свидетельства систематического приближения к определенному значению атрибута оцениваемого процесса, в оцениваемом процессе могут существовать некоторые слабые места, связанные с этим атрибутом;

— F — полностью достигнуто: существуют свидетельства полного и систематического приближения к определенному значению атрибута оцениваемого процесса, никаких слабых мест, связанных с этим атрибутом, в оцениваемом процессе не существует.

Фактически рассматриваются определенные показатели атрибутов процессов, которые ранжируются по 4-уровневой шкале оценивания. Значения для оцениваемых параметров следующие:

— N — не достигнуто — от 0 до 15 %;

— P — частично достигнуто — от >15 до 50 %;

— L — в значительной степени достигнуто — от >50 до 85 %;

— F — полностью достигнуто — от >85 до 100 %.

При этом любая интересующая задача, представленная в спецификации процессного подхода с выделенными атрибутами данного процесса и установленным методом измерения данных атрибутов, может быть далее оценена на основе следующей обобщенной модели зрелости (уровням возможностей — рейтингам) процесса как представлено в таблице 10.

Таблица 10

Для целей определения рейтинга (уровня) зрелости процесса выделяются характеризующие его атрибуты, которые можно было бы измерить, по следующим позициям:

— функционирование процесса — процесс выполняется и формирует определенные результаты;

— менеджмент функционирования — процесс управляем в контексте его назначения и целей процесса;

— менеджмент рабочего продукта — осуществляется управление результатами процесса в части их содержания и потребностей использования;

— формализация процесса — имеется полная формальная модель процесса, и его реализация осуществляется в соответствии со спецификацией;

— развертывание процесса — реализацией процесса охвачены все вовлеченные стороны;

— количественная оценка процесса — определены и используются количественные метрики процесса;