Обеспечение информационной безопасности бизнеса

процессов обеспечения ИБ с соответствующими процессами и представляющими интерес атрибутами процессов. С помощью метода измерения атрибуты преобразовываются в основные меры (частные показатели), с помощью производных мер формируются групповые показатели.

Примеры метрик из [30] и [23] для измерения атрибутов представлены в приложении 3

Для оценивания функционирования (правильности реализации) любого процесса введем групповой (векторный) показатель функционирования

объединяющий частные показатели разных видов:

— частные показатели правильности реализации входных атрибутов

— частные показатели правильности реализации атрибутов управления

— частные показатели правильности реализации атрибутов ресурсов

— частные показатели правильности реализации атрибутов мероприятий

— частные показатели правильности реализации выходных атрибутов

Для каждого атрибута процесса, когда Y(u), и Y^TP — неслучайные (детерминированные) переменные, функция соответствия служит частным показателем функционирования:

где m_k — число атрибутов определенного вида, k = 5.

Введение векторного показателя функционирования накладывает дополнительные требования: минимальность числа частных показателей и полнота. Требование минимальности числа частных показателей связано со стремлением к снижению трудоемкости оценивания, однако при сохранении полноты охвата атрибутов процесса.

В зависимости от вида функции соответствия можно получить различные значения частных показателей функционирования. Вид функции соответствия определяется преобразованиями, которые допустимы в выбранных для метода измерения шкалах.

Например, пусть событие А означает достижение атрибута процесса требуемого значения. Вероятность Р_и (А) наступления этого события зависит от стратегии и ? U. Тогда функция соответствия р в этом случае вводится как переменная, которая может принять лишь два значения 0 или 1, т. е.

Частные показатели могут иметь различную размерность. Поэтому при формировании группового показателя необходимо оперировать с нормированными значениями показателей.

Характеристики и свойства процессов обеспечения ИБ, которые несут атрибуты, не равнозначные с точки зрения реализации этих процессов. Поэтому необходимо определить способ объединения частных показателей (рис. 60) при формировании групповых показателей из частных. Наиболее часто применяемой производной мерой является усреднение объединяемых основных мер, т. е. групповые показатели формируются путем усреднения частных показателей, предполагая их равную значимость:

где W_j — групповой показатель j-го процесса;

W_ji — частный показатель i-го атрибута j-го процесса;

n — число показателей всех измеряемых атрибутов j-го процесса.

Вычисление среднего значения для количественных показателей или вычисление медианы для качественных показателей дают хорошие результаты с точки зрения понимания правильности реализации процессов, однако адекватность такой обобщенной оценки не столь высока ввиду различной значимости оцениваемых атрибутов. Повысить адекватность обобщенной оценки процессов позволяет использование коэффициентов значимости (весовых коэффициентов) частных показателей.

Под значимостью частного показателя будем понимать важность оцениваемых частным показателем атрибутов процессов обеспечения ИБ с точки зрения функционирования (правильности реализации) этих процессов.

Групповые показатели при различной значимости частных показателей вычисляются следующим образом:

где ?_ji — коэффициент значимости частного показателя i-го атрибута j-го процесса.

Значимость атрибутов процессов обеспечения ИБ может быть определена с помощью экспертных методов (непосредственной численной оценки, балльного оценивания, относительных частот рангов), основанных на субъективной оценке значимости экспертами, и аналитических методов с использованием формализованных процедур, снижающих субъективность оценки. Экспертные методы просты, субъективны. Аналитические методы менее субъективны, но сложны. Кроме того, они не ориентированы на процессный подход к оценке.

Комплексный показатель оценки ИБ (рис. 60) формируется как производная мера, объединяющая групповые показатели. Модель объединения групповых показателей может быть такой же, как модель объединения частных показателей, но со своими коэффициентами значимости. Другим вариантом модели объединения может быть модель предпочтения, когда значение комплексного показателя определяется по самому низкому значению показателя среди наиболее значимых групповых показателей.

3.3.2. Оценка информационной безопасности на основе модели зрелости процессов

Рассмотрим применение оценки возможности (оценки зрелости) процессов для оценки ИБ организации.

В ISO/IEC 15504 [29] определена модель оценки зрелости, основу которой составляют идентифицированные атрибуты оцениваемых процессов, представляющие измеримые характеристики возможностей того или иного процесса, и методы их оценивания.

Стандартом определена следующая шкала рейтингов оценки процесса, определяющих степень достижения определенных значений для оцениваемого атрибута процесса:

— N — не достигнуто: мало или нет свидетельств достижения определенным атрибутом оцениваемого процесса некоторого желаемого значения;

— P — частично достигнуто: существуют некоторые свидетельства приближения к желаемому значению определенного атрибута оцениваемого процесса;

— L — в значительной степени достигнуто: существуют свидетельства систематического приближения к определенному значению атрибута оцениваемого процесса, в оцениваемом процессе могут существовать некоторые слабые места, связанные с этим атрибутом;

— F — полностью достигнуто: существуют свидетельства полного и систематического приближения к определенному значению атрибута оцениваемого процесса, никаких слабых мест, связанных с этим атрибутом, в оцениваемом процессе не существует.

Фактически рассматриваются определенные показатели атрибутов процессов, которые ранжируются