More Related Content
Similar to Измерение эффективности ИБ
Similar to Измерение эффективности ИБ (20)
More from Aleksey Lukatskiy
More from Aleksey Lukatskiy (20)
Измерение эффективности ИБ
- 1. 1/469© 2008 Cisco Systems, Inc. All rights reserved.Security Training
Как посчитать
эффективность ИБ?
Версия 1.7
Алексей Лукацкий
Бизнес-консультант по безопасности
- 2. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 2/469
Что говорит и думает руководство?
Он спрашивает: «Каков уровень риска?»
Он думает: «Чем нам это грозит?»
Он спрашивает: «Соответствуем ли мы
требованиям?»
Он думает: «Не накажут ли нас?»
Он спрашивает: «Почему так дорого?»
Он думает: «А может лучше кофе или туалетной бумаги
купить?»
Знания CISO/CIO не совпадают с восприятием CxO
Любой вопрос подразумевает измерение ИБ!
- 3. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 3/469
“Если вы можете измерить то, о чем говорите,
и выразить это в цифрах, вы что-то знаете об
этом предмете. Но если вы не можете
выразить это количественно, ваши знания
крайне ограничены и неудовлетворительны.”
Лорд Кельвин (Уильям Томсон), британский физик
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
- 4. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 4/469
О чем пойдет речь
Зачем измерять безопасность?
Метрики ИБ
Программа управления оценкой эффективности ИБ
Методы измерения ИБ
Средства автоматизации измерения
Стандарты измерения эффективности
Прямая и косвенная отдача от ИБ
Примеры оценки эффективности отдельных
проектов по ИБ
- 5. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 5/469
Безопасность на
уровне бизнеса
- 6. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 6/469
Опрос ISACA
Опрос «Critical Elements of Information Security
Program Success», ISACA
Опрос 157 руководителей в 8 странах
Канада, Франция, Германия, Израиль, Италия, Япония, США,
Венесуэла
Отрасли
Финансы, транспорт, ритейл, государство, промышленность,
здравоохранение, консалтинг, коммунальные услуги
35 критических факторов успеха
Культура, люди, бюджет и финансы, организация, технологии,
законы и стандарты, метрики, повышение осведомленности и
обучение
- 7. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 7/469
Ключевые факторы успеха
Приоритетные
Поддержка ИБ-инициатив топ-менеджментом
Понимание руководством вопросов ИБ
Планирование ИБ до внедрения новых
технологий/проектов
Интеграция между бизнесом и ИБ
Связь ИБ с целями организации/бизнеса
Владение и подотчетность процессов внедрения,
мониторинга и репортинга ИБ топ-менеджменту и
линейным руководителям
- 8. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 8/469
Ключевые факторы успеха
Дополнительные
Обучение и повышение осведомленности
сотрудников по вопросам ИБ
Внедрение политик и стандартов ИБ
Расположение ИБ в иерархии организации
Бюджетирование стратегии ИБ и тактических планов
Коммуникации о важности ИБ со стороны топ-
менеджмента
Возможность финансовой оценки ИБ
Применение лучших практик и метрик
- 9. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 9/469
Метрики
Что и как
измерять
55
Процесс
взаимодействия
Двусторонняя связь
22
Общий язык
Бизнес первичен
11
Выход на
руководство
Сила и влияние
44 33
Система
убеждения
Маркетинг и PR
5 критериев успеха
- 10. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 10/469
Security
Governance
- 11. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 11/469
“Концепция "governance" не нова. Она также
стара, как и человеческая цивилизация.
Просто "governance" означает: процесс
принятия решения и процесс, при котором
решения внедряются (или не внедряются).”
Комиссия по социальным и экономическим вопросам
ООН
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
- 12. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 12/469
Governance (в бизнесе) – действие по разработке и
последовательному управлению связанных в единое
целое политиками, процессами и правильными
решениями в данной области ответственности
. . . связь между бизнесом и управлением ИТ
. . . стратегические ИТ-решения, за которые отвечает
корпоративный менеджмент, а не CIO или другие ИТ-
менеджеры
. . . ИТ Governance – это подмножество Corporate
Governance, фокусирующееся на информационных
системах
…подтверждение того, что ИТ-проекты легко
управляются и глубоко влияют на достижение бизнес-
целей организации
Другие определения Governance
- 13. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 13/469
ИТ Governance подразумевает систему, в которой все
ключевые роли, включая совет директоров и
внутренних клиентов, а также связанные области,
такие как, например, финансы, делают необходимый
вклад в процесс принятия ИТ-решений
…взаимосвязь между ИТ, инициативами соответствия
(compliance), управлением рисками и корпоративной
бизнес-стратегией
Другие определения Governance
- 14. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 14/469
IT governance поддерживает следующие
дисциплины:
Управление ИТ-активами
Управление ИТ-портфолио
Архитектура предприятия
Управление проектами
Управление программами
Управление ИТ-сервисами
Оптимизация бизнес-технологий
Связь с другими ИТ-дисциплинами
- 15. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 15/469
Источник: The Information Paradox
IS
Governance
of IS
Business
Governance
of IS
Enterprise
Governance
of IS
Непрерывный процесс…
Ключевые вопросы Security
Governance
Are we
doing
the right
things?
Are we
doing
the right
things?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
doing
the right
things?
Are we
doing
the right
things?
Are we
doing
the right
things?
Мы делаем
правильные
вещи?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Мы делаем
это
правильно?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
them done
well?
Мы
преуспели
в
достижении?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Мы
получаем
преиму-
щества?
- 16. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 16/469
Are we
doing
the right
things?
Are we
doing
the right
things?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
doing
the right
things?
Are we
doing
the right
things?
Are we
doing
the right
things?
Мы делаем
правильные
вещи?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Мы делаем
это
правильно?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
them done
well?
Мы
преуспели
в
достижении?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Мы
получаем
преиму-
щества?
Стратегический вопрос. Инвестиции:
В соответствие с нашим видением?
Соответствуют нашим бизнес-принципам?
Содействуют нашим стратегическим целям?
Обеспечивают оптимальное значение, затраты
и уровень рисков?
Вопрос ценности. Мы имеем:
• Очевидное понимание ожидаемых
преимуществ?
• Релевантные метрики?
• Эффективные преимущества реализации
процесса?
Архитектурный вопрос. Инвестиции:
В соответствие с нашей архитектурой?
Соответствуют нашим архитектурным
принципам?
Содействуют созданию архитектуры?
В соответствие с другими инциативами?
Вопрос реализации. Мы имеем:
Эффективный процесс управления
изменениями и реализации?
Компетентные и доступные технические и
бизнес-ресурсы для реализации:
Требуемых возможностей; и
Организационных изменений, требуемых для
достижения возможностей.
Источник: Fujitsu Consulting
4 вопроса в деталях
- 17. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 17/469
COBIT
Governance &
управление портфолие
технологических
проектов, сервисов,
систем &
поддерживающей
инфраструктуры
Val IT
Governance &
управление
портфолио
программой
изменения бизнеса
Are we doing
the right
things?
