Обеспечение информационной безопасности бизнеса
Шрифт:
Методы измерения могут быть субъективными или объективными. Субъективные методы полагаются на количественное измерение, включающее мнение человека, тогда как объективные методы используют количественное определение, основанное на числовых правилах, которые могут быть реализованы с помощью ручных или автоматических средств.
Функция измерения определяет, как основные меры объединяются в производную меру. Производная мера — способ объединения двух или более основных мер.
Функции измерения могут включать разнообразные приемы, такие как усреднение всех основных мер, применение весовых коэффициентов к основным мерам или присвоение качественных значений основным мерам перед их объединением в производные меры.
Для каждой меры должна
Показатели будут формироваться путем объединения производных мер и интерпретации их на основе критериев принятия решений.
Для каждого показателя должны быть идентифицированы и задокументированы основанные на целях информационной безопасности критерии принятия решений, которые устанавливают максимальное значение показателя, и предоставляют руководство для интерпретации текущего значения показателя.
В таблицах 3–6 показаны примеры проведения измерения и оценивания атрибута.
Таблица 3
Таблица 4
Таблица 5
Окончание табл. 5
Таблица 6
Сообщение результатов оценки может проходить неформально при внутренней оценке или происходить в форме подробного отчета при независимой внешней оценке. Кроме того, для представления результатов оценки могут быть подготовлены и другие выводы и предлагаемые планы действий, рекомендации, в зависимости от назначения оценки. Результаты могут быть представлены в абсолютных выражениях или в относительных выражениях в сравнении с результатами предыдущих оценок, контрольными данными, в сравнении с деловыми потребностями и т. д. Результаты оценки ИБ обычно используются в качестве основы для определения рисков ИБ и разработки плана совершенствования СОИБ.
Выходные данные оценки включают дату проведения оценки, входные данные оценки, собранные свидетельства оценки, описание используемого процесса измерения и оценивания. Зарегистрированные выходные данные оценки могут сохраняться в различной форме — бумажной или электронной — в зависимости от обстоятельств и инструментов, использованных для проведения и поддержки оценки.
На основе любого соглашения об обеспечении конфиденциальности или ограничений доступа зарегистрированные данные могут сохраняться организатором оценки или руководством объекта оценки.
Важные факторы достижения цели оценки ИБ следующие:
— осознание и мотивация руководства организации;
— конфиденциальность;
— доверие.
Позиция руководства организации оказывает существенное влияние на процесс оценки. Поэтому руководство организации должно побуждать участников оценки к открытости и конструктивности. Оценка объекта сосредотачивается на оценке процессов, процедур, защитных мер, а не на функционировании персонала объекта оценки. Смысл оценки состоит в том, чтобы сделать объект
Обеспечение обратной связи и поддержка атмосферы, поощряющей открытое обсуждение предварительных выводов во время оценивания, содействуют обеспечению того, чтобы выходные данные оценки были значимыми для объекта оценки. Руководителям организации и персоналу объекта оценки необходимо осознавать, что участники оценки являются основным источником знаний и опыта, связанных с процессом, и что руководители и персонал имеют хорошую возможность для идентификации потенциальных слабых мест.
Уважение к конфиденциальности источников информации и документации, собранной во время оценивания, необходимо для обеспечения безопасности этой информации. В тех случаях, когда используются опросы или обсуждения, следует обратить внимание на обеспечение того, чтобы их участники не ощущали угрозы или не испытывали какого-либо беспокойства в отношении конфиденциальности. Некоторая из предоставленной информации может составлять собственность организации, поэтому важно наличие адекватных средств контроля для обращения с такой информацией.
Организатор оценки, руководство и персонал объекта оценки должны верить в то, что оценка принесет результат, являющийся объективным для объекта оценки. Важно, чтобы все стороны могли быть уверены в том, что специалисты по оценке обладают адекватными знаниями и опытом для проведения оценки, беспристрастны и обладают адекватным пониманием объекта оценки и его бизнеса для проведения оценки.
3.2.4. Способы измерения атрибутов объекта оценки
Атрибуты, выделенные для измерения как критические элементы процесса, процедуры, защитной меры или объекта оценки, должны быть представлены в удобном для анализа виде с целью адекватного преобразования атрибута в основную меру. Оценщик получает больше возможностей для адекватного представления атрибута основной мерой, если измеряемый атрибут будет дополнен элементами, отражающими контекст оценки.
В настоящее время используются две формы описания измеряемого атрибута: анкеты и метрики.
Для подготовки процесса измерения атрибутов с помощью анкет требуется (см. рис. 58):
— выделить среди атрибутов критические, т. е. те атрибуты, которые позволят достичь цели оценки, и сформировать вопросы анкеты;
— определить с помощью модели оценки способ измерения.
Это позволит оценщику преобразовать измеряемые атрибуты в основные меры при наличии необходимых для измерения источников свидетельств и свидетельств оценки. Отражение контекста оценки в анкете минимально: описание атрибута в виде вопроса. Элементы контекста оценки могут присутствовать в дополнительных методических и распорядительных документах, обеспечивающих процесс оценки ИБ. В этих документах, как правило, указываются источники свидетельств оценки, а также персонал, ответственный за заполнение анкет. Анкеты могут быть созданы не только для получения основной меры атрибута, но и для формирования производной меры. В этом случае в анкете должна быть определена модель объединения основных мер в производную меру.
Примеры анкет, предназначенных для измерения атрибутов, связанных с информационной безопасностью, рассмотрены, например, в NIST Special Publication 800-26 «Security Self-Assessment Guide for Information Technology Systems» и в BSI PAS 56 [28]. Фрагмент анкеты BSI PAS 56, содержащей атрибуты в виде вопросов, шкалу для измерения атрибутов и модель для объединения основных мер в производную меру, представлен в таблице 7.
Другой подход к измерению атрибутов опирается на применение метрик при измерении атрибутов. Для подготовки процесса измерения атрибутов с помощью метрик требуется (см. рис. 59):