Читаем Обеспечение информационной безопасности бизнеса полностью

Блок «Технические процессы и процессы менеджмента» организационной единицы или проекта выходят за рамки положений данного стандарта, хотя они являются важным внешним связующим звеном с мероприятиями измерений. Два мероприятия считаются относящимися к основному процессу измерения: планирование процесса измерения и выполнение процесса измерения. Эти мероприятия в основном уделяют внимание интересам пользователя измерений. Два других мероприятия — установление и поддержка приверженности измерениям и оценивание измерений — обеспечивают основу для основного процесса измерения и обратную связь для него.

В цикл включена «база опыта, связанного с измерениями». Она предназначена для хранения информационных продуктов из прошлых итераций цикла, предыдущих оценок информационных продуктов и оценок предыдущих итераций процесса измерения. Она может включать сведения, которые были сочтены полезными для будущего. Никаких положений о характере или технологии «базы опыта, связанного с измерениями» в стандарте не дается, предполагается только то, что это постоянное хранилище. Хранящиеся в «базе опыта, связанного с измерениями» сведения предназначены в основном для повторного использования в будущих итерациях процесса измерения.

Типичные функциональные роли, упомянутые в стандарте, включают причастную сторону, организатора, пользователя измерений, аналитика измерений, библиотекаря измерений, поставщика данных и владельца процесса измерения.

В целом же вопросы измерений в СМИБ не столь просты, как может показаться на первый взгляд. Область информационной безопасности, подобно области риск-менеджмента, является чрезвычайно трудной сферой для задач измерений.

Основная проблема заключается в том, как измерить «отсутствие инцидентов».

Вопрос состоит в следующем.

Если анализ рисков информационной безопасности является точным и если мы реализовали эффективные средства контроля и управления ИБ, мы должны избежать или по крайней мере уменьшить число серьезных инцидентов безопасности.

Если мы будем последовательно измерять и фиксировать число и серьезность инцидентов, у нас будут некоторые цифры для анализа, но о чем эти цифры будут фактически говорить нам?

Если эти цифры ниже, чем до начала действия официально утвержденной программы по обеспечению информационной безопасности, мы можем заявить об успехе, но что если число и серьезность инцидентов каким-либо образом снизилось ввиду иных причин, не связанных с нашими усилиями («затаился» агент угроз и т. п.)?

Если цифры выше, чем раньше, обязательно ли это означает, что наши средства контроля и управления неэффективны? Или это может означать, что угрозы и воздействия возросли, а мы их не учли (не видели, неверно оценили актуальность и т. д.)?

Настоящая проблема — это проблема прогноза. Практически невозможно абсолютно достоверно и объективно измерить то, что может произойти в будущем, если бы мы не совершенствовали наши средства контроля и управления информационной безопасности (ничего не меняли бы в своей операционной среде в части средств и мер ИБ).

Измерения ИБ следует вывести из действия общекорпоративной модели системы планирования и отчетности, так как это специфичная задача и она не полностью отвечает методологии прогнозных плановых показателей, применимых к производственной сфере. Вопросы измерений в СМИБ сопоставимы с иными подобными измерениями по форматам категорий отдельных результатов, но решения по ним должны рассматриваться отдельно.

Таким образом, основными вопросами измерения и контроля в СМИБ организации и корпоративном управлении ИБ являются следующие.

Что мы собираемся измерять?

Это, несомненно, важный вопрос, но на практике идентификация надлежащей метрики является по-настоящему сложной. Нам необходимо учитывать следующие практические правила:

— не следует реализовывать процесс измерений, если мы не намерены регулярно и систематически его поддерживать, необходимы воспроизводимые и надежные методы измерений;

— не следует собирать данные, которые мы не намерены анализировать, — это нерациональные расходы, которых можно избежать;

— не следует анализировать данные, если мы не намерены практически использовать результаты анализа, другими словами, нам необходимо идентифицировать информационные потребности в результатах измерений.

Мы можем достичь многого без дорогостоящих решений или сложных измерительных процессов. Не следует углубляться в частные вопросы. Вопросы материально-технического обеспечение сбора данных для измерений могут быть организованы на основе уже имеющейся в других подразделениях организации сведений (см. пример по измерению осведомленности ИБ). Следует лишь удостовериться в том, что они формируются на основе регламентированных процедур и их достоверность может быть проверена и подтверждена.

Как мы будем осуществлять измерения?