Are we doing
them the right
way?
Are we doing
them well?
Are we getting
the benefits?
Are we doing
the right
things?
Are we doing
them the right
way?
Are we doing
them well?
Are we getting
the benefits?
Мы делаем
правильные
вещи?
Мы делаем
их
правильно?
Мы
преуспели в
достижении?
Мы получили
преиму-
щества?
Are we doing
the right
things?
Are we doing
them the right
way?
Are we doing
them well?
Are we getting
the benefits?
Are we doing
the right
things?
Are we doing
them the right
way?
Are we doing
them well?
Are we getting
the benefits?
PO
AI
ME
DS
PM
VG
IM
“..достучаться до CXO
и других старших
менеджеров с
посланием, как
ценность ИТ для
бизнеса может быть
прозрачным и
увеличивать…”
как решение задачи
- 18. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 18/469
Руководство, процесс и структура
гарантирующие, что ИТ на
предприятии разрешают и
поддерживают стратегию и цели
предприятия, а также определяющие:
1. какие ключевые решения должны
быть приняты;
2. кто отвечает за их принятие;
3. как они должны быть приняты; и
4. процессы и and поддерживающие их
структуры для принятия решений,
включающие мониторинг строгого
соблюдения процессов и
эффективности принятия решений
Strategic
Alignm
ent
ValueDelivery
RiskManagement
Resource
Management
Performance
Measurement
ITIT
GovernanceGovernance
DomainsDomains
Strategic
Alignm
ent
ValueDelivery
RiskManagement
Resource
Management
Performance
Measurement
ITIT
GovernanceGovernance
Strategic
Alignm
ent
ValueDelivery
RiskManagement
Resource
Management
Performance
Measurement
ITIT
GovernanceGovernance
DomainsDomains
Strategic
Alignm
ent
ValueDelivery
RiskManagement
Resource
Management
Performance
Measurement
ITIT
GovernanceGovernance
Источник : ITGI
ИТ Governance согласно Val IT
- 19. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 19/469
Топ-менеджмент
Управление бизнесом
Операции ИТ
ИТ (функциональное
управление)
Аудиторы
Связь с другими ИТ-стандартами
Val IT
COBIT
ITIL
- 20. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 20/469
Способность показать, как ИБ
связана с бизнес-стратегией
Способность показать, как ИБ
несет ценность бизнесу
Способность показать, как ИБ
управляет рисками
Способность показать, как ИБ
управляет ресурсами
Способность показать, как ИБ
управляет достижением целей
Резюме: ИБ Governance
- 21. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 21/469
Структура ИБ Governance
- 22. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 22/469
Модель зрелости измерений ИБ
5. Управлять всем
4. Как связать с бизнесом?
3. Как можно измерять?
2. Что можно измерять?
1. А разве можно измерять?
- 23. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 23/469
Измерение ИБ это многогранная задача
1. Уровень опасности или сколько мы потеряем?
2. Сколько денег на ИБ достаточно?
3. Мы достигли цели?
4. Насколько оптимально мы движемся к цели?
5. Сколько стоит информация?
6. Насколько мы соответствуем стандартам или
требованиям?
7. Какая из мер защиты выгоднее/лучше?
8. Как мы соотносимся с другими?
9. …
- 24. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 24/469
Проблема
измерений ИБ
- 25. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 25/469
Почему мы отказываемся измерять?
Это нематериально, а значит неизмеримо
Отсутствуют методы измерения
«Проценты, статистика… С помощью них можно
доказать все, что угодно»
«Чтобы оценить этот показатель, нужно потратить
миллионы рублей. А менее масштабный проект дает
большую погрешность»
Важные для предприятия проекты пропускаются в
пользу слабых только потому, что во втором случае
методы оценки ожидаемого эффекта всем известны,
а в первом нет
- 26. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 26/469
Проблемы измерений
Принятие решений часто требует количественной
оценки предполагаемых нематериальных активов
или вопросов
Многие считают такую оценку невозможной, а
нематериальное неподдающимся измерению
Именно это часто является причиной отказа от многих
проектов (предубеждение пессимизма)
Раз это невозможно, то мало кто пытается это
сделать
Но
Если какой-либо объект/явление можно наблюдать тем или
иным образом существует метод его измерения
- 27. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 27/469
Развенчание мифа
Если что-то лучше
Есть признаки улучшения
Улучшение можно наблюдать
Наблюдаемое улучшение можно посчитать
То, что можно посчитать, можно измерить
То, что можно измерить, можно оценить
…и продемонстрировать!
- 28. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 28/469
Все связано с измерениями
Результат работы любой системы, программы или
процесса должен измеряться
Сравнение или анализ тенденций невозможны без
измерения
Внедрение системы качества немыслимо без
измерений
Как можно повышать качество, не зная о его текущем
уровне
Управление ИБ немыслимо без измерений
Как можно управлять ИБ, не зная о текущем уровне угроз и
стоимости защищаемых ресурсов?
- 29. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 29/469
Безопасность и деньги
Занимаясь повседневной деятельностью мы
нечасто думаем о деньгах в контексте ИБ
И только тогда, когда возникает необходимость попросить у
руководства деньги на новый проект, продукт или услугу
Выигрывает не тот, кто сильнее, а тот кто лучше
приспособлен
Множество проектов и инициатив при нехватке
финансовых средств
Особенно в условиях кризиса
Деньги получает тот, кто может сможет лучше
обосновать запрашиваемые ресурсы
Сколько надо? Почему столько? Какова отдача?
- 30. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 30/469
Об измерениях надо думать когда
Есть описанные процессы ИБ
Для бизнес-процессов существуют измеримые цели
или требования измерения эффективности
Имеется методика оценки качественного или
количественного измерения текущего состояния и
сравнения его с целью
Вы достигли определенного уровня зрелости
Вы хотите сертифицироваться по ISO 27001 или
ISM3
Вы хотите контролировать процессы ИБ и держать
все в руках
- 31. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 31/469
Начнем с
определений или
что такое
измерение?
- 32. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 32/469
Что такое измерение?
Измерение – это определенность, точная величина?
Количественное выражение чего-либо?
Расчет точной стоимости чего-либо?
Сведение к одному числу?
Измерение – это совокупность снижающих
неопределенность наблюдений, результат которых
выражается некоей величиной!
Измерение – это не только полное, но и частичное
сокращение неопределенности
- 33. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 33/469
“Как это не парадоксально, но всякая точная
наука основывается на приблизительности.
Если кто-то говорит вам, что точно знает что-
то, можете смело делать вывод: вы
разговариваете с человеком, не имеющим
понятия о точности.”
Бертран Рассел, британский математик и философ
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
- 34. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 34/469
Точное значение или интервал?
