В. Андрианов - Обеспечение информационной безопасности бизнеса
Оценка на основе показателя TCO позволяет оценить затраты на информационную безопасность и сравнить ИБ организации с типовым профилем защиты, а также управлять затратами для достижения требуемого уровня защищенности.
Основные этапы оценки эффективности СОИБ на основе модели TCO включают сбор данных о текущем уровне ТСО, анализ областей обеспечения ИБ, выбор сравнимой модели ТСО в качестве критерия оценки, сравнение показателей с критерием оценки, формирование оценки ИБ.
Однако этот способ оценки требует создания общей информационной базы данных об эффективности СОИБ организаций схожего бизнеса и постоянной поддержки базы данных в актуальном состоянии. Такое информационное взаимодействие организаций, как правило, не соответствует целям бизнеса. Поэтому оценка ИБ на основе показателя TCO практически не применяется.
Далее рассмотрим подробнее способ оценки ИБ на основе эталона и способ риск-ориентированной оценки ИБ.
3.2. Процесс оценки информационной безопасности
3.2.1. Основные элементы процесса оценки
Процесс оценки ИБ включает следующие элементы проведения оценки:
— контекст оценки, который определяет входные данные: цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки, а также роли и ресурсы;
— критерии оценки;
— модель оценки;
— мероприятия процесса оценки: сбор свидетельств оценки и проверка их достоверности, измерение и оценивание атрибутов объекта оценки;
— выходные данные оценки.
Основные элементы процесса оценки ИБ [25] представлены на рис. 55 в виде процессной модели.
Прежде чем рассмотреть особенности способов оценки ИБ организации необходимо описать общие для любой оценки ИБ компоненты: контекст оценки, сбор свидетельств оценки и проверка их достоверности, измерение и оценивание атрибутов при проведении оценки различного вида (независимая оценка, самооценка) и выходные данные оценки. Модель оценки и критерии оценки, определяющие особенности способов оценки, будут рассмотрены в других разделах.
Рассмотрим подробнее элементы процесса оценки ИБ организации.
3.2.2. Контекст оценки информационной безопасности организации
Контекст оценки ИБ включает цели и назначение оценки ИБ, вид оценки, объект и области оценки ИБ, ограничения оценки, роли и ресурсы.
К ролям, участвующим в реализации процесса оценки, относятся организатор, аналитик, руководитель группы оценки, оценщик, владелец активов, представитель объекта оценки.
Организатор (заказчик) оценки ИБ формирует цель оценки (совершенствование объекта оценки, определение соответствия объекта оценки установленным критериям и т. д.) и определяет критерий оценки, объект и область оценки. Под организатором оценки понимается лицо или организация, являющиеся внутренними или внешними по отношению к оцениваемому объекту оценки, которые организуют проведения оценки и предоставляют финансовые и другие ресурсы, необходимые для ее проведения. Организатор должен обеспечить доступ группы оценки (руководитель группы оценки, оценщик) к активам объекта оценки для изучения, к персоналу для проведения опросов, к инфраструктуре, необходимой во время оценивания. Хотя руководство объекта оценки напрямую не имеет никаких конкретных обязанностей по проведению оценивания, осознание важности оценки имеет очень большое значение. Это особенно актуально в том случае, когда организатор оценки не является членом руководства объекта оценки.
По завершении оценки организатор передает отчетные документы по оценке заинтересованным сторонам для использования их в соответствии с заявленной целью оценки.
Аналитик оценки ИБ выбирает способ оценки ИБ, модель оценки и определяет методическое и информационное обеспечение оценки, т. е. методики, данные для оценки. Аналитик оценки анализирует результаты оценки и формирует отчет и рекомендации по результатам оценки ИБ.
Руководитель группы оценки и оценщик измеряют и оценивают свидетельства оценки, предоставленные владельцами активов, и формируют результаты оценки. Руководитель группы должен распределить ответственность между членами группы за оценивание конкретных процессов, подразделений, областей или видов деятельности объекта оценки. Такое распределение должно учитывать потребность в независимости, компетентности специалистов по оценке и результативном использовании ресурсов. Мероприятия по измерению и оцениванию выполняются исключительно руководителем группы оценки и оценщиком, входящими в группу оценки. Другой персонал (представитель объекта оценки, технический эксперт) может участвовать в работе группы оценки для обеспечения специализированных знаний или консультаций. Они могут обсуждать с оценщиком формулировки суждений, но не будут нести ответственность за окончательную оценку.
На рис. 56 показаны роли процесса оценки ИБ и основные функции, выполняемые ролями.
Важным аспектом при определении контекста оценки является вид оценки: независимая или самооценка. В зависимости от вида оценки различается отношение ролей процесса оценки и объекта оценки.
Независимая оценка достигается путем проведения оценки группой оценки, члены которой независимы от объекта оценки. Организатор оценки может относиться к той же организации, к которой относится объект оценки, но не обязательно к оцениваемому объекту оценки. Степень независимости может варьироваться в соответствии с целью и областью оценки. В случае внешнего организатора оценки предполагается наличие взаимного соглашения между организатором оценки и организацией, к которой относится объект оценки. Представитель объекта оценки принимает участие в формировании свидетельств оценки, обеспечивает взаимодействие группы оценки с владельцами активов. Их участие в проведении оценки дает возможность определить и учесть особенности объекта оценки, обеспечить достоверность результатов. Самооценка выполняется организацией с целью оценки собственной СОИБ. Организатор самооценки обычно входит в состав объекта оценки, как и члены группы оценки.
Область оценки может включать, например, один или несколько процессов объекта оценки, например, организатор может сосредоточить внимание на одном или нескольких критических процессах и /или защитных мерах. Выбор объекта оценки должен отражать намеченное использование организатором выходных данных оценки. Например, если выходные данные предназначены для использования при совершенствовании деятельности по обеспечению ИБ, то область оценки должна соответствовать области намеченных работ по совершенствованию. Область оценки может быть любой: от отдельного процесса до всей организации. В контексте оценки должно быть представлено подробное описание объекта оценки, включающее размеры объекта оценки, область применения продуктов или услуг объекта оценки, основные характеристики (например, объем, критичность, сложность и качество) продуктов или услуг объекта оценки.
