метрика - Russian CSO Summit

реклама
Как объективно оценить
эффективность работы
службы информационной
безопасности
Андрей Голов
Заместитель коммерческого директора
CISSP, CISA, IT-MBA
О чем пойдет речь
 Какие задачи могут быть решены с помощью
метрик
 Что собой представляют метрики
 Создание и использование метрик
 Выводы
Постановка задачи
Компания нуждается в совершенствовании
системы управления
Компания находится на определенном
уровне зрелости
Нужно оценить эффективность управления
деятельностью по обеспечению ИБ
компании
– оценить эффективность управления затратами на ИБ
– обосновать операционный бюджет на ИБ
– связь с ключевыми показателями эффективности компании
и системой мотивации
Нужно сравнить деятельность компаний по
обеспечению ИБ («чем я лучше?»)
Типовые вопросы бизнеса
Сегодня мы стали более безопаснее чем были вчера?
Как уровень нашей безопасности сравнить с другими?
Мы достаточно защищены?
Почему надо столько вкладывать ресурсов в
безопасность?
Как и на основании чего мы управляем нашими
рисками?
Является ли архитектура А более безопасной в
терминах (конфиденциальности, целостности,
доступности)?
Что является наиболее важной частью системы при
тестировании, с точки зрения безопасности?
Оценка качества деятельности
Ключевой показатель
эффективности
(метрика) является
основным элементом в
оценке качества
предоставляемых услуг
по ИБ.
Полезность определенных метрик зависит от
уровня зрелости СУИБ компании
Процедуры и
контроли
протестированы
Процедуры и
контроли
внедрены
Процедуры и
контроли
интегрированы
Фокус на метрики оценки ущерба
Процедуры
разработаны
Фокус на метрики оценки эффективности
Политики
разработаны
Фокус на внедрении метрик
Использование нужных метрик затруднено, сбор данных затруднителен
NIST SP 800-26
Ценность метрик ИБ
Дают текущее представление об эффективности
деятельности (достижение целей)
Помогают организации выдерживать избранное
направление развития деятельности
Позволяют выявить существенные аномалии в процессах
и принять обоснованные решения по их исправлению или
улучшению
Позволяют более эффективно распределять имеющиеся
ресурсы
Полученная информация может использоваться в
качестве критериев выплаты вознаграждения сотрудникам
Источники метрик
NIST Special Publication 800-55 «Security Metrics
Guide for Information Technology Systems»
ISO 27004 Information security management —
Measurement NIST Special Publication
The Center for Internet Security, «CIS Security
Metrics v1.1.0»
Andrew Jaquith, «Security Metrics. REPLACING
FEAR, UNCERTAINTY, AND DOUBT»
Wayne Jansen, NISTIR 7564, «Directions in Security
Metrics Research»
Какой должна быть метрика
(S.M.A.R.T)
 Конкретная (Specific): метрика должна быть
конкретной, ясной и иметь непосредственное
отношение к измеряемому процессу
 Измеримая (Measurable): должна существовать
возможность однозначно количественно измерить ее
 Практически применимая (Actionable): должна
существовать возможность воздействия на процесс
для улучшения метрики
 Значимая (Relevant): улучшение метрики должно
означать повышение вклада процесса в достижение
целей безопасности
 Своевременная (Timely): метрику должно быть
возможно достаточно быстро измерить
George Jelen, “SSE-CMM Security Metrics”
Создание метрик.
Атрибуты
Название метрики
Описание того, что измеряется
Как проводится измерение метрики и как
часто оно выполняется
Как рассчитываются пороговые значения
Диапазон значений, считающихся
нормальными для метрики
Наилучшие возможные значения метрики
Единицы измерения
Создание метрик
Типы метрик
– Стратегические метрики управления
– Операционные метрики
– Технические метрики
 Типовые процессы, для которых можно разработать
метрики:
–
–
–
–
–
–
–
Управление инцидентами
Управление уязвимостями
Управление обновлениями
Управление конфигурациями
Управление изменениями
Управление финансами (бюджетирование)
Управление осведомленностью/обучение
Создание метрик.
Примеры
Стратегические метрики управления
(цель – определение влияния на бизнес, заказчик – бизнес):
– Усредненная стоимость инцидента
– Процент соответствия политикам/стандартам
– Процент ИТ бюджета, потраченного на обеспечение ИБ
Операционные метрики
(цель – оптимизация деятельности по обеспечению ИБ,
заказчик – подразделение ИБ)
–
–
–
–
Усредненное время обнаружения уязвимости
Усредненное время восстановления после инцидента
Усредненное время установления патча
Усредненная стоимость установления патча
Технические метрики
Создание метрик. Ошибки
Количество отраженный вирусных атак
Как Ваша компания может повлиять на количество создаваемых и
запускаемых вирусов?
Снижение рисков на 10% в год
Поскольку риски зависят не только от внутренних, но и от внешних
факторов, что Вы можете сделать, чтобы реально изменить риски?
Предотвращение 99% инцидентов
Как Вы узнаете, сколько инцидентов не произошло (было
предотвращено)?
Количество случаев разглашения конфиденциальной
информации в год
Что Вы можете сделать, чтобы предотвратить разглашение
информации людьми, которые имеют к ней санкционированный
доступ?
Создание метрик. Источники
Система контроля изменений
Антивирусные/антиспам системы
Системы класса ServiceDesk
Системы управления доступом/IDS/IPS
Системы управления проектами/трудозатратами
Результаты аудитов
Системы восстановления/резервного копирования
Системы инвентаризации
Системы мониторинга и управления уязвимостями
Системы контроля соответствия стандартам
Системы управления инцидентами
Процесс управления эффективностью
Определить цели и задачи ИБ
Выбрать процессы, необходимые для совершенствования
Определить людей, участвующих в оценке эффективности ИБ
Сформировать необходимые метрики (характеристики)
Настроить источники событий
Увязать с уровнем зрелости системы управления компанией
Включить в процесс внутреннего контроля/аудита
Выводы
Метрики помогут объяснить бизнесу деятельность
по обеспечению ИБ (процесс достижения целей и
отслеживание процесса на регулярной основе)
Метрики позволят интегрироваться в систему
сбалансированных показателей, построить KPI, связать с
системой мотивации
Метрики позволят осуществить связь различных процессов –
управление программой ИБ, управление бюджетированием,
связать процессы СУИБ
Метрики позволят сформировать начальный уровень по
обеспечению ИБ в холдингах и проверить выполнение
критериев
Метрики только инструмент!
Метрики позволят усовершенствовать СУИБ и помочь в:
Ориентации на бизнес цели компании
Интеграции в систему управления компанией
Учете рисков ИБ
Постоянном улучшении
Принятии решений, основанных на фактах
Использовании мирового опыта
Соответствии комплайнс целям
ВОПРОСЫ ?
Голов Андрей
Заместитель коммерческого директора
ЗАО НИП «Информзащита»
•
•
(495) 980 23 45
a.golov@infosec.ru
Скачать