Мониторинг и изменение параметров СУИБ

Информационная безопасность

Для определения состояния, возможностей совершенствования и соответствия установленным требованиям процессы СУИБ должны контролироваться и проверяться.

Процесс оценки СУИБ

Процесс оценки включает в себя следующие этапы:

  • определение исходных данных: назначение, объем, ограничения (по времени, доступности и т. д.), особенности, подход, критерии компетентности оценщика;
  • определение ведущих ролей и обязанностей;
  • предоставление руководящих принципов для планирования, сбора данных, проверки достоверности данных, определения атрибутов процесса и представления результатов оценки;
  • фиксация результата оценки.

Процесс оценки процессов СУИБ базируется на модели их оценки, включающей объем (относительно эталонной модели процессов объекта оценки), показатели (используемые в качестве основы для сбора объективных данных для определения степени достижения атрибутов процесса, цели и результатов процессов в рамках модели оценки процесса ) и отображение этой модели.

В рамках функционирования СУИБ осуществляется периодический мониторинг, измерение параметров и анализ ее процессов.

Мониторинг процесса (англ. process monitoring) означает постоянный мониторинг (отслеживание) результатов своей деятельности.
Измерение параметров процесса (англ., process measuring) СУИБ — это набор операций для задания значения параметра процесса.

Анализ процесса СУИБ — это деятельность, осуществляемая с целью установления пригодности, адекватности, эффективности рассматриваемого процесса для достижения поставленных целей [5].

Основными методами контроля и измерения параметров технологического процесса являются инструментальный (с использованием измерительной аппаратуры), социологический (анкетирование, анкетирование) и экспертный (оценки специалистов-экспертов) методы.

Следует определить, что необходимо контролировать, когда и что конкретно указывает на отклонения от нормального функционирования (например, что относится к инцидентам). Результаты мониторинга обязательно фиксируются с требуемой степенью детализации.

Для достижения целей мониторинга, измерения параметров и анализа для каждого процесса СУИБ определяются количественные показатели, являющиеся результатом измерения или расчета, и / или качественные характеристики любого свойства процессов СУИБ.

Показатели процесса СУИБ

Под показателем процесса СУИБ понимается обобщенная характеристика свойств СУИБ, дающая качественную или количественную оценку степени достижения цели процесса управления ИБ (в отличие от метрики, представляющей собой количественный показатель, получаемый путем применения метода измерения к объектам измеряемых СУИБ). Это показатель оперативной деятельности в области управления информационной безопасностью и метод ее реализации. Он рассчитывается по определенной методике и адекватно характеризует результат и / или динамические показатели (изменение) функционирования процесса.

Для каждого показателя должно быть определено целевое (нормативное) значение или критерий — значение или диапазон значений, которым должен соответствовать показатель процесса СУИБ. Критерий устанавливается в зависимости от целей процесса и статистических данных по характеристикам процесса за предыдущие периоды. Она может меняться по мере развития процесса и повышения уровня его зрелости. Если текущее значение показателя сильно отличается от целевого значения (возможные отклонения от целевого значения необходимо предусмотреть при планировании технологического показателя), то необходимо выявить первопричины такого отклонения и разработать мероприятия по совершенствованию технологического процесса, устраняющие эти отклонения. Также индикатор определяет желаемые тенденции его изменения.

Для оценки процессов СУИБ могут применяться следующие показатели, которые должны быть установлены и соответствовать цели процесса, требованиям его внутренних и внешних потребителей, а также бизнес-целям организации [98]:

  • Эффективность-степень выполнения запланированных мероприятий и достижения запланированных результатов.
  • Корректность-степень, в которой реализация реального процесса соответствует его описанию.
  • Управляемость-степень, в которой контролируется реализация процесса и получаются результаты, соответствующие конкретным целям.
  • Эффективность — это соотношение между достигнутым результатом и используемыми ресурсами (временем, финансами и т.д.).
  • Повторяемость-способность процесса создавать выходные потоки с одинаковыми характеристиками при повторных его реализациях.
  • Гибкость (адаптивность) — способность процесса адаптироваться к изменениям внешних условий, перестраиваться таким образом, чтобы ни производительность, ни эффективность не снижались.
  • Рентабельность (себестоимость) — совокупные затраты на выполнение функций процесса и передачу результатов от одной функции к другой.

Понятие «эффективность СУИБ» связано с затратами на проведение мероприятий по достижению целей функционирования ОИБ, направленных на достижение запланированного результата. Рентабельность оценивает затраты на достижение конкретного результата, который в общем случае может не совпадать с целью деятельности. Тогда «результативность» — это своего рода разница между «экономичностью СУИБ» и «эффективностью СУИБ».

Показатели оценки процессов СУИБ должны представлять собой измеримые величины, рассчитываемые на основе данных, полученных из надежных источников информации. Для показателей определяются наименование, единицы измерения, нормативные значения, с которыми будут сравниваться измеряемые значения, источники данных, расчетные формулы, частота оценки.

Необходимо разработать или использовать существующую методологию сбора данных и расчета любого показателя. При наиболее упрощенном подходе, если показатели оценки находятся в пределах стандартных значений, то процесс считается эффективным. При отклонениях от нормы можно рассчитать, например, в процентах, насколько эффективен процесс. Если трудно определить результат (выход) процесса и показатели его оценки, то проверяется правильность определения его границ и назначения в СУИБ. Вероятно, это потребует внесения изменений в перечень процессов СУИБ, так как отсутствие или “размытость” результата противоречит сути процессного подхода: каждая деятельность должна быть направлена на получение измеримого результата для достижения общих целей организации.

Информация, задающая показатели для оценки процессов ИСМ, может быть формализована в виде отдельных, периодически пересматриваемых документов для каждого процесса с названием «план мониторинга процессов СУИБ «. Решение о пересмотре показателей оценки процессов может быть принято при анализе СУИБ. Планы мониторинга могут утверждаться представителем руководства СУИБ.

Отчеты по результатам мониторинга процессов СУИБ

Отчеты по результатам мониторинга процессов СУИБ должны отвечать стандартам ISO/IEC 27004:2009 и ГОСТ Р ИСО/МЭК 27004-2011 [24,25], основные положения которых рассмотрены в пятой части серии учебных пособий, посвященной оценке СУИБ.