Измерение эффективности ИБ

1/469© 2008 Cisco Systems, Inc. All rights reserved.Security Training
Как посчитать
эффективность ИБ?
Версия 1.7
Алексей Лукацкий
Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved.Security Training 2/469
Что говорит и думает руководство?
 Он спрашивает: «Каков уровень риска?»
Он думает: «Чем нам это грозит?»
 Он спрашивает: «Соответствуем ли мы
требованиям?»
Он думает: «Не накажут ли нас?»
 Он спрашивает: «Почему так дорого?»
Он думает: «А может лучше кофе или туалетной бумаги
купить?»
 Знания CISO/CIO не совпадают с восприятием CxO
Любой вопрос подразумевает измерение ИБ!

“Если вы можете измерить то, о чем говорите,
и выразить это в цифрах, вы что-то знаете об
этом предмете. Но если вы не можете
выразить это количественно, ваши знания
крайне ограничены и неудовлетворительны.”
Лорд Кельвин (Уильям Томсон), британский физик
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID

О чем пойдет речь
 Зачем измерять безопасность?
 Метрики ИБ
 Программа управления оценкой эффективности ИБ
 Методы измерения ИБ
 Средства автоматизации измерения
 Стандарты измерения эффективности
 Прямая и косвенная отдача от ИБ
 Примеры оценки эффективности отдельных
проектов по ИБ

Безопасность на
уровне бизнеса

Опрос ISACA
 Опрос «Critical Elements of Information Security
Program Success», ISACA
 Опрос 157 руководителей в 8 странах
Канада, Франция, Германия, Израиль, Италия, Япония, США,
Венесуэла
 Отрасли
Финансы, транспорт, ритейл, государство, промышленность,
здравоохранение, консалтинг, коммунальные услуги
 35 критических факторов успеха
Культура, люди, бюджет и финансы, организация, технологии,
законы и стандарты, метрики, повышение осведомленности и
обучение

Ключевые факторы успеха
Приоритетные
 Поддержка ИБ-инициатив топ-менеджментом
 Понимание руководством вопросов ИБ
 Планирование ИБ до внедрения новых
технологий/проектов
 Интеграция между бизнесом и ИБ
 Связь ИБ с целями организации/бизнеса
 Владение и подотчетность процессов внедрения,
мониторинга и репортинга ИБ топ-менеджменту и
линейным руководителям

Ключевые факторы успеха
Дополнительные
 Обучение и повышение осведомленности
сотрудников по вопросам ИБ
 Внедрение политик и стандартов ИБ
 Расположение ИБ в иерархии организации
 Бюджетирование стратегии ИБ и тактических планов
 Коммуникации о важности ИБ со стороны топ-
менеджмента
 Возможность финансовой оценки ИБ
 Применение лучших практик и метрик

Метрики
Что и как
измерять
55
Процесс
взаимодействия
Двусторонняя связь
22
Общий язык
Бизнес первичен
11
Выход на
руководство
Сила и влияние
44 33
Система
убеждения
Маркетинг и PR
5 критериев успеха

Security
Governance

“Концепция "governance" не нова. Она также
стара, как и человеческая цивилизация.
Просто "governance" означает: процесс
принятия решения и процесс, при котором
решения внедряются (или не внедряются).”
Комиссия по социальным и экономическим вопросам
ООН

 Governance (в бизнесе) – действие по разработке и
последовательному управлению связанных в единое
целое политиками, процессами и правильными
решениями в данной области ответственности
 . . . связь между бизнесом и управлением ИТ
 . . . стратегические ИТ-решения, за которые отвечает
корпоративный менеджмент, а не CIO или другие ИТ-
менеджеры
 . . . ИТ Governance – это подмножество Corporate
Governance, фокусирующееся на информационных
системах
 …подтверждение того, что ИТ-проекты легко
управляются и глубоко влияют на достижение бизнес-
целей организации
Другие определения Governance

 ИТ Governance подразумевает систему, в которой все
ключевые роли, включая совет директоров и
внутренних клиентов, а также связанные области,
такие как, например, финансы, делают необходимый
вклад в процесс принятия ИТ-решений
 …взаимосвязь между ИТ, инициативами соответствия
(compliance), управлением рисками и корпоративной
бизнес-стратегией
Другие определения Governance

 IT governance поддерживает следующие
дисциплины:
Управление ИТ-активами
Управление ИТ-портфолио
Архитектура предприятия
Управление проектами
Управление программами
Управление ИТ-сервисами
Оптимизация бизнес-технологий
Связь с другими ИТ-дисциплинами

Источник: The Information Paradox
IS
Governance
of IS
Business
Governance
of IS
Enterprise
Governance
of IS
Непрерывный процесс…
Ключевые вопросы Security
Governance
Are we
doing
the right
things?
Are we
doing
the right
things?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
doing
the right
things?
Are we
doing
the right
things?
Are we
doing
the right
things?
Мы делаем
правильные
вещи?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Мы делаем
это
правильно?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
them done
well?
Мы
преуспели
в
достижении?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Мы
получаем
преиму-
щества?