Научные методы описывают результаты в
определенном интервале значений
Проект по обеспечению бесперебойной работы сайта
позволил повысить лояльность клиентов на 7-12%
Интервал значений позволяет не делать допущений,
в которых мы не уверены
Риск = 5% или риск в интервале от 2% до 9%
Интервалы можно складывать, вычитать, умножать, как и
точные значения (метод Монте-Карло)
Т.к. измерение снижает неопределенность, то мы
должны понимать, что результат измерений должен
сопровождаться оценкой погрешности
Вероятность прохождения аттестации ФСТЭК составляет 85%
- 35. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 35/469
2 + 2 не всегда равно 4
Измерение – это не всегда количественная оценка в
традиционном понимании этого слова
Произойдет ли сбой?
Получим ли мы сертификат соответствия?
Число сигнатур атак в IDS#1 больше чем в IDS#2 (не важно
насколько)
Продукт #1 имеет 4 балла в тестах, а продукт #2 – 2 балла (2
балла не обязательно вдвое меньше, чем 4 балла; а 2
системы, имеющие по 2 балла, не обязательно будут также
эффективны, как одна система с 4-мя баллами)
- 36. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 36/469
Качество или количество?
1954 г. - Paul Meehl – «Clinical Versus Statistical
Prediction: A Theoretical Analysis and Review of the
Evidence», 1954
Работа обновлена в 1996
Количественная оценка работает лучше экспертной
(качественной)
В 136-ти случаев из 144-х
Качественная оценка необъективна по своей сути
При качественной оценке сложно предъявить
доказательства
- 37. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 37/469
Вернемся к
определениям или
что такое
информационная
безопасность?
- 38. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 38/469
“Правильно поставленная проблема уже
наполовину решена.”
Чарльз Кеттеринг, американский изобретатель
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
- 39. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 39/469
О понятии ИБ
ИБ – это не универсальное, не стандартное понятие
Оно персонифицировано в каждой конкретной
ситуации, для каждой конкретной организации, для
каждого конкретного CISO
В одной и той же компании, разные CISO могут по-разному
заниматься ИБ
В одной и той же компании при одном и том же CISO, но
разных CEO, ИБ может двигаться в разных направлениях
ИБ – это понятие, зависящее от множества
факторов/элементов
- 40. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 40/469
Термин «безопасность»
Безопасность – отсутствие опасности
В.Даль
Безопасность – состояние, при котором не угрожает
опасность
С.Ожегов
Безопасность – состояние защищенности жизненно
важных интересов личности, общества и
государства от внутренних и внешних угроз
ФЗ «О безопасности»
- 41. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 41/469
Термин «безопасность»
Безопасность информации - деятельность,
направленная на предотвращение или
существенное затруднение несанкционированного
доступа к информации (или воздействия на
информацию)
ФСТЭК
ИБ – технологическая задача, обеспечивающая
целостность, конфиденциальность и доступность
А как же борьбы со спамом? Или шантаж DDoS?
Безопасность - состояние защищенности объекта
от внешних и внутренних угроз
- 42. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 42/469
Термин «безопасность»
Безопасность – системное свойство, позволяющее
развиваться и процветать в условиях конфликтов,
неопределенности и рисков на основе
самоорганизации и управления
Безопасность – деятельность людей, общества,
государства по выявлению, предупреждению,
ослаблению, устранению и отражению опасностей
и угроз, способных погубить их, лишить ценностей,
нанести неприемлемый ущерб, закрыть путь для
выживания и развития
Информационная безопасность - динамическое
состояние сохранения жизненно важных
параметров предприятия в информационной
сфере
- 43. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 43/469
Как я понимаю ИБ?!
Информационная безопасность - состояние
защищенности интересов стейкхолдеров
предприятия в информационной сфере,
определяющихся совокупностью
сбалансированных интересов личности, общества,
государства и бизнеса
Переработанное определение из Доктрины
информационной безопасности
Очень емкое и многоуровневое определение
Может без изменения применяться в ЛЮБОЙ
организации
Меняться будет только наполнение ее ключевых элементов
– стейкхолдеры, информационная сфера, интересы
- 44. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 44/469
Стейкхолдеры ИБ
• ИТ
• ИБ
• Юристы
• Служба внутреннего контроля
• HR
• Бизнес-подразделения
• Руководство
• Пользователи
Внутри
предприятия
• Акционеры
• Клиенты
• Партнеры
• Аудиторы
Снаружи
предприятия
• ФСТЭК
• ФСБ
• Роскомнадзор
• СВР
• МО
• ФАИТ
Регуляторы
- 45. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 45/469
Информационная сфера
Информационная сфера - это совокупность
информации, информационной инфраструктуры,
субъектов, осуществляющих сбор, формирование,
распространение и использование информации, а
также системы регулирования возникающих при
этом отношений
В данном определении информационная
инфраструктура включает в себя также и
технологии обработки информации
- 46. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 46/469
Интересы стейкхолдеров
Универсального списка интересов не существует –
у каждого предприятия на каждом этапе его
развития в различном окружении при различных
руководителях интересы различны
ИБ
• Конфиденциальность
• Целостность
• Доступность
Юристы
• Соответствие
• Защита от
преследования
• Новые законы
Регуляторы
• Соответствие
Пользователи
• Тайна переписки
• Бесперебойный
Интернет
• Комфорт работы
Акционеры
• Рост стоимости акций
• Контроль топ-
менеджмента
• Прозрачность
ИТ
• Доступность
сервисов
• Интеграция
• Снижение CapEx
- 47. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 47/469
Интересы бизнеса
Рост (доли рынка, маржинальности, доходности…)
Экспансия (новые рынки, новые целевые аудитории)
Рост продуктивности сотрудников
Соответствие требованиям
Инновации и новые бизнес-практики
Реинжиниринг бизнес-процессов
Взаимоотношения с клиентами (лояльность)
…
- 48. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 48/469
Определите объект измерения!!!
Самое важное – определить объект измерения!
Что для вас информационная безопасность?
Снижение числа вредоносных программ?
Получение аттестата PCI Council?
Снижение числа запросов в Help Desk по поводу забытых
паролей?
Снижение числа утечек конфиденциальной информации?
Защита от наездов регуляторов?
Что конкретно ВЫ имеете ввиду?!
Определитесь с объектом измерения и половина
работы по измерению будет проведена!
- 49. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 49/469
Закончим с
определениями
или что такое
эффективность?
- 50. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 50/469
“Ничто так не мешает прогрессу знания, как
расплывчатость терминологии.”
Томас Рейд, шотландский философ
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
- 51. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 51/469
Что такое эффективность?
Мало кто может сказать, что такое эффективность –
большинство может сослаться на разрозненные
наблюдения, которые ассоциируются у них с
эффективностью
Число эпидемий стало меньше
Заказчики стали меньше звонить в Help Desk по поводу
недоступности сайта
Пользователи стали реже заносить вредоносные программы
на флешках
Руководство не жалуется, что не может «достучаться» до
корпоративной ИС из командировки
Сервер AD ни разу не «упал» в этом месяце
- 52. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 52/469
Что такое эффективность?
Эффективность – это поддающийся
количественному определению вклад в достижение
конечных целей
Важно в конкретном случае детализировать понятие
«эффективность» (объект измерения)
- 53. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 53/469
Efficiency vs. Effectiveness
Результативность
Оптимальность
Сначала мы обычно оцениваем достижение цели как
таковой (результат)
Но интересно ли нам достижение цели любыми средствами?
