подтверждена.
Это подразумевает следующие вопросы: откуда мы получаем данные для измерений и контроля и где они будут храниться? Если исходная информация еще не доступна для измерений, то необходимо реализовать процессы для ее сбора. Это, в свою очередь, связано с вопросом о том, кто будет собирать данные (новая работа должна быть обоснована потенциальной выгодой организации от ее выполнения). Предполагает ли это централизованные или распределенные процессы сбора данных? Если источниками данных будут отделы и подразделения, находящиеся вне вашего контроля, то насколько достоверными могут быть эти сведения (возможны ли манипуляции цифрами)? Будут ли они отвечать вашим требованиям по форматам и срокам предоставления? Насколько вы можете автоматизировать сбор и обработку данных, встроив, например, отчет о безопасности в отчеты прикладных системы?
Чего действительно ожидает высшее руководство? Необходимо обсудить назначение и ожидаемые результаты измерений с руководителями и сотрудниками смежных подразделений. Следует придерживаться принципа «от простого к сложному». Система неизбежно будет развиваться. Следует начать с простых (типовых для практики организации), понятных отчетов, развивая их далее с учетом рекомендаций руководства. Если система отчетности измерений проектируется «с нуля», то есть возможность вариаций, может существовать возможность предоставления отчетности отличным от других направлений отчетности в организации образом, используя иные форматы представления и оформления содержания.
Разрабатывая метрики (структура, шкала, модели и методы измерений), следует оценить осуществимость и эффективность процессов измерений и полезность выбранной метрики в ограниченном масштабе, прежде чем развертывать их во всей организации. То, что хорошо выглядит в теории, может не оказаться эффективным в практике. Экспериментальные исследования и опытная эксплуатация являются уместным методом отработки оптимальных конфигураций в процессах сбора и анализа, принятия решения о том, является ли метрика действительно наглядной для принятия решений по итогам измерений.
Являются ли данные достаточно точными? Может не требоваться совершенная точность, но определенно необходимым является то, чтобы цифры были правдоподобными и воспроизводимыми. Следует ожидать, что руководству могут быть необходимы сведения об источнике данных, процедурах их сбора, анализа и формах представления.
Далее рассмотрим, как работают процессы аудита в функциях контроля обеспечения информационной безопасности бизнеса.
3. Оценка информационной безопасности бизнеса. Проблема измерения и оценивания информационной безопасности бизнеса
3.1. Способы оценки информационной безопасности
Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ (СОИБ). СОИБ представляет собой совокупность аппаратно-программных, технических и организационных защитных мер (ЗМ), функционирующих под управлением СМИБ и процессов осознания ИБ, инициирующих и поддерживающих деятельность по менеджменту ИБ.
Желание иметь СОИБ, адекватную целям ИБ организации по обеспечению доступности, целостности и конфиденциальности информационных активов, приводит к стремлению совершенствовать СОИБ. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учетом контекста оценки.
Критерии оценки — это все то, что позволяет установить значения оценки для объекта оценки. В качестве критериев оценки ИБ могут использоваться требования ИБ, процедуры ИБ, сочетание требований и процедур ИБ, уровень инвестиций, затрат на ИБ.
К свидетельствам оценки ИБ относятся записи, изложение фактов или любая информация, которая имеет отношение к критериям оценки ИБ и может быть проверена. Такими свидетельствами оценки ИБ могут быть доказательства выполняемой и выполненной деятельности по обеспечению ИБ в виде отчетных, нормативных, распорядительных документов, результатов опросов, наблюдений.
Контекст оценки ИБ объединяет цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки и роли.
Модель оценки ИБ определяет сферу оценки, отражающую контекст оценки ИБ в рамках критерия оценки ИБ, отображение и преобразование оценки в параметры объекта оценки, а также устанавливает показатели, обеспечивающие оценку ИБ в сфере оценки.
В общем виде процесс проведения оценки ИБ (рис. 53) представлен основными компонентами процесса: контекст, свидетельства, критерии и модель оценки, — необходимыми для реализации процесса оценки.
Оценка ИБ заключается в выработке оценочного суждения относительно пригодности (зрелости) процессов обеспечения ИБ, адекватности используемых защитных мер или целесообразности (достаточности) инвестиций (затрат) для обеспечения необходимого уровня ИБ на основе измерения и оценивания критических элементов (факторов) объекта оценки.
Наряду с важнейшим назначением оценки ИБ — создание информационной потребности для совершенствования ИБ, возможны и другие цели проведения оценки ИБ такие, как:
— определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;
— выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;
— сравнение зрелости различных процессов обеспечения ИБ и сравнение степени соответствия различных защитных мер установленным требованиям.
Результаты оценки ИБ организации могут также использоваться заинтересованной стороной для сравнения уровня ИБ организаций с одинаковым бизнесом и сопоставимым масштабом.
В зависимости от выбранного для оценки ИБ критерия можно разделить способы оценки ИБ организации (рис. 54) на оценку по эталону, риск-ориентированную оценку и оценку по экономическим показателям.
Способ оценки ИБ по эталону сводится к сравнению деятельности и мер по обеспечению ИБ организации с требованиями, закрепленными в эталоне. По сути дела проводится оценка соответствия СОИБ организации установленному эталону. Под оценкой соответствия ИБ организации установленным критериям понимается деятельность, связанная с прямым или косвенным определением выполнения или невыполнения соответствующих требований ИБ в организации. С помощью оценки соответствия ИБ измеряется правильность реализации процессов системы обеспечения ИБ организации и идентифицируются недостатки такой реализации.
В результате проведения оценки ИБ должна быть сформирована оценка степени соответствия СОИБ эталону, в качестве которого могут быть приняты (в совокупности и отдельно):