Are we
doing
the right
things?
Are we
doing
the right
things?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
doing
the right
things?
Are we
doing
the right
things?
Are we
doing
the right
things?
Мы делаем
вещи?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Мы делаем
это
правильно?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
them done
well?
Мы
преуспели
в
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Мы
получаем
преиму-
щества?
Стратегический вопрос. Инвестиции:
В соответствие с нашим видением?
Соответствуют нашим бизнес-принципам?
Содействуют нашим стратегическим целям?
Обеспечивают оптимальное значение, затраты
и уровень рисков?
Вопрос ценности. Мы имеем:
• Очевидное понимание ожидаемых
преимуществ?
• Релевантные метрики?
• Эффективные преимущества реализации
процесса?
Архитектурный вопрос. Инвестиции:
В соответствие с нашей архитектурой?
Соответствуют нашим архитектурным
принципам?
Содействуют созданию архитектуры?
В соответствие с другими инциативами?
Вопрос реализации. Мы имеем:
Эффективный процесс управления
изменениями и реализации?
Компетентные и доступные технические и
бизнес-ресурсы для реализации:
Требуемых возможностей; и
Организационных изменений, требуемых для
достижения возможностей.
Источник: Fujitsu Consulting
4 вопроса в деталях

COBIT
Governance &
управление портфолие
технологических
проектов, сервисов,
систем &
поддерживающей
инфраструктуры
Val IT
Governance &
управление
портфолио
программой
изменения бизнеса
Are we doing
the right
things?
Are we doing
them the right
way?
Are we doing
them well?
Are we getting
the benefits?
Are we doing
the right
things?
Are we doing
them the right
way?
Are we doing
them well?
Are we getting
the benefits?
Мы делаем
вещи?
Мы делаем
их
правильно?
Мы
преуспели в
Мы получили
преиму-
щества?
Are we doing
the right
things?
Are we doing
them the right
way?
Are we doing
them well?
Are we getting
the benefits?
Are we doing
the right
things?
Are we doing
them the right
way?
Are we doing
them well?
Are we getting
the benefits?
PO
AI
ME
DS
PM
VG
IM
“..достучаться до CXO
и других старших
менеджеров с
посланием, как
ценность ИТ для
бизнеса может быть
прозрачным и
увеличивать…”
как решение задачи

Руководство, процесс и структура
гарантирующие, что ИТ на
предприятии разрешают и
поддерживают стратегию и цели
предприятия, а также определяющие:
1. какие ключевые решения должны
быть приняты;
2. кто отвечает за их принятие;
3. как они должны быть приняты; и
4. процессы и and поддерживающие их
структуры для принятия решений,
включающие мониторинг строгого
соблюдения процессов и
эффективности принятия решений
Strategic
Alignm
ent
ValueDelivery
RiskManagement
Resource
Management
Performance
Measurement
ITIT
GovernanceGovernance
DomainsDomains
Strategic
Alignm
ent
ValueDelivery
RiskManagement
Resource
Management
Performance
Measurement
ITIT
Strategic
Alignm
ent
ValueDelivery
RiskManagement
Resource
Management
Performance
Measurement
ITIT
DomainsDomains
Strategic
Alignm
ent
ValueDelivery
RiskManagement
Resource
Management
Performance
Measurement
ITIT
Источник : ITGI
ИТ Governance согласно Val IT

Топ-менеджмент
Управление бизнесом
Операции ИТ
ИТ (функциональное
управление)
Аудиторы
Связь с другими ИТ-стандартами
Val IT
COBIT
ITIL

 Способность показать, как ИБ
связана с бизнес-стратегией
несет ценность бизнесу
управляет рисками
управляет ресурсами
управляет достижением целей
Резюме: ИБ Governance

Структура ИБ Governance

Модель зрелости измерений ИБ
5. Управлять всем
4. Как связать с бизнесом?
3. Как можно измерять?
2. Что можно измерять?
1. А разве можно измерять?

Измерение ИБ это многогранная задача
1. Уровень опасности или сколько мы потеряем?
2. Сколько денег на ИБ достаточно?
3. Мы достигли цели?
4. Насколько оптимально мы движемся к цели?
5. Сколько стоит информация?
6. Насколько мы соответствуем стандартам или
требованиям?
7. Какая из мер защиты выгоднее/лучше?
8. Как мы соотносимся с другими?
9. …

Проблема
измерений ИБ

Почему мы отказываемся измерять?
 Это нематериально, а значит неизмеримо
 Отсутствуют методы измерения
 «Проценты, статистика… С помощью них можно
доказать все, что угодно»
 «Чтобы оценить этот показатель, нужно потратить
миллионы рублей. А менее масштабный проект дает
большую погрешность»
Важные для предприятия проекты пропускаются в
пользу слабых только потому, что во втором случае
методы оценки ожидаемого эффекта всем известны,
а в первом нет

Проблемы измерений
 Принятие решений часто требует количественной
оценки предполагаемых нематериальных активов
или вопросов
 Многие считают такую оценку невозможной, а
нематериальное неподдающимся измерению
Именно это часто является причиной отказа от многих
проектов (предубеждение пессимизма)
 Раз это невозможно, то мало кто пытается это
сделать
 Но
Если какой-либо объект/явление можно наблюдать тем или
иным образом  существует метод его измерения

Развенчание мифа
 Если что-то лучше
  Есть признаки улучшения
  Улучшение можно наблюдать
  Наблюдаемое улучшение можно посчитать
  То, что можно посчитать, можно измерить
  То, что можно измерить, можно оценить
 …и продемонстрировать!

Все связано с измерениями
 Результат работы любой системы, программы или
процесса должен измеряться
Сравнение или анализ тенденций невозможны без
измерения
 Внедрение системы качества немыслимо без
измерений
Как можно повышать качество, не зная о его текущем
уровне
 Управление ИБ немыслимо без измерений
Как можно управлять ИБ, не зная о текущем уровне угроз и
стоимости защищаемых ресурсов?

Безопасность и деньги
 Занимаясь повседневной деятельностью мы
нечасто думаем о деньгах в контексте ИБ
И только тогда, когда возникает необходимость попросить у
руководства деньги на новый проект, продукт или услугу
 Выигрывает не тот, кто сильнее, а тот кто лучше
приспособлен
 Множество проектов и инициатив при нехватке
финансовых средств
Особенно в условиях кризиса
 Деньги получает тот, кто может сможет лучше
обосновать запрашиваемые ресурсы
Сколько надо? Почему столько? Какова отдача?