Термин «эффективность» на английском языке
имеет два значения
- 54. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 54/469
Измерение на результат и процесс
Измерения, нацеленные на результат
Наиболее привычные для служб ИБ
Чаще всего выдаются системами защиты
Измерения, нацеленные на процесс
Сложнее оцениваются
Требуют взаимодействия с людьми
• Процент заблокированного спама
• Процент прошедшего спама через
антиспам и о котором сообщили
сотрудники, прошедшие тренинг
повышения осведомленности
Антиспам
- 55. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 55/469
Что же такое
измерение
эффективности
ИБ?
- 56. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 56/469
Квинтэссенция измерений
эффективности ИБ
Источник: NIST SP800-55
- 57. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 57/469
Напомним заинтересованных лиц
(стейкхолдеров)
• ИТ
• ИБ
• Юристы
• Служба внутреннего контроля
• HR
• Бизнес-подразделения
• Руководство
• Пользователи
Внутри
предприятия
• Акционеры
• Клиенты
• Партнеры
• Аудиторы
Снаружи
предприятия
• ФСТЭК
• ФСБ
• Роскомнадзор
• СВР
• МО
• ФАИТ
Регуляторы
- 58. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 58/469
Стейкхолдеры в медицине
Отчет: The Financial Impact of Breached Protected Health Information: A Business Case for Enhanced PHI Security
- 59. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 59/469
Куда стремится
ИБ или немного о
целях?
- 60. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 60/469
Цели ИБ
Прежде чем оценивать эффективность, необходимо
понять, определить и зафиксировать цели,
эффективность достижения которых мы измеряем!!!
Получение аттестата ФСТЭК на все АС/ИСПДн
Сертификация ключевых процессов на соответствие ISO 27001
Достижение 4 уровня по СТО БР ИББС
Сокращение числа инцидентов ИБ до 3 в месяц
Внедрение защищенного мобильного доступа для руководства
Внедрение защищенного удаленного доступа для
географической экспансии
Повышение устойчивости инфраструктуры к DDoS-атакам с
целью повышения лояльности клиентов и снижение их текучки
Снижение затрат на ИБ на 15%
- 61. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 61/469
Достижение каких целей измеряем?
Цели топ-
менеджмента
Цели топ-
менеджмента
Операционные
цели
Операционные
цели
Финансовые
цели
Финансовые
цели
Цели ИТЦели ИТ
Цели ИБЦели ИБ
Цели ИБ в данной ситуации вторичны, т.к. их никто
не понимает кроме службы ИБ
Грустно это признавать, но это так
- 62. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 62/469
Но есть ли все-таки связь ИБ и
бизнесом?
Согласно исследованию E&Y во время кризиса все
компании начинают с сокращения затрат (без
эффекта)
7 ключевых областей для оптимизации расходов
Оптимизация ассортимента продукции
Изменение стратегии продаж
Сокращение затрат на персонал
Повышение производительности
Аутсорсинг
Оффшоринг
Оптимизация использования и стоимости привлечения
ресурсов
- 63. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 63/469
Изменение стратегии продаж
Рост выручки рост числа клиентов
географическая экспансия решение по
защищенному удаленному доступу и защите от
утечек информации
Рост выручки рост числа сделок оснащение
мобильными устройствами и подключением к
Интернет решение по защищенному удаленному
доступу
Рост выручки рост числа клиентов/сделок,
ускорение сделок, снижение себестоимости сделок
новый канал продаж Интернет решение по
защищенному удаленному доступу, защите Интернет-
ресурсов
- 64. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 64/469
Снижение арендной платы
Снижение арендной платы уменьшение
арендуемых площадей перевод сотрудников на
дом решение по защищенному удаленному
доступу
Экономия на:
Аренда площадей
Питание сотрудников
Оплата проездных (если применимо)
Оплата канцтоваров
Оплата коммунальных расходов, а также
Улучшение психологического климата за счет работы дома
Рост продуктивности
- 65. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 65/469
Уменьшение складских запасов
Уменьшение складских запасов удаленный доступ
к складской ИС поставщиков решение по
защищенному удаленному доступу, защита Интернет-
ресурсов, Identity & Entitlement Management
Экономия на:
Уменьшение складских площадей
Оптимизация логистики
Ускорение цикла поставки
- 66. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 66/469
Оптимизация финансовых затрат
Оптимизация финансовых затрат переход на
лизинг или оплату в рассрочку обращение в
компании по ИТ/ИБ-финансированию
Выгоды:
CapEx переходит в OpEx
Ускоренная амортизация (коэффициент – 3)
Снижение налога на прибыль и имущество
Не снижает Net Income, EBITDA
Нет проблем списания оборудования
Отсрочка платежа
Фиксированная ставка в рублях
Положительное влияние на финансовые показатели
- 67. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 67/469
Рост продуктивности сотрудников
Рост продуктивности снижение времени,
потраченного на дорогу перевод сотрудников на
дом решение по защищенному удаленному
доступу
Рост продуктивности – от 10% до 40%
Дополнительно:
Увеличение рабочего времени
Экономия на аренде площадей
Экономия на питании сотрудников
Экономия на оплате проездных (если применимо)
Экономия на оплате канцтоваров
Улучшение психологического климата за счет работы дома
- 68. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 68/469
Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям
Аэропорт
WAN/Internet
SiSi
SiSi
Отель
Предприятие
Дорога
Кафе
Главный
офис HQ
Филиал Дом
Многие компании фокусируются на предоставлении сервиса на своей
территории (зарплата, билеты, документооборот…)
Сотрудник в среднем тратит только 30–40% времени в офисе
100
сотрудников
500
сотрудников
1000
сотрудников
Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.
1 час потери продуктивности $1,200 $6,000 $12,000
Потери в год от 1 часа в неделю $62,5K $312,5К $625К
Рост продуктивности
- 69. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 69/469
Уменьшение числа командировок
Уменьшение числа командировок внедрение
видеоконференцсвязи/унифицированных
коммуникаций/TelePresence решение по
защищенному удаленному доступу и защите
унифицированных коммуникаций
Экономия на:
Командировочных затратах ($300-400 на авиабилет + $100 на
гостиницу в сутки)
- 70. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 70/469
Рост продуктивности сотрудников
Чтение электронной почты отвлечение на
незапрошенную корреспонденцию антиспам-
решение
Экономия на:
Интернет-трафике
Времени чтения почты
Последствия вирусных эпидемий
Особенности
Экономия на времени чтения почты имеет значение для
предприятий с большим числом сотрудников
- 71. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 71/469
Сокращение затрат на Интернет
Контроль действий сотрудников в Интернет
блокирование загрузок постороннего ПО, музыки,
видео и контроль посторонних сайтов решение по
контролю URL
Экономия на:
Интернет-трафике
Дополнительно
Рост продуктивности (может быть)
Защита от вирусов и троянцев в загружаемом трафике
- 72. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 72/469
Другие примеры
Снижение рисков путешествий (и затрат на них) для
сотрудников внедрение унифицрованных
коммуникаций и Telepresence защита
коммуникаций (технологии VPN, AAA и т.п.)
