嶋・4-15
.ppt
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Оценка деятельности по управлению ИБ
Определения:
Эффективность (efficiency) – соотношение между достигнутым результатом (характеристикой результативности) и использованными затратами- ресурсами (время, финансы и т. д.), обеспечившим его получение.
Результативность (effectiveness) – степень реализации запланированной деятельности и достижения запланированных результатов.
Эффективность СУИБ - соотношение между достигнутым уровнем ОИБ, полученным при управлении ИБ на основе СУИБ, и использованными ресурсами, обеспечившим его получение (критерий эффективности - ?).
Эффективность управления ИБ - экономическая категория, отражающая вклад управленческой деятельности в области ОИБ в конечный результат – уровень ИБ организации и определяемую степенью реализации целей организации в области ОИБ и ее интегрального показателя (например, прибыли).
Оценка эффективности СУИБ – системный процесс получения и оценки объективных данных о ее текущем состоянии, процессах и событиях, происходящих в ней, устанавливающий уровень их
соответствия определенным 31
критериям.
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Оценка деятельности по управлению ИБ
Определения:
Результативностью СУИБ - свойство СУИБ выполнять поставленную цель по управлению и, следовательно, обеспечению ИБ в организации в заданных условиях использования и с определенным качеством.
Показатели результативности СУИБ - характеризуют степень ее приспособленности к выполнению поставленных перед ней задач в области управления и обеспечения ИБ организации и являются обобщающими показателями оптимальности функционирования СУИБ (например, изменение количества инцидентов ИБ, квалификация пользователей в области ИБ и т. п.; чем ближе измеренные фактические значения целевых показателей к плановым, тем выше результативность СУИБ).
32
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Оценка деятельности по управлению ИБ
Определения:
Метрика - процесс получения количественного значения показателя, полученного в результате применения метода измерения к одному или нескольким объектам измеряемой системы
Показатель - мера измерения, дающую качественную или количественную оценку определенных атрибутов.
Мерой измерения - обобщенная характеристика свойств объекта (продукта или процесса), обозначающая результат измерения (переменную, которой присваивается некоторое полученное в результате измерения значение) в определенных единицах измерения
Измерение - процесс/действие/совокупность действий получения информации для нахождения значения (часто числового) измеряемого показателя (величины/атрибута в принятых единицах измерения).
Метрика безопасности (security metrics) – результат применения измеряемой СУИБ (в
данном случае различным процессам управления ИБ) для получения
количественного значения выбранного показателя метода измерения к одному или нескольким объектам
Параметры метрики:
•название метрики;
•описание, что измеряется
(показатель);
•как проводится измерение;
•как часто выполняется это
измерение;
•единица измерения;
•как рассчитываются пороговые
значения;
•диапазон значений, считающихся
нормальными;
•наилучшие возможные значения
33
метрики;
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Оценка деятельности по управлению ИБ Составляющие оценки деятельности по управлению ИБ:
Метрики безопасности: выработка метрик;
этапы использования метрик: измерение текущего значения метрики; интерпретация измеренного значения; исследование аномальных результатов измерений текущего значения; представление метрики (надлежащая визуализация имеет ключевое значение для ее правильной интерпретации); диагностирование ситуации (анализ альтернатив и их последствий, а также принятие бизнес-решений).
Пример: Функция управления: Управление инцидентами.
Ожидаемый обобщенный результат оценки: Насколько хорошо обнаруживаются, правильно идентифицируются, обрабатываются и устраняются последствия инцидентов ИБ.
Метрики безопасности: Стоимость инцидента ИБ (У). Средняя стоимость инцидента ИБ (У). Средняя стоимость восстановления после инцидента ИБ (О). Среднее время до выявления инцидента ИБ (О). Количество инцидентов ИБ (Т). Среднее время между инцидентами ИБ
(О). Среднее время восстановления после инцидента ИБ (О)
* (три класса метрик: У – управленческий, О – организационный; Т – технический)
Среднее время до выявления инцидента ИБ
Среднее время между инцидентами ИБ
∑ (Дата_обнаружения – Дата_происшествия) Общее количество инцидентов
∑ (Дата_происшествия_n – Дата_происшествия_n-1) Общее количество инцидентов
Среднее время восстановления после инцидента ИБ
∑ (Дата_восстановления – Дата_происшествия) |
|
Общее количество инцидентов |
34 |
|
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Оценка деятельности по управлению ИБ Составляющие оценки деятельности по управлению ИБ: Метрики безопасности:
выработка метрик; этапы использования метрик.