Об измерениях надо думать когда
 Есть описанные процессы ИБ
 Для бизнес-процессов существуют измеримые цели
или требования измерения эффективности
 Имеется методика оценки качественного или
количественного измерения текущего состояния и
сравнения его с целью
 Вы достигли определенного уровня зрелости
 Вы хотите сертифицироваться по ISO 27001 или
ISM3
 Вы хотите контролировать процессы ИБ и держать
все в руках

Начнем с
определений или
что такое
измерение?

Что такое измерение?
 Измерение – это определенность, точная величина?
Количественное выражение чего-либо?
Расчет точной стоимости чего-либо?
Сведение к одному числу?
 Измерение – это совокупность снижающих
неопределенность наблюдений, результат которых
выражается некоей величиной!
 Измерение – это не только полное, но и частичное
сокращение неопределенности

“Как это не парадоксально, но всякая точная
наука основывается на приблизительности.
Если кто-то говорит вам, что точно знает что-
то, можете смело делать вывод: вы
разговариваете с человеком, не имеющим
понятия о точности.”
Бертран Рассел, британский математик и философ

Точное значение или интервал?
 Научные методы описывают результаты в
определенном интервале значений
Проект по обеспечению бесперебойной работы сайта
позволил повысить лояльность клиентов на 7-12%
 Интервал значений позволяет не делать допущений,
в которых мы не уверены
Риск = 5% или риск в интервале от 2% до 9%
Интервалы можно складывать, вычитать, умножать, как и
точные значения (метод Монте-Карло)
 Т.к. измерение снижает неопределенность, то мы
должны понимать, что результат измерений должен
сопровождаться оценкой погрешности
Вероятность прохождения аттестации ФСТЭК составляет 85%

2 + 2 не всегда равно 4
 Измерение – это не всегда количественная оценка в
традиционном понимании этого слова
Произойдет ли сбой?
Получим ли мы сертификат соответствия?
Число сигнатур атак в IDS#1 больше чем в IDS#2 (не важно
насколько)
Продукт #1 имеет 4 балла в тестах, а продукт #2 – 2 балла (2
балла не обязательно вдвое меньше, чем 4 балла; а 2
системы, имеющие по 2 балла, не обязательно будут также
эффективны, как одна система с 4-мя баллами)

Качество или количество?
 1954 г. - Paul Meehl – «Clinical Versus Statistical
Prediction: A Theoretical Analysis and Review of the
Evidence», 1954
Работа обновлена в 1996
 Количественная оценка работает лучше экспертной
(качественной)
В 136-ти случаев из 144-х
Качественная оценка необъективна по своей сути
При качественной оценке сложно предъявить
доказательства

Вернемся к
определениям или
что такое
информационная
безопасность?

“Правильно поставленная проблема уже
наполовину решена.”
Чарльз Кеттеринг, американский изобретатель

О понятии ИБ
 ИБ – это не универсальное, не стандартное понятие
 Оно персонифицировано в каждой конкретной
ситуации, для каждой конкретной организации, для
каждого конкретного CISO
В одной и той же компании, разные CISO могут по-разному
заниматься ИБ
В одной и той же компании при одном и том же CISO, но
разных CEO, ИБ может двигаться в разных направлениях
 ИБ – это понятие, зависящее от множества
факторов/элементов

Термин «безопасность»
 Безопасность – отсутствие опасности
В.Даль
 Безопасность – состояние, при котором не угрожает
опасность
С.Ожегов
 Безопасность – состояние защищенности жизненно
важных интересов личности, общества и
государства от внутренних и внешних угроз
ФЗ «О безопасности»

 Безопасность информации - деятельность,
направленная на предотвращение или
существенное затруднение несанкционированного
доступа к информации (или воздействия на
информацию)
ФСТЭК
 ИБ – технологическая задача, обеспечивающая
целостность, конфиденциальность и доступность
А как же борьбы со спамом? Или шантаж DDoS?
 Безопасность - состояние защищенности объекта
от внешних и внутренних угроз

 Безопасность – системное свойство, позволяющее
развиваться и процветать в условиях конфликтов,
неопределенности и рисков на основе
самоорганизации и управления
 Безопасность – деятельность людей, общества,
государства по выявлению, предупреждению,
ослаблению, устранению и отражению опасностей
и угроз, способных погубить их, лишить ценностей,
нанести неприемлемый ущерб, закрыть путь для
выживания и развития
 Информационная безопасность - динамическое
состояние сохранения жизненно важных
параметров предприятия в информационной
сфере

Как я понимаю ИБ?!
 Информационная безопасность - состояние
защищенности интересов стейкхолдеров
предприятия в информационной сфере,
определяющихся совокупностью
сбалансированных интересов личности, общества,
государства и бизнеса
Переработанное определение из Доктрины
информационной безопасности
 Очень емкое и многоуровневое определение
 Может без изменения применяться в ЛЮБОЙ
организации
Меняться будет только наполнение ее ключевых элементов
– стейкхолдеры, информационная сфера, интересы

Стейкхолдеры ИБ
• ИТ
• ИБ
• Юристы
• Служба внутреннего контроля
• HR
• Бизнес-подразделения
• Руководство
• Пользователи
Внутри
предприятия
• Акционеры
• Клиенты
• Партнеры
• Аудиторы
Снаружи
• ФСТЭК
• ФСБ
• Роскомнадзор
• СВР
• МО
• ФАИТ
Регуляторы

Информационная сфера
 Информационная сфера - это совокупность
информации, информационной инфраструктуры,
субъектов, осуществляющих сбор, формирование,
распространение и использование информации, а
также системы регулирования возникающих при
этом отношений
 В данном определении информационная
инфраструктура включает в себя также и
технологии обработки информации

