Витяг з книги "Забезпечення інформаційної безпеки бізнесу"

3.1 Способи оцінки інформаційної безпеки

Організації, бізнес яких багато в чому залежить від інформаційної сфери, для досягнення цілей бізнесу повинні підтримувати на необхідному рівні систему забезпечення ІБ (СОІБ). СОІБ являє собою сукупність апаратно-програмних, технічних та організаційних захисних заходів (ЗМ), що функціонують під управлінням СМІБ і процесів усвідомлення ІБ, що ініціюють і підтримують діяльність по менеджменту ІБ.

Бажання мати СОІБ, адекватну цілям ІБ організації щодо забезпечення доступності, цілісності і конфіденційності інформаційних активів, призводить до прагнення вдосконалювати СОІБ. Удосконалення, поліпшення СОІБ можливо за умови знання станів характеристик і параметрів використовуваних ЗМ, процесів менеджменту, усвідомлення ІБ і розуміння ступеня їх відповідності необхідним результатами. Зрозуміти ці аспекти СОІБ можна тільки за результатами оцінки ІБ організації, отриманої за допомогою моделі оцінки ІБ на підставі свідчень оцінки, критеріїв оцінки і з урахуванням контексту оцінки.

Критерії оцінки - це все те, що дозволяє встановити значення оцінки для об'єкта оцінки. В якості критеріїв оцінки ІБ можуть використовуватися вимоги ІБ, процедури ІБ, поєднання вимог і процедур ІБ, рівень інвестицій, витрат на ІБ.

До свідченнями оцінки ІБ називають протоколами, виклади фактів чи будь-яка інформація, яка має відношення до критеріїв оцінки ІБ і може бути перевірена. Такими свідченнями оцінки ІБ можуть бути докази виконуваної і виконаної діяльності щодо забезпечення ІБ у вигляді звітних, нормативних, розпорядчих документів, результатів опитувань, спостережень.

Контекст оцінки ІБ об'єднує цілі і призначення оцінки ІБ, вид оцінки (незалежна оцінка, самооцінка), об'єкт і області оцінки ІБ, обмеження оцінки і ролі.

Модель оцінки ІБ визначає сферу оцінки, що відображає контекст оцінки ІБ в рамках критерію оцінки ІБ, відображення і перетворення оцінки в параметри об'єкта оцінки, а також встановлює показники, що забезпечують оцінку ІБ в сфері оцінки.

У загальному вигляді процес проведення оцінки ІБ (рисунок 53) представлений основними компонентами процесу: контекст, свідоцтва, критерії та модель оцінки, необхідними для реалізації процесу оцінки.

Оцінка ІБ полягає у виробленні оціночного судження щодо придатності (зрілості) процесів забезпечення ІБ, адекватності використовуваних захисних заходів або доцільності (достатності) інвестицій (витрат) для забезпечення необхідного рівня ІБ на основі вимірювання і оцінювання критичних елементів (факторів) об'єкта оцінки.

Малюнок 53 - Загальний вигляд процесу оцінки ІБ організації

Поряд з найважливішим призначенням оцінки ІБ - створення інформаційної потреби для вдосконалення ІБ, можливі й інші цілі проведення оцінки ІБ такі, як:

- визначення ступеня відповідності встановленим критеріям окремих областей забезпечення ІБ, процесів забезпечення ІБ, захисних заходів;

- виявлення впливу критичних елементів (факторів) та їх поєднання на ІБ організації;

- порівняння зрілості різних процесів забезпечення ІБ і порівняння ступеня відповідності різних захисних заходів встановленим вимогам.

Результати оцінки ІБ організації можуть також використовуватися зацікавленою стороною для порівняння рівня ІБ організацій з однаковим бізнесом і порівнянним масштабом.

Залежно від обраного для оцінки ІБ критерію можна розділити способи оцінки ІБ організації (рисунок 54) на оцінку за зразком, ризик-орієнтовану оцінку і оцінку за економічними показниками.