Снижение издержек на ИТ аутсорсинг защита и
разграничение удаленного доступа (технологии VPN,
AAA, МСЭ и т.п., а также проработка юридических и
организационных моментов, связанных с ИБ)
Снижение издержек на внутренний Helpdesk
внедрение системы автоматического управления
паролями пользователей (технология AAA)
- 73. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 73/469
Другие примеры
Поглощения и слияния обеспечение
конфиденциальности сделки, оценка приобретаемых
активов с точки зрения ИБ ИБ
Выход на IPO соответствие требование SOX или
листинга иной биржи обеспечение целостности и
прозрачности
Повышение кредитного рейтинга выполнение
требований S&P или Moodys ИБ (как некоторые из
требований рейтинговых агентств)
Рост доверия со стороны акционеров внедрение
системы корпоративного управления внедрение
СВК внедрение СУИБ (как неотъемлемая часть
СВК согласно требованиям ЦБ и ФСФР)
- 74. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 74/469
А есть ли другие
цели?
- 75. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 75/469
Бизнес-цели
«Бизнес-цели» - отталкиваемся не от того, ЧТО
защищаем, а КУДА стремимся
Бизнес-цель может быть
У всего предприятием
У отдельного подразделения
У отдельного проекта/инициативы
У отдельного «важного» человека («спонсора»)
Бизнес-цели не всегда связаны с финансами
Нельзя искать только финансовую выгоду от решения
вопросов безопасности
Необходимо учитывать нефинансовые цели (например,
лояльность клиентов) и синергетический эффект
- 76. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 76/469
Всегда ли выгода измеряется деньгами
Бизнес инвестирует в проекты, приносящие отдачу
Отдача не обязательно носит денежный характер
Критерии
• Бизнес-ориентированный
• Связанный с приоритетами/целями
компании
• Измеримый в метриках, понятных бизнесу
• Приносящий ценность или отдачу
(желательно финансовую)
• Оптимальный (цель не любыми
средствами)
• Выполненный в срок
• Не нарушающий законодательство
Примеры
• Снижение TCO
• Защита взаимоотношений
• Рост доверия
• Соответствие требованиям
• Ускорение выхода на рынок
• Географическая экспансия
• Снижение бизнес-рисков
• Снижение текучки клиентов/партнеров
• Рост лояльности клиентов/сотрудников
• Оптимизация процессов
• Интероперабельность и интеграция
• Стандартизация
• Рост качества
• Оптимизация затрат (на внедрение,
эксплуатацию, поддержку и т.п.)
• Повторное использование
• Масштабируемость
- 77. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 77/469
Как определить бизнес-цели?
Каким бизнесом занимается организация?
Какие стратегические продукты, сервисы и
инициативы в организации?
Каковы активности и потребности?
В каких странах и индустриях делается бизнес?
Какие тенденции, законы и требования отличаются в
разных странах?
Каковы внутренние процессы и политики?
С кем регулярно ведет бизнес организация?
- 78. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 78/469
Как определить бизнес-цели?
Какова политическая ситуация?
Кто владельцы бизнеса?
Каков уровень зрелости организации?
Какие бизнес-задачи сложно или невозможно
реализовать?
Каковы риски?
Каковы стратегические ИТ-инициативы?
Не выдумывайте – поинтересуйтесь у топ-
менеджмента!
- 79. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 79/469
Примеры бизнес-целей
Рост продуктивности сотрудников
Network Virtual Organization (NVO)
Ускорение вывода продукта на рынок
Доступ поставщиков и партнеров к корпоративной сети
Аутсорсинг бизнес- или ИТ-процессов
Данное бизнес-требование демонстрирует, что
безопасность может быть не столько технической задачей,
сколько юридической
Географическая экспансия
Конфликт законодательств разных стран для
международных компаний или сдвиг PoS / PoD
Поглощения и слияния
- 80. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 80/469
Связь измерений и бизнес-цели
Наиболее эффективный путь – декомпозиция
бизнес-цели на части и выбор метрик для каждой
из них
Бизнес-цель
Подцель 1 Подцель 2 Подцель 3
Действие 1 Действие 2
Измерение 1 Измерение 2
- 81. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 81/469
Gartner Business Performance
Framework
Метрики, оценивающие бизнес-процессы
Бизнес-процессы состоят из действий, которые
нужно измерять
- 82. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 82/469
Gartner Business Performance
Framework
- 83. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 83/469
Gartner Business Performance
Framework
- 84. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 85/469
Связь ИТ и бизнес-задач
- 85. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 86/469
Главный
промежуточный
итог
- 86. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 87/469
Измерение эффективности ИБ
ИзмерениеИзмерение
Цели
ИБ
Цели
ИБ
Что
такое
ИБ?
Что
такое
ИБ?
Комбинация 3
ключевых элементов
позволяет выбрать
Метод оценки
Метрики для
демонстрации
Способ демонстрации
целевой аудитории
Частоту оценки
Инструментарий
оценки
…
- 87. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 88/469
Аудитория для измерений ИБ
ИБИБ
ИБИБ
ИТИТ
ЮристыЮристы
HRHR
Внутренний
аудит
Внутренний
аудит
Топ-
менеджмент
Топ-
менеджмент
Бизнес-
отделы
Бизнес-
отделы
Помимо 3 ключевых
элементов важно
понимать и
аудиторию, которой
будут
демонстрироваться
результаты
измерений
HR не интересует
уровень
соответствия
CxO не интересует
число вирусов
ИБ не интересует
выгодность проекта
- 88. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 89/469
Что мы хотим
измерять в ИБ
чаще всего?
- 89. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 90/469
Что мы будем измерять в ИБ?
Какой уровень опасности нам грозит?
Что мы потеряем?
Оценка нематериальных активов
Оценка информации
Оценка материальных активов
ALE
Какова вероятность ущерба?
Что нам грозит?
Насколько мы уязвимы?
Если вы посещали мой курс по моделированию угроз
– он отвечает именно на эти вопросы
- 90. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 91/469
Что мы будем измерять в ИБ? (продолжение)
Сколько денег на безопасность надо?
Сколько мы потратим? Почему столько?
Какова отдача? И есть ли она?
Выгоден ли этот проект по ИБ?
Рискованны ли инвестиции в ИБ?
Мы соответствуем требованиям?
Стандартов
SLA
Регуляторов
Какая СЗИ лучше?
Лучше = дешевле, функциональнее, быстрее окупается,
быстрее работает…
- 91. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 92/469
Что мы будем измерять в ИБ? (окончание)
Как мы соотносимся с другими?
Насколько мы защищены?
На каком уровне находимся?
Стало ли лучше по сравнению с прошлым?
Сколько времени потребуется?
На проникновение / распространение вредоносного ПО?
На внедрение СЗИ?
На возврат в исходное состояние после атаки?
Оптимально ли
Мы движемся к цели?
Тратим деньги?