Измерения, связанные с ИБ
Основная (базовая) мера измерения (результат применения метода измерения к выбранным атрибутам объекта измерения). Производная мера
измерения (комбинация двух или более основных мер измерений; одна основная мера может использоваться в качестве исходных данных для нескольких производных мер).
Метод измерения (логическая последовательность операций, применяемых для количественной оценки атрибута с учетом заданной
шкалы).
Показатель (мера, дающая качественную или количественную оценку атрибутов, полученная на основе аналитической модели).
Результаты измерений (интерпретация применимым показателей на основе определенных критериев принятия решений.35
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Оценка деятельности по управлению ИБ Составляющие оценки деятельности по управлению
ИБ:
Метрики безопасности Измерения, связанные с ИБ Зрелость процессов СУИБ
Как развитие оценки деятельности по управлению ИБ с использованием метрик и мер измерений - оценка СУИБ на основе моделей зрелости.
Для этого необходимы:
1)требования к составу процессов управления ИБ организации.
2) эталонная модель зрелости процессов управления ИБ.
36
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Оценка деятельности по управлению ИБ Составляющие оценки деятельности по управлению ИБ: Зрелость процессов СУИБ
Пример: требования к составу процессов управления ИБ организации: это могут быть требования стандарта ISO/IEC 27001:2005 к СУИБ. Состав процессов:
•определение/уточнение области действия СУИБ и выбор подхода к оценке рисков ИБ;
•анализ и оценка рисков ИБ, варианты обработки рисков ИБ;
•определение/уточнение политики для СУИБ организации;
•выбор/уточнение целей ОИБ и защитных мер и их обоснование для минимизации рисков ИБ;
•принятие руководством организации остаточных рисков ИБ и решения о реализации и эксплуатации/совершенствовании СУИБ;
•разработка плана обработки рисков ИБ;
•реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СУИБ;
•реализация программ по обучению и осведомленности в области ОИБ;
•обнаружение и реагирование на инциденты ИБ;
•мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных с СУИБ;
•анализ эффективности СУИБ, включая анализ уровней остаточного и приемлемого рисков ИБ;
•внутренний аудит СУИБ;
•анализ СУИБ со стороны высшего руководства;
•реализация тактических улучшений в СУИБ, осуществляемых в рамках полномочий служб (ответственных) ИБ организации;
•реализация стратегических улучшений СУИБ, требующих принятия решений на уровне
|
руководства организации и инициирования процессов планирования СУИБ; использование |
|
|
опыта; |
|
• |
информирование об изменениях и их согласование с заинтересованными сторонами; |
37 |
• |
оценка достижения поставленных целей и потребностей в развитии СУИБ. |
|
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Оценка деятельности по управлению ИБ Составляющие оценки деятельности по управлению ИБ: Зрелость процессов СУИБ
Пример 2) эталонная модель зрелости процессов управления ИБ (одна из следующих):
Модель Capability Maturity Model - CMM (подход к управлению ИТ стандарта CobIT - Control Objectives for Information and related Technology) – показывает, насколько процесс управляем и эфективны управляющие воздействия. Зрелость процесса показывает, определен ли в конкретной организации этот процесс, документирован ли он и выполняются ли требования документов, а также насколько он управляем и соответствует лучшим практикам.
Модель SSE-CMM - развитие модели оценки зрелости CMM для оценки организациями безопасности своей инженерной практики, в частности, безопасности ПО, что помогает установить доверие к продуктам и услугам, предоставляемым инженерными организациями
Описанию SSE-CMM посвящен ISO/IECМЭК 21827:2002 «Information technology. Systems Security Engineering. Capability Maturity Model и его гармонизированный российский аналог ГОСТ Р ИСО/МЭК 21827–2010 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса» (дата введения 01.09.2011) .