Интересы стейкхолдеров
 Универсального списка интересов не существует –
у каждого предприятия на каждом этапе его
развития в различном окружении при различных
руководителях интересы различны
ИБ
• Конфиденциальность
• Целостность
• Доступность
Юристы
• Соответствие
• Защита от
преследования
• Новые законы
• Соответствие
Пользователи
• Тайна переписки
• Бесперебойный
Интернет
• Комфорт работы
Акционеры
• Рост стоимости акций
• Контроль топ-
• Прозрачность
ИТ
• Доступность
сервисов
• Интеграция
• Снижение CapEx

Интересы бизнеса
 Рост (доли рынка, маржинальности, доходности…)
 Экспансия (новые рынки, новые целевые аудитории)
 Рост продуктивности сотрудников
 Соответствие требованиям
 Инновации и новые бизнес-практики
 Реинжиниринг бизнес-процессов
 Взаимоотношения с клиентами (лояльность)
 …

Определите объект измерения!!!
 Самое важное – определить объект измерения!
 Что для вас информационная безопасность?
Снижение числа вредоносных программ?
Получение аттестата PCI Council?
Снижение числа запросов в Help Desk по поводу забытых
паролей?
Снижение числа утечек конфиденциальной информации?
Защита от наездов регуляторов?
 Что конкретно ВЫ имеете ввиду?!
 Определитесь с объектом измерения и половина
работы по измерению будет проведена!

Закончим с
определениями
или что такое
эффективность?

“Ничто так не мешает прогрессу знания, как
расплывчатость терминологии.”
Томас Рейд, шотландский философ

Что такое эффективность?
 Мало кто может сказать, что такое эффективность –
большинство может сослаться на разрозненные
наблюдения, которые ассоциируются у них с
эффективностью
Число эпидемий стало меньше
Заказчики стали меньше звонить в Help Desk по поводу
недоступности сайта
Пользователи стали реже заносить вредоносные программы
на флешках
Руководство не жалуется, что не может «достучаться» до
корпоративной ИС из командировки
Сервер AD ни разу не «упал» в этом месяце

Что такое эффективность?
 Эффективность – это поддающийся
количественному определению вклад в достижение
конечных целей
 Важно в конкретном случае детализировать понятие
«эффективность» (объект измерения)

Efficiency vs. Effectiveness
Результативность
Оптимальность
 Сначала мы обычно оцениваем достижение цели как
таковой (результат)
Но интересно ли нам достижение цели любыми средствами?
 Термин «эффективность» на английском языке
имеет два значения

Измерение на результат и процесс
 Измерения, нацеленные на результат
Наиболее привычные для служб ИБ
Чаще всего выдаются системами защиты
 Измерения, нацеленные на процесс
Сложнее оцениваются
Требуют взаимодействия с людьми
• Процент заблокированного спама
• Процент прошедшего спама через
антиспам и о котором сообщили
сотрудники, прошедшие тренинг
повышения осведомленности
Антиспам

Что же такое
измерение
эффективности
ИБ?

Квинтэссенция измерений
эффективности ИБ
Источник: NIST SP800-55

Напомним заинтересованных лиц
(стейкхолдеров)
• ИТ
• ИБ
• Юристы
• Служба внутреннего контроля
• HR
• Бизнес-подразделения
• Руководство
• Пользователи
Внутри
• Акционеры
• Клиенты
• Партнеры
• Аудиторы
Снаружи
• ФСТЭК
• ФСБ
• Роскомнадзор
• СВР
• МО
• ФАИТ

Стейкхолдеры в медицине
Отчет: The Financial Impact of Breached Protected Health Information: A Business Case for Enhanced PHI Security

Куда стремится
ИБ или немного о
целях?

Цели ИБ
 Прежде чем оценивать эффективность, необходимо
понять, определить и зафиксировать цели,
эффективность достижения которых мы измеряем!!!
Получение аттестата ФСТЭК на все АС/ИСПДн
Сертификация ключевых процессов на соответствие ISO 27001
Достижение 4 уровня по СТО БР ИББС
Сокращение числа инцидентов ИБ до 3 в месяц
Внедрение защищенного мобильного доступа для руководства
Внедрение защищенного удаленного доступа для
географической экспансии
Повышение устойчивости инфраструктуры к DDoS-атакам с
целью повышения лояльности клиентов и снижение их текучки
Снижение затрат на ИБ на 15%

Достижение каких целей измеряем?
Цели топ-
Цели топ-
Операционные
цели
Операционные
цели
Финансовые
цели
Финансовые
цели
Цели ИТЦели ИТ
Цели ИБЦели ИБ
 Цели ИБ в данной ситуации вторичны, т.к. их никто
не понимает кроме службы ИБ
Грустно это признавать, но это так

Но есть ли все-таки связь ИБ и
бизнесом?
 Согласно исследованию E&Y во время кризиса все
компании начинают с сокращения затрат (без
эффекта)
 7 ключевых областей для оптимизации расходов
Оптимизация ассортимента продукции
Изменение стратегии продаж
Сокращение затрат на персонал
Повышение производительности
Аутсорсинг
Оффшоринг
Оптимизация использования и стоимости привлечения
ресурсов

Изменение стратегии продаж
 Рост выручки  рост числа клиентов 
географическая экспансия  решение по
защищенному удаленному доступу и защите от
утечек информации
 Рост выручки  рост числа сделок  оснащение
мобильными устройствами и подключением к
Интернет  решение по защищенному удаленному
доступу
 Рост выручки  рост числа клиентов/сделок,
ускорение сделок, снижение себестоимости сделок 
новый канал продаж  Интернет  решение по
защищенному удаленному доступу, защите Интернет-
ресурсов