Настроена система защиты?
- 92. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 93/469
Программа
управления
оценкой
эффективности
информационной
безопасности
- 93. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 94/469
Программа управления оценкой
эффективности
Выбор метрик – это только начало оценки
эффективности ИБ
Необходима целая программа управления данным
процессом
Регулярный, непрерывный, всеохватывающий процесс
Не пытайтесь съесть слона целиком – нужно
поэтапное внедрение
Начните с одного бизнес-приложения (АБС), подразделения
(работы с клиентами), бизнес-процесса (Интернет-банкинг),
части инфраструктуры (например, Интернет-периметра)
- 94. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 95/469
Программа измерения: 5
обязательных элементов
• Занимаемся?
• Что получаем?
Стратегия
измерений
Стратегия
измерений
• Кто executive sponsor?
• Члены командыКомандаКоманда
• Что мы измеряем?
• Почему мы измеряем?Анализ GQMАнализ GQM
• Кто пересматривает?
• Как часто?
План
пересмотра
План
пересмотра
• Аудитория
• КонтентОтчетыОтчеты
- 95. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 96/469
GQM Framework
GOAL GOAL
Metric
QuestionQuestionQuestionQuestion
Metric Metric Metric MetricMetric
- 96. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 97/469
5 шагов построения программы
измерения ИБ
• Вовлеченность
• Подотчетность
Назначить
ответственного
Назначить
ответственного
• Документировать
• Равняться на других
Выстроить
структуру
Выстроить
структуру
• Политические
• Финансовые
• Людские
Получить
ресурсы
Получить
ресурсы
• Что работает?
• Что нет?
• Почему?
Регулярно
пересматривать
Регулярно
пересматривать
• Признать неудачи
• Изменить положение вещей
Делать
выводы
Делать
выводы
- 97. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 98/469
Модель зрелости программы метрик
5. Управлять всем
4. Как связать с бизнесом?
3. Как можно измерять?
2. Что можно измерять?
1. А разве можно измерять?
- 98. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 99/469
Описание этапов
Этап Особенности
Нулевой этап Реактивный подход к безопасности
Подводит нас к ответу на вопрос: «Разве ИБ можно измерять?»
Попытка избегать любых измерений ИБ
Нет времени на новые проекты, не то, что на их измерение
Первый этап Подводит нас к ответу на вопрос: «Что можно измерять?»
Можно решить измерить что-то, но что конкретно? И хотя каждая компания отлична от
других в своей ИБ есть ряд направлений, которые применимы ко всем – BCP,
управление конфигурациями ОС, железа и приложений, IAM, эффективность
реагирования на инциденты, уровень осведомленности персонала.
Второй этап Подводит нас к ответу на вопрос: «Как можно измерять?»
Понимание необходимости измерения метрик
Базовые метрики (технические аспекты ИБ) – непрерывность бизнеса, identity
management, реагирование на инциденты, осведомленность персонала
Непонимание методов измерений, частоты измерений, места и способа хранения
метрик, адресата для метрик и формата представления результатов (графики, таблицы
и т.п.)
Третий этап Подводит нас к ответу на вопрос: «Как связать измерения ИБ с бизнесом?»
Метрики собраны, измерены и увязаны с бизнес-процессами
Можно сравнивать метрики по разным направлениям бизнеса, процессам и
подразделениям
Четвертый этап Подводит нас к ответу на вопрос: «Как интегрировать систему измерений ИБ в общую
систему измерения эффективности бизнеса?»
Метрики регулярно доносятся до всех руководителей
CxO и LOB-менеджеры понимают необходимость участия в вопросах безопасности
Интеграция с общекорпоративной стратегией управления рисками
- 99. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 100/469
«Женская» модель зрелости
Executive Women’s Forum on Information Security,
Risk Management, and Privacy
Уровень 1Уровень 1
• Реактивный
подход к ИБ
• А ИБ можно
измерять?
Уровень 2Уровень 2
• Базовые
метрики
• Поиск
подходов к
измерению
Уровень 3Уровень 3
• Повторяемый
процесс
измерения
хорошо
понятных
метрик
• Первая
привязка к
бизнесу
Уровень 4Уровень 4
• Включение
процесса
измерения ИБ
в общий
процесс
управления
рисками для
ИТ и бизнеса
- 100. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 101/469
Примеры работы «женской» моделиЭтап1Этап1
Служба ИБ
задумалась о
процессе
повышения
осведомленнос
ти
Служба ИБ
задумалась о
процессе
повышения
осведомленнос
ти
Этап2Этап2
Служба ИБ
вручную
готовит отчеты
о прошедших
тесты для
проверки
знаний
Служба ИБ
вручную
готовит отчеты
о прошедших
тесты для
проверки
знаний
Этап3Этап3
Служба ИБ
запускает сайт
с тестами и
автоматической
генерацией
отчетов
Служба ИБ
запускает сайт
с тестами и
автоматической
генерацией
отчетов
Этап4Этап4
Служба ИБ
включает
процесс
повышения
осведомленнос
ти в общую
стратегию
управления
персоналом
Служба ИБ
включает
процесс
повышения
осведомленнос
ти в общую
стратегию
управления
персоналом
Рост числа внутренних инцидентов породил задачу
повышения осведомленности и выстраивания
процесса оценки этого проекта/задачи
- 101. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 102/469
Модель зрелости NIST
Источник: Guide for Developing Performance Metrics for
Information Security, NIST SP 800-80
- 102. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 103/469
Хорошая программа оценки
эффективности ИБ
Адекватные бизнес-задачам метрики и методы
измерения
Ориентация на разные целевые аудитории
Ориентированный на результат анализ результатов
измерений
Поддержка на уровне топ-менеджмента
Без этого внедрение программы обречено не то чтобы на
неудачу, скорее на невысокую эффективность
Желательным условием запуска программы
является наличие в организации культуры
измерений
Качества, KPI, BSC, Six Sigma и т.д.
- 103. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 104/469
Типичные ошибки
Выбор сотен метрик вместо концентрации на
стратегических
Измерение того, что проще измерить, вместо
концентрации на целях измерения
Отсутствие бизнес-фокусировки
Фокус на операционных результат-ориентированных
метриках вместо оценки эффективности процесса
Отсутствие контекста
Снижение цены ИБ при росте инцидентов
Отсутствие сотрудничества с другими и доверия к
себе
- 104. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 106/469
Что является
результатом
(мерилом)
измерения
или метрики
информационной
безопасности
- 105. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 107/469
Что такое «метрика безопасности»?
Метрика безопасности – способ применения
количественного, статистического и/или
математического анализа для измерения
«безопасных» стоимости, преимуществ, удач,
неудач, тенденций и нагрузок
Отслеживание статуса каждой функции безопасности
Метрики – это не столько цифры, сколько факт
достижения поставленных целей, выраженный
количественно
KPI, KRI, PI = метрика
- 106. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 108/469
GQM: Связь метрик и целей
Цели
Какова наша стратегия ИБ?
Каких конкретных результатов мы хотим достичь?
