
Оценка эффективности деятельности службы иб
Необходимо иметь достаточно простую систему оценки, позволяющую оценить деятельности службы ИБ в качественных шкалах в разные периоды времени. Например, может использоваться субъективная оценка ве-роятности серьезного происшествия в области ИБ, которую дают ведущие специалисты отдела ИБ.
Таблица 8. Пример оценки вероятности серьезного происшествия в течение года
Данные измерений |
Вывод |
0,0 - 0,1 |
Надежность защиты высокая |
0,1 - 0,25 |
Появились проблемы в системе защиты |
0,25 - 0,5 |
Необходимо усилить систему защиты информации |
0,5 - 0,75 |
Необходимо менять политику безопасности |
Данная таблица приведена в качестве примера, как можно использовать любые соотношения, которые помогут "рассортировать" интересующую нас информацию.
7. Оценка остаточного риска и стоимости мер защиты
Оценивая стоимость мер защиты, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, обучение и переподготовку персонала. Эту стоимость также можно оценить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и допустимым риском. Если по этому показателю новое средство оказывается экономически выгодным, его можно взять на заметку (подходящих средств, вероятно, будет несколько). Однако если средство окажется дорогим, его не следует сразу отбрасывать, памятуя о приближенности расчетов.
В зависимости от уровня зрелости организации, характера основной деятельности, обоснование выбора допустимого уровня риска может проводиться разными способами. Наиболее распространенным является анализ стоимость/эффективность различных вариантов защиты, примеры постановок задач:
Стоимость подсистемы безопасности должна составлять не более 20% от стоимости информационной системы. В этом случае фиксируется стоимость средств защиты, и ставится задача найти вариант контрмер, максимально снижающих уровень интегральных рисков.
Уровень рисков по всем классам должен не превышать «очень низкий уровень». В этом случае фиксируется уровень риска, и ставится задача найти вариант контрмер с минимальной стоимостью.
В случае постановок оптимизационных задач важно правильно выбрать комплекс контрмер (перечислить возможные варианты) и оценить его эффективность.
Стандартизация процедуры управления рисками
На основании закона "О техническом регулировании" мы вправе применять любые стандарты, в том числе и зарубежные. В России применение отечественных стандартов упрощает многие процедуры, связанные с сертификацией и лицензированием по линии Гостехкомиссии (ныне ФСТЭК РФ)*.
При использовании стандартов различных производителей результаты оценки тоже могут получаться разными. В мировой практике анализа и управления рисками основополагающим считается стандарт ISO 17799:2005 Code of practice for information security management ("Свод правил по управлению информационной безопасностью" - предыдущая версия ISO 17799:2000). Фактически этот стандарт представляет собой технологию управления информационной безопасностью.
В 2007 г. Международная организация по стандартизации (ISO, http://www.iso.org/) планирует включить данный стандарт в серию ISO 27000, состоящую из шести стандартов информационной безопасности (по аналогии с другими стандартами системы менеджмента качества ISO 9000). Тогда данный стандарт получит новое название - ISO 27002.
Главное достоинство этого стандарта в том, что он имеет сравнительно небольшой объем (в отличие от стандарта США NIST 800-30) и затрагивает только общие принципы - в отличие от стандарта BSI (Bundesamt fur Sicherheit in der Informationstechnik, Германия). Обращаем внимание читателей, что последний стандарт путают с названием производителя - BSI Group (Британский институт стандартов, разработчик стандарта BS7799, прототипа ISO 17799). Общие принципы, заложенные в ISO 17799, предлагается конкретизировать применительно к исследуемым ИС.
Российский аналог этого стандарта только готовится к изданию; как заверяют специалисты, он будет опубликован в начале 2006 г. Скорее всего, это будет точный перевод международного стандарта, в целом несущий большую смысловую нагрузку, определяющую важнейшие аспекты информационной безопасности для любой организации, вне зависимости от ее масштаба и рода деятельности (см. врезку "Стандарт ISO 17799:2005").