В. Андрианов - Обеспечение информационной безопасности бизнеса
В ISO/IEC 15504 [29] определена модель оценки зрелости, основу которой составляют идентифицированные атрибуты оцениваемых процессов, представляющие измеримые характеристики возможностей того или иного процесса, и методы их оценивания.
Стандартом определена следующая шкала рейтингов оценки процесса, определяющих степень достижения определенных значений для оцениваемого атрибута процесса:
— N — не достигнуто: мало или нет свидетельств достижения определенным атрибутом оцениваемого процесса некоторого желаемого значения;
— P — частично достигнуто: существуют некоторые свидетельства приближения к желаемому значению определенного атрибута оцениваемого процесса;
— L — в значительной степени достигнуто: существуют свидетельства систематического приближения к определенному значению атрибута оцениваемого процесса, в оцениваемом процессе могут существовать некоторые слабые места, связанные с этим атрибутом;
— F — полностью достигнуто: существуют свидетельства полного и систематического приближения к определенному значению атрибута оцениваемого процесса, никаких слабых мест, связанных с этим атрибутом, в оцениваемом процессе не существует.
Фактически рассматриваются определенные показатели атрибутов процессов, которые ранжируются по 4-уровневой шкале оценивания. Значения для оцениваемых параметров следующие:
— N — не достигнуто — от 0 до 15 %;
— P — частично достигнуто — от >15 до 50 %;
— L — в значительной степени достигнуто — от >50 до 85 %;
— F — полностью достигнуто — от >85 до 100 %.
При этом любая интересующая задача, представленная в спецификации процессного подхода с выделенными атрибутами данного процесса и установленным методом измерения данных атрибутов, может быть далее оценена на основе следующей обобщенной модели зрелости (уровням возможностей — рейтингам) процесса как представлено в таблице 10.
Таблица 10
Для целей определения рейтинга (уровня) зрелости процесса выделяются характеризующие его атрибуты, которые можно было бы измерить, по следующим позициям:
— функционирование процесса — процесс выполняется и формирует определенные результаты;
— менеджмент функционирования — процесс управляем в контексте его назначения и целей процесса;
— менеджмент рабочего продукта — осуществляется управление результатами процесса в части их содержания и потребностей использования;
— формализация процесса — имеется полная формальная модель процесса, и его реализация осуществляется в соответствии со спецификацией;
— развертывание процесса — реализацией процесса охвачены все вовлеченные стороны;
— количественная оценка процесса — определены и используются количественные метрики процесса;
— контроль процесса — процесс контролируется во всех составляющих его работах и операциях;
— инновация процесса — разрабатываются и внедряются передовые технологии для работ и операций процесса;
— оптимизация процесса — осуществляются меры по улучшению процесса, результаты которых оцениваемы в количественном или качественном выражении.
Для оценки ИБ на основе модели зрелости необходимы два основных источника:
— требования к составу процессов менеджмента ИБ организации — требования ГОСТ Р ИСО / МЭК 27001;
— эталонная модель зрелости процессов ИБ.
Для идентифицированных процессов обеспечения ИБ должны быть разработаны:
— описание каждого из процессов в терминах уровней зрелости эталонной модели;
— методика оценки зрелости процессов, включающая анкеты для оценки возможностей процессов, в соответствии с заявленным уровнем зрелости.
С учетом анализа содержания и семантики требований ГОСТ Р ИСО/МЭК 27001 можно выделить следующие 17 процессов СМИБ организации:
— определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ;
— анализ и оценка рисков ИБ, варианты обработки рисков ИБ;
— определение/уточнение политики для СМИБ организации;
— выбор/уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ;
— принятие руководством организации остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ;
— разработка плана обработки рисков ИБ;
— реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ;
— реализация программ по обучению и осведомленности ИБ;
— обнаружение и реагирование на инциденты безопасности ИБ;
— мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ;
— анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ;
— внутренний аудит СМИБ;
— анализ СМИБ со стороны высшего руководства;
— реализация тактических улучшений в СМИБ, осуществляемых в рамках полномочий служб (ответственных) ИБ организации;
— реализация стратегических улучшений СМИБ, требующих принятия решений на уровне руководства организации и инициирования процессов планирования СМИБ; использование опыта;
— информирование об изменениях и их согласование с заинтересованными сторонами;
— оценка достижения поставленных целей и потребностей в развитии СМИБ.
В [31] рассмотрен пример описания модели зрелости процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ», который приведен ниже.
Для процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» 4.2.1 c)÷f) СМИБ организации, определенной требованиями пунктами ГОСТ Р ИСО/МЭК 27001, описание модели его зрелости может быть определено следующим образом (приведем в качестве примера фрагменты описания нулевого, первого, третьего и пятого уровней зрелости процесса).
Модель зрелости
0-й уровень
На данном уровне наблюдается полное отсутствие определенного процесса по анализу и оценке рисков ИБ.
Не проводится оценка рисков ИБ для проектов, разрабатываемых стратегий и решений. Руководство организации не осознает возможных последствий для бизнеса организации, связанные с реализациями угроз ИБ, в спектре рисков организации не рассматриваются риски ИБ…
1-й уровень
В организации существуют документально зафиксированные свидетельства осознания руководством существования проблем обеспечения ИБ. В частности, определена и документально зафиксирована область действия СМИБ.