Вопросы
Как мы узнаем, что мы достигли поставленных целей?
Как мы определяем успешность достижения?
Метрики
Где мы можем найти ответы на наши вопросы?
Какие данные мы должны собрать и проанализировать?
- 107. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 109/469
KPI, KRI, PI и CSF
KPI – Key Performance Indicator
KRI – Key Result Indicator
Не путать с Key Risk Indicator
PI – Performance Indicator
CSF – Critical Success Factors
- 108. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 110/469
Монетарные и
нефинансовые
метрики
информационной
безопасности
- 109. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 111/469
Функции и процессы любой компании
Основная деятельность
(выпуск продукта,
предоставление услуг)
Улучшение основной
деятельности
(оптимизация издержек)
Совершенствование
предыдущей категории
(управление качеством)
- 110. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 112/469
Могут ли быть нефинансовые
измерения?
ИБ не относится к первой категории функций
предприятия
Финансовые метрики сложно применять в этом случае, т.к. ИБ
напрямую не генерит бизнес
ИБ чаще всего относится ко второй категории функций
Возможность использования финансовых метрик зависят от
оцениваемого процесса
Некоторые проекты ИБ могут помочь оптимизировать издержки
Управление ИБ – это всегда третья категория
функций
Финансовых метрик может вообще не быть
Исключение может составлять экономия на персонале за счет
более эффективного управления
- 111. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 113/469
Могут ли быть нефинансовые
измерения?
Классические финансовые метрики определяют
балансовую стоимость предприятия, его доходы и
расходы
Рыночная стоимость, капитализация определяются в
т.ч. и нефинансовыми показателями
Уровень корпоративного управления
Наличие бренда
Прозрачность
Эффективность управления
И т.д.
Не зря появляется такое понятие, как система
сбалансированных показателей (Balanced scorecard,
BSC)
- 112. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 114/469
Security balanced scorecard
Заказчик Финансы
Внутренние
процессы
Обучение и рост
Базовая
BSC
Заказчик
Ценность для
бизнеса
Операционная
эффективность
Будущее
Compliance
- 113. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 115/469
Классификация
метрик
информационной
безопасности
- 114. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 116/469
О метриках
Существуют различные классификации метрик ИБ
Например, метрики
оценивающие эффективность реализации политики
безопасности
оценивающие эффективность процесса обеспечения
безопасности (насколько оправданы затраты)
оценивающие влияние безопасности на бизнес
Например, каждая система может создавать 2 типа
метрик
Показывающие достижение целей в системе
Являющиеся входным параметром для систем более высокого
уровня
Использование метрик зависит от уровня зрелости
процессов ИБ
- 115. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 117/469
Таксономия метрик ИБ
Метрики
По финансам
Монетарные
Немонетарные
По
представлению
Обычные
Двоичные
Процентные
По осязаемости
Осязаемые
Неосязаемые
По отношению к
цели
Прямые
Косвенные
По
применимости
Прямые
Являющие
входом для
других систем
По объекту
оценки
Результат
Процесс
По
стратегичности
Стратегические
Тактические
Оперативные
- 116. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 118/469
Иерархия метрик
в масштабе службы ИБ
Система управления
(Security Governance)
Система управления
(Security Management)
Технические средства
(Security System)
- 117. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 119/469
Иерархия метрик
в масштабе предприятия
Корпоративные измерения
(финансы, индексы, рейтинги)
Сравнение с другими
компаниями
Измерение достижения
департаментами своих целей
и их оптимальности
Измерение отдельных
элементов (продуктов,
процессов, услуг)
- 118. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 120/469
Метрики безопасности
Метрики эффективности реализации
Пример (один источник данных): число неудачных попыток
аутентификации
Пример (несколько источников данных): число инцидентов
безопасности по причине некорректной настройки
подсистемы контроля доступа
Метрики эффективности процесса ИБ
Пример: число специалистов, требуемых для реагирования
на инциденты
Метрики оценки влияния на бизнес
Пример: стоимость обработки звонка в Help Desk по поводу
смены пароля или время простоя бизнес-пользователя в
результате вирусной эпидемии
- 119. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 121/469
Стратегические/тактические метрики
Стратегическая метрика – показатель правильности
выбранного пути
Отклонение от него не требует немедленной реакции
Стандартный срок действия метрики – 3 года
Требуется понимание образа мыслей топ-менеджеров
Никаких деталей – только высокоуровневые индикаторы
Отраслевых стратегических метрик в ИБ нет
В отличие от других отраслей
Исключая число выданных сертификатов и лицензий
Такую идею закинули в СовБез при написании «Культуры ИБ»
- 120. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 122/469
Стратегические отраслевые метрики
Здравоохранение
Коэффициент трудовой занятости, общее число
госпитализированных и выписанных, показатель рождаемости
и смертности и т.п.
Промышленность
Число аварий на производстве, число дефектов на устройство,
среднее отклонение от допуска и т.д.
Ритейл
Объем продаж на квадратный метр, продажи на одного
покупателя, число покупок на одного покупателю и т.д.
- 121. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 123/469
Проект Index of Cyber Security
Оценка уровня восприятия риска кибербезопасности в
мире
- 122. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 124/469
Как выбирать
метрики ИБ
- 123. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 125/469
Выбор метрик
Не используйте метрики, создающие «видимость»
улучшения, без самого улучшения для бизнеса
Например, число обнаруженных вирусов или устраненных
уязвимостей
Если измерение не дает ничего с точки зрения бизнеса,
то это плохое измерение
Измерение ради научных целей интересны, но не нужны в деле
Метрика должна быть релевантной, измеримой в
адекватных терминах и, желательно, ассоциированной
со стоимостью
Время/стоимость простоя пользователя в месяц
Не идеальна, но соответствует требованиям
Можно также учесть время, в который происходит простой, роль
пользователя, который простаивает и т.д.
- 124. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 126/469
Выбор метрик(окончание)
Точность метрики менее важна, чем ее качественная
связь с бизнесом и его целями
Метрики должны быть применимы ко всему
предприятию
Если мы хотим донести до топ-менеджмента всю важность ИБ
Локальные метрики допустимы на уровне отдела или для
собственных задач
Измерения должны быть повторимыми
Не бывает универсальных метрик
У каждого предприятия свои особенности и свои метрики
Не используйте сложных в вычислении метрик
Это снижает доверие к результатам и увеличивает время
- 125. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 127/469
От простого к сложному: метод
выбора метрик KISS
KISS – Keep It
Simple, Stupid!
Не усложняй, тупица!
Метрика не должна
быть неизмеримой
У вас не будет
надежды
Метрика должна
быть вызовом
Иначе не будет
мотивации
- 126. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 128/469
Принципы выбора метрик
SMART – Specific, Measurable, Achievable, Relevant,
Timely
Как можно конкретнее, без двойных толкований, для
правильной целевой аудитории
Результат должен быть измеримым, а не эфемерным
Зачем выбирать цель, которая недостижима?
