Обеспечение информационной безопасности бизнеса

по 4-уровневой шкале оценивания. Значения для оцениваемых параметров следующие:

— N — не достигнуто — от 0 до 15 %;

— P — частично достигнуто — от >15 до 50 %;

— L — в значительной степени достигнуто — от >50 до 85 %;

— F — полностью достигнуто — от >85 до 100 %.

При этом любая интересующая задача, представленная в спецификации процессного подхода с выделенными атрибутами данного процесса и установленным методом измерения данных атрибутов, может быть далее оценена на основе следующей обобщенной модели зрелости (уровням возможностей — рейтингам) процесса как представлено в таблице 10.

Таблица 10

Для целей определения рейтинга (уровня) зрелости процесса выделяются характеризующие его атрибуты, которые можно было бы измерить, по следующим позициям:

— функционирование процесса — процесс выполняется и формирует определенные результаты;

— менеджмент функционирования — процесс управляем в контексте его назначения и целей процесса;

— менеджмент рабочего продукта — осуществляется управление результатами процесса в части их содержания и потребностей использования;

— формализация процесса — имеется полная формальная модель процесса, и его реализация осуществляется в соответствии со спецификацией;

— развертывание процесса — реализацией процесса охвачены все вовлеченные стороны;

— количественная оценка процесса — определены и используются количественные метрики процесса;

— контроль процесса — процесс контролируется во всех составляющих его работах и операциях;

— инновация процесса — разрабатываются и внедряются передовые технологии для работ и операций процесса;

— оптимизация процесса — осуществляются меры по улучшению процесса, результаты которых оцениваемы в количественном или качественном выражении.

Для оценки ИБ на основе модели зрелости необходимы два основных источника:

— требования к составу процессов менеджмента ИБ организации — требования ГОСТ Р ИСО / МЭК 27001;

— эталонная модель зрелости процессов ИБ.

Для идентифицированных процессов обеспечения ИБ должны быть разработаны:

— описание каждого из процессов в терминах уровней зрелости эталонной модели;

— методика оценки зрелости процессов, включающая анкеты для оценки возможностей процессов, в соответствии с заявленным уровнем зрелости.

С учетом анализа содержания и семантики требований ГОСТ Р ИСО/МЭК 27001 можно выделить следующие 17 процессов СМИБ организации:

— определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ;

— анализ и оценка рисков ИБ, варианты обработки рисков ИБ;

— определение/уточнение политики для СМИБ организации;

— выбор/уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ;

— принятие руководством организации остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ;

— разработка плана обработки рисков ИБ;

— реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ;

— реализация программ по обучению и осведомленности ИБ;

— обнаружение и реагирование на инциденты безопасности ИБ;

— мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ;

— анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ;

— внутренний аудит СМИБ;

— анализ СМИБ со стороны высшего руководства;

— реализация тактических улучшений в СМИБ, осуществляемых в рамках полномочий служб (ответственных) ИБ организации;

— реализация стратегических улучшений СМИБ, требующих принятия решений на уровне руководства организации и инициирования процессов планирования СМИБ; использование опыта;

— информирование об изменениях и их согласование с заинтересованными сторонами;

— оценка достижения поставленных целей и потребностей в развитии СМИБ.

В [31] рассмотрен пример описания модели зрелости процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ», который приведен ниже.

Для процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» 4.2.1 c)?f) СМИБ организации, определенной требованиями пунктами ГОСТ Р ИСО/МЭК 27001, описание модели его зрелости может быть определено следующим образом (приведем в качестве примера фрагменты описания нулевого, первого, третьего и пятого уровней зрелости процесса).

Модель зрелости

0-й уровень

На данном уровне наблюдается полное отсутствие определенного процесса по анализу и оценке рисков ИБ.

Не проводится оценка рисков ИБ для проектов, разрабатываемых стратегий и решений. Руководство организации не осознает возможных последствий для бизнеса организации, связанные с реализациями угроз ИБ, в спектре рисков организации не рассматриваются риски ИБ…

1-й уровень

В организации существуют документально зафиксированные свидетельства осознания руководством существования проблем обеспечения ИБ. В частности, определена и документально зафиксирована область действия СМИБ.

Информационные активы определены, составлен перечень их уязвимостей и вероятности использования уязвимостей угрозами. Просчитан ущерб от возможной реализации угроз, а также определены оценки актуальности угроз.

Процесс анализа и оценки рисков как таковой нестандартизирован. Деятельности в рамках процесса оценки и анализа рисков применяются эпизодически и бессистемно. Создана, но не обновляется база инцидентов ИБ. Определены приоритеты рисков, но данные приоритеты учитывают не все инциденты ИБ…

3-й уровень

Существует политика организации, в которой определяется периодичность и область оценки рисков ИБ. Процесс оценки рисков документирован и стандартизирован, суть процесса доводится до заинтересованного персонала посредством обучения базовым принципам безопасности, оценки и анализа рисков ИБ. Разработан план работ по оценке рисков. Методология оценки рисков с большой степенью вероятности гарантирует, что основные риски ИБ будут выявлены, поскольку результаты деятельности в рамках процесса по оценке и анализу рисков согласованы с соответствующими политиками, стандартами и /или процедурами…