Снижение арендной платы
 Снижение арендной платы  уменьшение
арендуемых площадей  перевод сотрудников на
дом  решение по защищенному удаленному
доступу
 Экономия на:
Аренда площадей
Питание сотрудников
Оплата проездных (если применимо)
Оплата канцтоваров
Оплата коммунальных расходов, а также
Улучшение психологического климата за счет работы дома
Рост продуктивности

Уменьшение складских запасов
 Уменьшение складских запасов  удаленный доступ
к складской ИС поставщиков  решение по
защищенному удаленному доступу, защита Интернет-
ресурсов, Identity & Entitlement Management
Уменьшение складских площадей
Оптимизация логистики
Ускорение цикла поставки

Оптимизация финансовых затрат
 Оптимизация финансовых затрат  переход на
лизинг или оплату в рассрочку  обращение в
компании по ИТ/ИБ-финансированию
 Выгоды:
CapEx переходит в OpEx
Ускоренная амортизация (коэффициент – 3)
Снижение налога на прибыль и имущество
Не снижает Net Income, EBITDA
Нет проблем списания оборудования
Отсрочка платежа
Фиксированная ставка в рублях
Положительное влияние на финансовые показатели

Рост продуктивности сотрудников
 Рост продуктивности  снижение времени,
потраченного на дорогу  перевод сотрудников на
дом  решение по защищенному удаленному
доступу
 Рост продуктивности – от 10% до 40%
 Дополнительно:
Увеличение рабочего времени
Экономия на аренде площадей
Экономия на питании сотрудников
Экономия на оплате проездных (если применимо)
Экономия на оплате канцтоваров
Улучшение психологического климата за счет работы дома

Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям
Аэропорт
WAN/Internet
SiSi
SiSi
Отель
Предприятие
Дорога
Кафе
Главный
офис HQ
Филиал Дом
 Многие компании фокусируются на предоставлении сервиса на своей
территории (зарплата, билеты, документооборот…)
 Сотрудник в среднем тратит только 30–40% времени в офисе
100
сотрудников
500
1000
Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.
1 час потери продуктивности $1,200 $6,000 $12,000
Потери в год от 1 часа в неделю $62,5K $312,5К $625К
Рост продуктивности

Уменьшение числа командировок
 Уменьшение числа командировок  внедрение
видеоконференцсвязи/унифицированных
коммуникаций/TelePresence  решение по
защищенному удаленному доступу и защите
унифицированных коммуникаций
Командировочных затратах ($300-400 на авиабилет + $100 на
гостиницу в сутки)

Рост продуктивности сотрудников
 Чтение электронной почты  отвлечение на
незапрошенную корреспонденцию  антиспам-
решение
Интернет-трафике
Времени чтения почты
Последствия вирусных эпидемий
 Особенности
Экономия на времени чтения почты имеет значение для
предприятий с большим числом сотрудников

Сокращение затрат на Интернет
 Контроль действий сотрудников в Интернет 
блокирование загрузок постороннего ПО, музыки,
видео и контроль посторонних сайтов  решение по
контролю URL
Интернет-трафике
 Дополнительно
Рост продуктивности (может быть)
Защита от вирусов и троянцев в загружаемом трафике

Другие примеры
 Снижение рисков путешествий (и затрат на них) для
сотрудников  внедрение унифицрованных
коммуникаций и Telepresence  защита
коммуникаций (технологии VPN, AAA и т.п.)
 Снижение издержек на ИТ  аутсорсинг  защита и
разграничение удаленного доступа (технологии VPN,
AAA, МСЭ и т.п., а также проработка юридических и
организационных моментов, связанных с ИБ)
 Снижение издержек на внутренний Helpdesk 
внедрение системы автоматического управления
паролями пользователей (технология AAA)

Другие примеры
 Поглощения и слияния  обеспечение
конфиденциальности сделки, оценка приобретаемых
активов с точки зрения ИБ  ИБ
 Выход на IPO  соответствие требование SOX или
листинга иной биржи  обеспечение целостности и
прозрачности
 Повышение кредитного рейтинга  выполнение
требований S&P или Moodys  ИБ (как некоторые из
требований рейтинговых агентств)
 Рост доверия со стороны акционеров  внедрение
системы корпоративного управления  внедрение
СВК внедрение СУИБ (как неотъемлемая часть
СВК согласно требованиям ЦБ и ФСФР)

А есть ли другие
цели?

Бизнес-цели
 «Бизнес-цели» - отталкиваемся не от того, ЧТО
защищаем, а КУДА стремимся
 Бизнес-цель может быть
У всего предприятием
У отдельного подразделения
У отдельного проекта/инициативы
У отдельного «важного» человека («спонсора»)
 Бизнес-цели не всегда связаны с финансами
Нельзя искать только финансовую выгоду от решения
вопросов безопасности
Необходимо учитывать нефинансовые цели (например,
лояльность клиентов) и синергетический эффект

Всегда ли выгода измеряется деньгами
 Бизнес инвестирует в проекты, приносящие отдачу
Отдача не обязательно носит денежный характер
Критерии
• Бизнес-ориентированный
• Связанный с приоритетами/целями
компании
• Измеримый в метриках, понятных бизнесу
• Приносящий ценность или отдачу
(желательно финансовую)
• Оптимальный (цель не любыми
средствами)
• Выполненный в срок
• Не нарушающий законодательство
Примеры
• Снижение TCO
• Защита взаимоотношений
• Рост доверия
• Соответствие требованиям
• Ускорение выхода на рынок
• Географическая экспансия
• Снижение бизнес-рисков
• Снижение текучки клиентов/партнеров
• Рост лояльности клиентов/сотрудников
• Оптимизация процессов
• Интероперабельность и интеграция
• Стандартизация
• Рост качества
• Оптимизация затрат (на внедрение,
эксплуатацию, поддержку и т.п.)
• Повторное использование
• Масштабируемость

Как определить бизнес-цели?
 Каким бизнесом занимается организация?
 Какие стратегические продукты, сервисы и
инициативы в организации?
 Каковы активности и потребности?
 В каких странах и индустриях делается бизнес?
 Какие тенденции, законы и требования отличаются в
разных странах?
 Каковы внутренние процессы и политики?
 С кем регулярно ведет бизнес организация?

