Читаем Обеспечение информационной безопасности бизнеса полностью

Примеры анкет, предназначенных для измерения атрибутов, связанных с информационной безопасностью, рассмотрены, например, в NIST Special Publication 800-26 «Security Self-Assessment Guide for Information Technology Systems» и в BSI PAS 56 [28]. Фрагмент анкеты BSI PAS 56, содержащей атрибуты в виде вопросов, шкалу для измерения атрибутов и модель для объединения основных мер в производную меру, представлен в таблице 7.

Другой подход к измерению атрибутов опирается на применение метрик при измерении атрибутов. Для подготовки процесса измерения атрибутов с помощью метрик требуется (см. рис. 59):

— выделить среди атрибутов критические, т. е. те атрибуты, которые позволят достичь цели оценки;

— определить с помощью модели оценки способ измерения;

— сформировать перечень источников свидетельств оценки и свидетельств оценки, необходимых для измерения атрибутов;

— установить роли и их функции при проведении измерения;

— определить условия функционирования процесса, процедуры, защитной меры или объекта оценки, включающие период сбора, анализа данных, отчетности.

Таблица 7

При разработке метрик и реализации метрик ИБ должны выполняться следующие условия:

— метрики должны давать результат в количественно измеримой форме (в процентах, в усредненных и абсолютных значениях), например: «процент систем, для которых имеется план работы в чрезвычайной ситуации», «процент уникальных идентификаторов пользователей», «процент систем, в которых применяются запрещенные к использованию протоколы», «процент систем, для которых существуют документированные отчеты об оценке рисков» и т. п.;

— данные для поддержки метрик должны быть доступными;

— значения метрик должны быть достижимы и иметь смысл для бизнеса;

— не следует измерять атрибуты, которые не требуется совершенствовать.

Пример формирования метрик в соответствии со стандартом NIST 800-55 «NIST Special Publication 800-55 «Security Metrics Guide for Information Technology Systems» показан в таблице 8.

Таблица 8

Окончание табл. 8

Форма метрик, показанная в таблице 9, подробно описывает объект измерения и атрибут, основную и производную меры, роли и функции ролей при измерении, метод измерения, процедуры сбора и анализа данных.

Таблица 9

Продолжение табл. 9

Окончание табл. 9

<p>3.3. Применение типовых моделей оценки на основе оценки процессов и уровней зрелости процессов для оценки информационной безопасности</p><p>3.3.1. Модель оценки информационной безопасности на основе оценки процессов</p>

При описании процесса оценки ИБ организации в разделе 3.2 не рассматривалось содержание модели оценки ИБ и критериев оценки ИБ. Эти компоненты процесса оценки ИБ связаны с целью оценки таким образом, что через цель оценки определяется критерий оценки ИБ, в рамках которых (цель, критерий) выбирается модель оценки ИБ организации.

Предположим, что целью оценки ИБ является оценка процессов обеспечения всей организации или объекта (ов) организации. Для достижения такой цели оценки в качестве критерия оценки ИБ должна использоваться эталонная модель процессов обеспечения ИБ, которая описывает в зависимости от объекта оценки совокупность из одного или более процессов в терминах назначения и ожидаемых результатов. Эталонная модель процессов может содержать более подробное описание процессов с выделением атрибутов по назначению и / или ключевых атрибутов — критических элементов процессов.

Модель оценки процесса включает сферу модели, показатели, отображение и преобразование модели оценки процесса.

Сфера модели оценки процесса может распространяться на подмножество процессов, определенных эталонной моделью процессов объекта оценки, а также охватывать дополнительные процессы, выходящие за рамки процессов объекта оценки. Сфера модели оценки может полностью соответствовать эталонной модели процессов объекта оценки.

Модель оценки процесса основывается на совокупности показателей, которые используются в качестве основы для сбора объективных данных для определения степени достижения атрибутов процессов, назначения и результатов процессов в рамках сферы модели оценки процесса. Показатели формализуют процесс оценки, дают возможность последовательно формировать суждения специалиста по оценке и повышать воспроизводимость результатов. Показатели позволяют оценить степень реализации процессов объекта оценки. Модели оценки процесса в целом обеспечивают различные степени анализа процесса на основе числа показателей оценки, предоставляемых моделью оценки процесса. Модель оценки процесса с 20 показателями оценки будет считаться обеспечивающей более глубокий анализ процесса, чем модель оценки процесса с 10 показателями оценки. Однако такой анализ требует более значительных усилий во время оценки по выявлению данных, касающихся показателей оценки, а затем обработки данных.

Перейти на страницу:

Похожие книги

1С: Управление небольшой фирмой 8.2 с нуля. 100 уроков для начинающих
1С: Управление небольшой фирмой 8.2 с нуля. 100 уроков для начинающих

Книга предоставляет полное описание приемов и методов работы с программой "1С:Управление небольшой фирмой 8.2". Показано, как автоматизировать управленческий учет всех основных операций, а также автоматизировать процессы организационного характера (маркетинг, построение кадровой политики и др.). Описано, как вводить исходные данные, заполнять справочники и каталоги, работать с первичными документами, формировать разнообразные отчеты, выводить данные на печать. Материал подан в виде тематических уроков, в которых рассмотрены все основные аспекты деятельности современного предприятия. Каждый урок содержит подробное описание рассматриваемой темы с детальным разбором и иллюстрированием всех этапов. Все приведенные в книге примеры и рекомендации основаны на реальных фактах и имеют практическое подтверждение.

Алексей Анатольевич Гладкий

Экономика / Программное обеспечение / Прочая компьютерная литература / Прочая справочная литература / Книги по IT / Словари и Энциклопедии
Управление проектами. Фундаментальный курс
Управление проектами. Фундаментальный курс

В книге подробно и систематически излагаются фундаментальные положения, основные методы и инструменты управления проектами. Рассматриваются вопросы управления программами и портфелями проектов, создания систем управления проектами в компании. Подробно представлены функциональные области управления проектами – управление содержанием, сроками, качеством, стоимостью, рисками, коммуникациями, человеческими ресурсами, конфликтами, знаниями проекта. Материалы книги опираются на требования международных стандартов в сфере управления проектами.Для студентов бакалавриата и магистратуры, слушателей программ системы дополнительного образования, изучающих управление проектами, аспирантов, исследователей, а также специалистов-практиков, вовлеченных в процессы управления проектами, программами и портфелями проектов в организациях.

Коллектив авторов

Экономика