Малюнок 54 - Способи оцінки ІБ організації

Спосіб оцінки ІБ за зразком зводиться до порівняння діяльності та заходів щодо забезпечення ІБ організації з вимогами, закріпленими в ідеалі. По суті справи проводиться оцінка відповідності СОІБ організації встановленим зразком. Під оцінкою відповідності ІБ організації встановленим критеріям розуміється діяльність, пов'язана з прямим або непрямим визначенням виконання або невиконання відповідних вимог ІБ в організації. За допомогою оцінки відповідності ІБ вимірюється правильність реалізації процесів системи забезпечення ІБ організації та ідентифікуються недоліки такої реалізації.

В результаті проведення оцінки ІБ повинна бути сформована оцінка ступеня відповідності СОІБ еталону, в якості якого можуть бути прийняті (в сукупності і окремо):

- вимоги законодавства Російської Федерації в області ІБ;

- галузеві вимоги щодо забезпечення ІБ;

- вимоги нормативних, методичних та організаційно-розпорядчих документів щодо забезпечення ІБ;

- вимоги національних і міжнародних стандартів в області ІБ.

Основні етапи оцінки інформаційної безпеки за зразком включають вибір еталона і формування на його основі критеріїв оцінки ІБ, збір свідчень оцінки і вимірювання критичних елементів (факторів) об'єкта оцінки, формування оцінки ІБ.

Ризик-орієнтована оцінка ІБ організації являє собою спосіб оцінки, при якому розглядаються ризики ІБ, що виникають в інформаційній сфері організації, і зіставляються існуючі ризики ІБ і вжиті заходи по їх обробці. В результаті повинна бути сформована оцінка здатності організації ефективно управляти ризиками ІБ для досягнення своїх цілей.

Основні етапи ризик-орієнтованої оцінки інформаційної безпеки включають ідентифікацію ризиків ІБ, визначення адекватних процесів управління ризиками і ключових індикаторів ризиків ІБ, формування на їх основі критеріїв оцінки ІБ, збір свідчень оцінки і вимірювання ризик-факторів, формування оцінки ІБ.

Спосіб оцінки ІБ на основі економічних показників оперує зрозумілими для бізнесу аргументами про необхідність забезпечення та вдосконалення ІБ. Для проведення оцінки в якості критеріїв ефективності СОІБ використовуються, наприклад, [24], показники сукупної вартості володіння (Total Cost of Ownership - ТСО).

Під показником TCO розуміється сума прямих і непрямих витрат на впровадження, експлуатацію та супровід СОІБ. Під прямими витратами розуміються всі матеріальні витрати, такі як купівля обладнання і програмного забезпечення, трудовитрати відповідних категорій співробітників. Непрямими є всі витрати на обслуговування СОІБ, а також втрати від інцидентів. Збір і аналіз статистики по структурі прямих і непрямих витрат проводиться, як правило, протягом року. Отримані дані оцінюються по ряду критеріїв з показниками ТСО аналогічних організацій галузі.

Оцінка на основі показника TCO дозволяє оцінити витрати на інформаційну безпеку і порівняти ІБ організації з типовим профілем захисту, а також управляти витратами для досягнення необхідного рівня захищеності.

Основні етапи оцінки ефективності СОІБ на основі моделі TCO включають збір даних про поточний рівень ТСО, аналіз областей забезпечення ІБ, вибір порівнянної моделі ТСО як критерій оцінки, порівняння показників з критерієм оцінки, формування оцінки ІБ.

Однак цей спосіб оцінки вимагає створення загальної інформаційної бази даних про ефективність СОІБ організацій схожого бізнесу і постійної підтримки бази даних в актуальному стані. Таке інформаційну взаємодію організацій, як правило, не відповідає цілям бізнесу. Тому оцінка ІБ на основі показника TCO практично не застосовується.

Повернутися до розділу " Інформаційна безпека бізнесу "

всі статті