Соответствие стратегическим целям, а не «вообще»
Своевременность и актуальность
- 127. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 129/469
Принципы выбора метрик
Характеристика Пример хорошей метрики Пример плохой метрики
Конкретная Число неудачных попыток
входа в систему в неделю
на одного сотрудника
Число неудачных попыток
входа в систему
Измеримая Уровень лояльности
внутренних клиентов
Доход от внедрения
системы защиты
Достижимая Число инцидентов в
текущем квартале < 5
Отсутствие инцидентов ИБ
за текущий квартал
Релевантная Число проектов по ИБ,
завершенных в срок
Число запущенных
проектов по ИБ
Актуальная Число пропатченных ПК в
этом году
Число пропатченных ПК в
прошлом году
- 128. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 130/469
От простого к сложному: метод
выбора метрик SMART-PURE-CLEAR
PURE – Positively Stated, Understood, Realistic,
Ethical
Выберите позитивную метрики
Метрика должна быть понятна целевой аудитории
Метрика должны быть реалистична
Не забывайте про этику
CLEAR – Challenging, Legal, Environmentally Sound,
Agreed, Recorded
Метрика содержит вызов?!
Легальна ли ваша метрика?
Не нарушает экологию?
Согласована?
Записана? Запротоколирована?
- 129. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 131/469
Выбор метрик (окончание)
Нельзя допускать появления кросс-метрик, одинаково
подходящих для оценки двух разных целей
Особенно противоположных целей
Метрика
А
Цель
1
Цель
2
- 130. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 132/469
Как выбирают метрики?
1. Метрики обычно выбираются исходя из
корпоративных целей (в 65% случаев)
2. Анализ существующих отчетов, из которых
вычленяются чаще всего используемые для оценки
деятельности показатели
3. Индивидуальные интервью
4. Карты бизнес-процессов
5. Специальные сессии определения KPI
6. Групповые интервью
7. Стратегические карты
8. Опросы (в 23% случаев)
- 131. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 133/469
Пример: какой антивирус лучше
Исходные данные
Symantec Antivirus обнаруживает 100K+ штаммов вирусов
Антивирус AntiDIR обнаруживает только один вирус DIR
Задача – определить какой антивирус лучше?
- 132. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 134/469
Пример: значимость метрик
Измерение числа спам-сообщений в общем объеме
почты
Как это важно для предприятия и для бизнеса?
Что изменится, если спама будет 70%, а не 50%
Обнаружение шпионского ПО
Обнаружение 50% всех spyware, встречающихся в диком виде
Обнаружение 95% spyware, которые могут встретиться в
компании (даже если это будет 10% от всех spyware)
Число вирусов, а следовательно и атак, бесконечно.
Поэтому бессмысленно опираться на конечное число
обнаруженных вирусов и уязвимостей
Что такое тысяча или даже миллион по сравнению с
бесконечностью
- 133. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 135/469
Пример: дорога на Луну
Задача: Я хочу добраться до луны
Решение: насыпать холм до луны
Каждый день холм растет на 10 м
Каждый день я становлюсь на 10 м ближе к цели
Для достижения цели потребуется 38440000 дней
Можно наблюдать процесс достижения цели!!!
Но… цель недостижима, т.к. Земля движется вокруг
своей оси, солнца, галактики… и
расстояние/направление от холма до Луны постоянно
изменяется
- 134. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 136/469
Выбор метрик
Будьте осторожны в выборе метрик
Сотрудники будут оптимизировать свою деятельность, чтобы
метрики говорили в их пользу
Это допустимо, если от этого выиграет бизнес
- 135. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 137/469
Пример: число звонков в Service Desk
Задача: оценить время реагирования на звонок об
инциденте
Поощрение за снижение времени реагирования
Сотрудники могут класть трубку сразу после звонка!
Поощрение за число разрешенных инцидентов
Сотрудники будут самостоятельно пытаться закрыть инцидент,
не эскалируя его правильному специалисту
Увеличение длительности звонков и ожидания клиентов на
линии
Меньше доступных специалистов – ниже удовлетворенность
Комбинируйте метрики
Время реагирования на звонок + длительность звонка
- 136. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 138/469
Пример: контроль доступа в Интернет
Задача: оценить эффективность системы контроля
доступа
Видимая оценка
• 1,5 часа в день на
«одноклассниках»
• 200 сотрудников
• 6600 часов экономии –
825 чел/дней
• $18750 в месяц (при
зарплате $500)
• $225000 в год экономии
Скрытая оценка
• Блокирование доступа
не значит, что
сотрудники будут
работать
• Работа «от» и «до» и не
больше
• Ухудшение псих.климата
• Потери $150000 в год
- 137. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 139/469
Считать можно все!
Единица
измерения
Метрика
Частота
измерения
секундаУдачная аутентификация квартал
секундаНеудачная аутентификация квартал
долларов
на звонок
Стоимость обработки
звонка в Help Desk
о смене пароля
квартал
минут в день
Время регистрации
в системе
квартал
долларов
за событие
Добавление/удаление
учетной записи
квартал
инцидент
Инцидент, произошедший
из-за некорректной настройки
системы контроля доступа
квартал
- 138. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 140/469
Считать можно все!
Единица
измерения
Метрика
Частота
измерения
долларов на
сотрудника
Стоимость системы защиты в
расчете на одного сотрудника
(собственного или по контракту)
6 месяцев
процент
Число узлов КИС, на которых были
протестированы механизмы защиты
ежегодно
час
Время между обнаружением
уязвимости и ее устранением
квартал
процент
Число прикладных систем, для
которых реализовано требование
разделения полномочий между
операциями А и Б
6 месяцев
процент
Число лэптопов с внедренной
подсистемой шифрования важных и
конфиденциальных документов
квартал
- 139. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 141/469
Считать можно все!
Единица
измерения
Метрика
Частота
измерения
процент
Число систем, для которых план
реагирования на инциденты был
протестирован
квартал
процент
Число задокументированных
изменений ПО
6 месяцев
процент
Число систем с установленными
последними патчами
месяц
процент
Число систем с автоматическим
антивирусным обновлением
6 месяцев
процент
Число сотрудников, прошедших
через тренинги по повышению
осведомленности
ежегодно
процент
Число систем с разрешенными
уязвимыми протоколами
6 месяцев
- 140. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 142/469
Что обычно считают?
Какие данные собирает ваша организация? %
Обнаруженных вирусов в файлах 92,30%
Обнаруженных вирусов в почте 92,30%
Неудачный пароль при входе в систему 84,60%
Попытка проникновения/атаки 84,60%
Обнаруженный/отраженный спам 76,90%
Доступ к вредоносным сайтам 69,20%
Неудачное имя при входе в систему 69,20%
Обнаруженных вирусов на сайтах 61,50%
- 141. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 143/469
Что обычно считают?
Какие данные собирает ваша организация? %
Внутренняя попытка НСД 61,50%
Нарушение со стороны администратора 61,50%
Удачное проникновение 53,80%
Раскрытие информации 38,50%
Пропущенный спам 38,50%
Ложное обнаружение спама 30,80%
Другое 23,10%
Источник: http://www.csoonline.com/analyst/report2412.html