Как определить бизнес-цели?
 Какова политическая ситуация?
 Кто владельцы бизнеса?
 Каков уровень зрелости организации?
 Какие бизнес-задачи сложно или невозможно
реализовать?
 Каковы риски?
 Каковы стратегические ИТ-инициативы?
 Не выдумывайте – поинтересуйтесь у топ-
менеджмента!

Примеры бизнес-целей
 Рост продуктивности сотрудников
Network Virtual Organization (NVO)
 Ускорение вывода продукта на рынок
Доступ поставщиков и партнеров к корпоративной сети
 Аутсорсинг бизнес- или ИТ-процессов
Данное бизнес-требование демонстрирует, что
безопасность может быть не столько технической задачей,
сколько юридической
 Географическая экспансия
Конфликт законодательств разных стран для
международных компаний или сдвиг PoS / PoD
 Поглощения и слияния

Связь измерений и бизнес-цели
 Наиболее эффективный путь – декомпозиция
бизнес-цели на части и выбор метрик для каждой
из них
Бизнес-цель
Подцель 1 Подцель 2 Подцель 3
Действие 1 Действие 2
Измерение 1 Измерение 2

Gartner Business Performance
Framework
 Метрики, оценивающие бизнес-процессы
 Бизнес-процессы состоят из действий, которые
нужно измерять

Framework

Связь ИТ и бизнес-задач

Главный
промежуточный
итог

Измерение эффективности ИБ
ИзмерениеИзмерение
Цели
ИБ
Цели
ИБ
Что
такое
ИБ?
Что
такое
ИБ?
 Комбинация 3
ключевых элементов
позволяет выбрать
Метод оценки
Метрики для
демонстрации
Способ демонстрации
целевой аудитории
Частоту оценки
Инструментарий
оценки
…

Аудитория для измерений ИБ
ИБИБ
ИБИБ
ИТИТ
ЮристыЮристы
HRHR
Внутренний
аудит
Внутренний
аудит
Топ-
менеджмент
Топ-
менеджмент
Бизнес-
отделы
Бизнес-
отделы
 Помимо 3 ключевых
элементов важно
понимать и
аудиторию, которой
будут
демонстрироваться
результаты
измерений
HR не интересует
уровень
соответствия
CxO не интересует
число вирусов
ИБ не интересует
выгодность проекта

Что мы хотим
измерять в ИБ
чаще всего?

Что мы будем измерять в ИБ?
 Какой уровень опасности нам грозит?
Что мы потеряем?
Оценка нематериальных активов
Оценка информации
Оценка материальных активов
ALE
Какова вероятность ущерба?
Что нам грозит?
Насколько мы уязвимы?
 Если вы посещали мой курс по моделированию угроз
– он отвечает именно на эти вопросы

Что мы будем измерять в ИБ? (продолжение)
 Сколько денег на безопасность надо?
Сколько мы потратим? Почему столько?
Какова отдача? И есть ли она?
Выгоден ли этот проект по ИБ?
Рискованны ли инвестиции в ИБ?
 Мы соответствуем требованиям?
Стандартов
SLA
Регуляторов
 Какая СЗИ лучше?
Лучше = дешевле, функциональнее, быстрее окупается,
быстрее работает…

Что мы будем измерять в ИБ? (окончание)
 Как мы соотносимся с другими?
 Насколько мы защищены?
На каком уровне находимся?
Стало ли лучше по сравнению с прошлым?
 Сколько времени потребуется?
На проникновение / распространение вредоносного ПО?
На внедрение СЗИ?
На возврат в исходное состояние после атаки?
 Оптимально ли
Мы движемся к цели?
Тратим деньги?
Настроена система защиты?

Программа
управления
оценкой
информационной
безопасности

Программа управления оценкой
 Выбор метрик – это только начало оценки
 Необходима целая программа управления данным
процессом
Регулярный, непрерывный, всеохватывающий процесс
 Не пытайтесь съесть слона целиком – нужно
поэтапное внедрение
Начните с одного бизнес-приложения (АБС), подразделения
(работы с клиентами), бизнес-процесса (Интернет-банкинг),
части инфраструктуры (например, Интернет-периметра)

Программа измерения: 5
обязательных элементов
• Занимаемся?
• Что получаем?
Стратегия
измерений
Стратегия
измерений
• Кто executive sponsor?
• Члены командыКомандаКоманда
• Что мы измеряем?
• Почему мы измеряем?Анализ GQMАнализ GQM
• Кто пересматривает?
• Как часто?
План
пересмотра
План
пересмотра
• Аудитория
• КонтентОтчетыОтчеты

GQM Framework
GOAL GOAL
Metric
QuestionQuestionQuestionQuestion
Metric Metric Metric MetricMetric

5 шагов построения программы
измерения ИБ
• Вовлеченность
• Подотчетность
Назначить
ответственного
Назначить
ответственного
• Документировать
• Равняться на других
Выстроить
структуру
Выстроить
структуру
• Политические
• Финансовые
• Людские
Получить
ресурсы
Получить
ресурсы
• Что работает?
• Что нет?
• Почему?
Регулярно
пересматривать
Регулярно
пересматривать
• Признать неудачи
• Изменить положение вещей
Делать
выводы
Делать
выводы

Модель зрелости программы метрик
5. Управлять всем
4. Как связать с бизнесом?
3. Как можно измерять?
2. Что можно измерять?
1. А разве можно измерять?