Пример использования модели: СТО БР ИББС-1.0 2006 г. Определяет шесть уровней зрелости процессов СУИБ от 0 до 5.
Модель Gartner Group - выделяет четыре уровня – с нулевого по третий.
Модель Information Security Management Maturity Model. |
38 |
УИБ |
Тема 4.2 |
Концептуальные подходы к проверке и оценке деятельности по обеспечению ИБ
Оценка деятельности по управлению ИБ Составляющие оценки деятельности по управлению ИБ:
Зрелость процессов СУИБ Пример 2) эталонная модель зрелости процессов управления ИБ (одна из следующих):
Модель Gartner Group - выделяет четыре уровня – с нулевого по третий.
Нулевой уровень – необходимость ОИБ организацией в должной мере не осознана и формально такая задача не ставится. Выделенной службы ИБ нет. Служба автоматизации использует традиционные механизмы и средства защиты информации/
Первый уровень – проблема ОИБ рассматривается управлением организации как исключительно техническая. Выделенной службы ИБ нет. Организационные меры поддержания ИБ не принимаются
Второй уровень – важность ОИБ организацией осознана и рассматривается как взаимно увязанный комплекс организационных и технических мер. Внедрены методики анализа рисков ИБ, отвечающие минимальному (базовому) уровню защищенности ИС. Определены состав и структура штатной службы ИБ.
Третий уровень – проблема ОИБ организацией осознана в полной мере. Наряду с бизнес- культурой существует понятие культуры ИБ. Активно применяются методики полного количественного анализа рисков ИБ, а также соответствующие инструментальные средства.
Модель Information Security Management Maturity Model (ISM3) - специально разработанная модель зрелости для управления ИБ.
Описывает основные процессы управления ИБ, присущие большинству организаций. Выделяет задачи процессов ОИБ и метрики, непосредственно вытекающие из бизнес- целей организации.
Совместима со всеми основными стандартами и методологиями ( например, ISO 9001, ISO/IEC 27001 и ISO/IEC 27002, CobIT).
Предусматривает пять уровней зрелости: базовый (Basic), малый и средний бизнес (SME),
электронная коммерция (eCommerce), крупная организация (Enterprise) и военная |
39 |
организация (Military). |
УИБ |
Тема 4 |
Учебная дисциплина «Оценка защищенности информационных технологий»
Направление подготовки: 090900 «ИБ» (магистратура), Семестр: 3 Перечень тем:
Введение 1. Нормативная база оценки защищенности ИТ
1.1.Существующие стандарты и методологии проверки и оценки защищенности ИТ и СУИБ: их отличия, сильные и слабые стороны. История развития.
1.2.ISO/IEC 27004:2009 и ГОСТ Р ИСО/МЭК 27004-2011 – оценка функционирования СУИБ. 1.3.ISO/IEC 27006:2011 и ГОСТ Р ИСО/МЭК 27006-2008 – требования к органам,
осуществляющим аудит и сертификацию СУИБ.
1.4.ISO/IEC 27007:2011 и ISO/IEC 27008:2011 – руководства по аудиту СУИБ и средств управления ИБ, реализованных в СУИБ.
1.5.ISO 19011:2002 и ГОСТ Р ИСО 19011-2003 – рекомендации по аудиту систем менеджмента качества и/или окружающей среды.
2. Базовые вопросы проверки защищенности ИТ
2.1.Понятие процесса. Методы формализации процессов. Цели и задачи формализации процессов. Основные процессы. Понятие процессного подхода.
2.2.Цели и задачи процессов оценки защищенности ИТ и СУИБ. Важность процесса с точки зрения управления ИБ. Участники процесса. Связи с другими процессами СУИБ.
2.3.Входные/выходные данные процесса.
2.4.Процессный подход к разработке, реализации, эксплуатации, анализу, сопровождению и совершенствованию процессов проверки защищенности ИТ и СУИБ.
3. Виды проверок
3.1.Мониторинг ИБ. 3.2.Самооценка ИБ.
3.3.Внутренний и внешний аудиты ИБ.
3.4.Анализ СУИБ со стороны высшего руководства организации.
40