Описание этапов
Этап Особенности
Нулевой этап  Реактивный подход к безопасности
 Подводит нас к ответу на вопрос: «Разве ИБ можно измерять?»
 Попытка избегать любых измерений ИБ
 Нет времени на новые проекты, не то, что на их измерение
Первый этап  Подводит нас к ответу на вопрос: «Что можно измерять?»
 Можно решить измерить что-то, но что конкретно? И хотя каждая компания отлична от
других в своей ИБ есть ряд направлений, которые применимы ко всем – BCP,
управление конфигурациями ОС, железа и приложений, IAM, эффективность
реагирования на инциденты, уровень осведомленности персонала.
Второй этап  Подводит нас к ответу на вопрос: «Как можно измерять?»
 Понимание необходимости измерения метрик
 Базовые метрики (технические аспекты ИБ) – непрерывность бизнеса, identity
management, реагирование на инциденты, осведомленность персонала
 Непонимание методов измерений, частоты измерений, места и способа хранения
метрик, адресата для метрик и формата представления результатов (графики, таблицы
и т.п.)
Третий этап  Подводит нас к ответу на вопрос: «Как связать измерения ИБ с бизнесом?»
 Метрики собраны, измерены и увязаны с бизнес-процессами
 Можно сравнивать метрики по разным направлениям бизнеса, процессам и
подразделениям
Четвертый этап  Подводит нас к ответу на вопрос: «Как интегрировать систему измерений ИБ в общую
систему измерения эффективности бизнеса?»
 Метрики регулярно доносятся до всех руководителей
 CxO и LOB-менеджеры понимают необходимость участия в вопросах безопасности
 Интеграция с общекорпоративной стратегией управления рисками

«Женская» модель зрелости
 Executive Women’s Forum on Information Security,
Risk Management, and Privacy
Уровень 1Уровень 1
• Реактивный
подход к ИБ
• А ИБ можно
измерять?
• Базовые
метрики
• Поиск
подходов к
измерению
• Повторяемый
процесс
измерения
хорошо
понятных
метрик
• Первая
привязка к
бизнесу
• Включение
процесса
измерения ИБ
в общий
процесс
рисками для
ИТ и бизнеса

Примеры работы «женской» моделиЭтап1Этап1
Служба ИБ
задумалась о
процессе
повышения
осведомленнос
ти
Служба ИБ
задумалась о
процессе
повышения
ти
Этап2Этап2
Служба ИБ
вручную
готовит отчеты
о прошедших
тесты для
проверки
знаний
Служба ИБ
вручную
готовит отчеты
о прошедших
тесты для
проверки
знаний
Этап3Этап3
Служба ИБ
запускает сайт
с тестами и
автоматической
генерацией
отчетов
Служба ИБ
запускает сайт
с тестами и
автоматической
генерацией
отчетов
Этап4Этап4
Служба ИБ
включает
процесс
повышения
ти в общую
стратегию
персоналом
Служба ИБ
включает
процесс
повышения
ти в общую
стратегию
персоналом
 Рост числа внутренних инцидентов породил задачу
повышения осведомленности и выстраивания
процесса оценки этого проекта/задачи

Модель зрелости NIST
Источник: Guide for Developing Performance Metrics for
Information Security, NIST SP 800-80

Хорошая программа оценки
 Адекватные бизнес-задачам метрики и методы
измерения
 Ориентация на разные целевые аудитории
 Ориентированный на результат анализ результатов
измерений
 Поддержка на уровне топ-менеджмента
Без этого внедрение программы обречено не то чтобы на
неудачу, скорее на невысокую эффективность
 Желательным условием запуска программы
является наличие в организации культуры
измерений
Качества, KPI, BSC, Six Sigma и т.д.

Типичные ошибки
 Выбор сотен метрик вместо концентрации на
стратегических
 Измерение того, что проще измерить, вместо
концентрации на целях измерения
 Отсутствие бизнес-фокусировки
 Фокус на операционных результат-ориентированных
метриках вместо оценки эффективности процесса
 Отсутствие контекста
Снижение цены ИБ при росте инцидентов
 Отсутствие сотрудничества с другими и доверия к
себе

Что является
результатом
(мерилом)
измерения
или метрики

Что такое «метрика безопасности»?
 Метрика безопасности – способ применения
количественного, статистического и/или
математического анализа для измерения
«безопасных» стоимости, преимуществ, удач,
неудач, тенденций и нагрузок
Отслеживание статуса каждой функции безопасности
 Метрики – это не столько цифры, сколько факт
достижения поставленных целей, выраженный
количественно
 KPI, KRI, PI = метрика

GQM: Связь метрик и целей
 Цели
Какова наша стратегия ИБ?
Каких конкретных результатов мы хотим достичь?
 Вопросы
Как мы узнаем, что мы достигли поставленных целей?
Как мы определяем успешность достижения?
 Метрики
Где мы можем найти ответы на наши вопросы?
Какие данные мы должны собрать и проанализировать?

KPI, KRI, PI и CSF
 KPI – Key Performance Indicator
 KRI – Key Result Indicator
Не путать с Key Risk Indicator
 PI – Performance Indicator
 CSF – Critical Success Factors

Монетарные и
нефинансовые
метрики

Функции и процессы любой компании
Основная деятельность
(выпуск продукта,
предоставление услуг)
Улучшение основной
деятельности
(оптимизация издержек)
Совершенствование
предыдущей категории
(управление качеством)

Могут ли быть нефинансовые
измерения?
 ИБ не относится к первой категории функций
Финансовые метрики сложно применять в этом случае, т.к. ИБ
напрямую не генерит бизнес
 ИБ чаще всего относится ко второй категории функций
Возможность использования финансовых метрик зависят от
оцениваемого процесса
Некоторые проекты ИБ могут помочь оптимизировать издержки
 Управление ИБ – это всегда третья категория
функций
Финансовых метрик может вообще не быть
Исключение может составлять экономия на персонале за счет
более эффективного управления

Могут ли быть нефинансовые
измерения?
 Классические финансовые метрики определяют
балансовую стоимость предприятия, его доходы и
расходы
 Рыночная стоимость, капитализация определяются в
т.ч. и нефинансовыми показателями
Уровень корпоративного управления
Наличие бренда
Прозрачность
Эффективность управления
И т.д.
 Не зря появляется такое понятие, как система
сбалансированных показателей (Balanced scorecard,
BSC)

Security balanced scorecard
Заказчик Финансы
Внутренние
процессы
Обучение и рост
Базовая
BSC
Заказчик
Ценность для
бизнеса
Операционная
эффективность
Будущее
Compliance

Классификация
метрик

О метриках
 Существуют различные классификации метрик ИБ
 Например, метрики
оценивающие эффективность реализации политики
оценивающие эффективность процесса обеспечения
безопасности (насколько оправданы затраты)
оценивающие влияние безопасности на бизнес
 Например, каждая система может создавать 2 типа
метрик
Показывающие достижение целей в системе
Являющиеся входным параметром для систем более высокого
уровня
 Использование метрик зависит от уровня зрелости
процессов ИБ

Таксономия метрик ИБ
Метрики
По финансам
Монетарные
Немонетарные
По
представлению
Обычные
Двоичные
Процентные
По осязаемости
Осязаемые
Неосязаемые
По отношению к
цели
Прямые
Косвенные
По
применимости
Прямые
Являющие
входом для
других систем
По объекту
оценки
Результат
Процесс
По
стратегичности
Стратегические
Тактические
Оперативные

Иерархия метрик
в масштабе службы ИБ
Система управления
(Security Governance)
Система управления
(Security Management)
Технические средства
(Security System)

Иерархия метрик
в масштабе предприятия
Корпоративные измерения
(финансы, индексы, рейтинги)
Сравнение с другими
компаниями
Измерение достижения
департаментами своих целей
и их оптимальности
Измерение отдельных
элементов (продуктов,
процессов, услуг)

Метрики безопасности
 Метрики эффективности реализации
Пример (один источник данных): число неудачных попыток
аутентификации
Пример (несколько источников данных): число инцидентов
безопасности по причине некорректной настройки
подсистемы контроля доступа
 Метрики эффективности процесса ИБ
Пример: число специалистов, требуемых для реагирования
на инциденты
 Метрики оценки влияния на бизнес
Пример: стоимость обработки звонка в Help Desk по поводу
смены пароля или время простоя бизнес-пользователя в
результате вирусной эпидемии

Стратегические/тактические метрики
 Стратегическая метрика – показатель правильности
выбранного пути
Отклонение от него не требует немедленной реакции
Стандартный срок действия метрики – 3 года
Требуется понимание образа мыслей топ-менеджеров
Никаких деталей – только высокоуровневые индикаторы
 Отраслевых стратегических метрик в ИБ нет
В отличие от других отраслей
Исключая число выданных сертификатов и лицензий
Такую идею закинули в СовБез при написании «Культуры ИБ»

Стратегические отраслевые метрики
 Здравоохранение
Коэффициент трудовой занятости, общее число
госпитализированных и выписанных, показатель рождаемости
и смертности и т.п.
 Промышленность
Число аварий на производстве, число дефектов на устройство,
среднее отклонение от допуска и т.д.
 Ритейл
Объем продаж на квадратный метр, продажи на одного
покупателя, число покупок на одного покупателю и т.д.

Проект Index of Cyber Security
 Оценка уровня восприятия риска кибербезопасности в
мире

Как выбирать
метрики ИБ

Выбор метрик
 Не используйте метрики, создающие «видимость»
улучшения, без самого улучшения для бизнеса
Например, число обнаруженных вирусов или устраненных
уязвимостей
 Если измерение не дает ничего с точки зрения бизнеса,
то это плохое измерение
Измерение ради научных целей интересны, но не нужны в деле
 Метрика должна быть релевантной, измеримой в
адекватных терминах и, желательно, ассоциированной
со стоимостью
Время/стоимость простоя пользователя в месяц
Не идеальна, но соответствует требованиям
Можно также учесть время, в который происходит простой, роль
пользователя, который простаивает и т.д.

Выбор метрик(окончание)
 Точность метрики менее важна, чем ее качественная
связь с бизнесом и его целями
 Метрики должны быть применимы ко всему
предприятию
Если мы хотим донести до топ-менеджмента всю важность ИБ
Локальные метрики допустимы на уровне отдела или для
собственных задач
 Измерения должны быть повторимыми
 Не бывает универсальных метрик
У каждого предприятия свои особенности и свои метрики
 Не используйте сложных в вычислении метрик
Это снижает доверие к результатам и увеличивает время

От простого к сложному: метод
выбора метрик KISS
 KISS – Keep It
Simple, Stupid!
Не усложняй, тупица!
 Метрика не должна
быть неизмеримой
У вас не будет
надежды
 Метрика должна
быть вызовом
Иначе не будет
мотивации

Принципы выбора метрик
 SMART – Specific, Measurable, Achievable, Relevant,
Timely
Как можно конкретнее, без двойных толкований, для
правильной целевой аудитории
Результат должен быть измеримым, а не эфемерным
Зачем выбирать цель, которая недостижима?
Соответствие стратегическим целям, а не «вообще»
Своевременность и актуальность

Принципы выбора метрик
Характеристика Пример хорошей метрики Пример плохой метрики
Конкретная Число неудачных попыток
входа в систему в неделю
на одного сотрудника
Число неудачных попыток
входа в систему
Измеримая Уровень лояльности
внутренних клиентов
Доход от внедрения
системы защиты
Достижимая Число инцидентов в
текущем квартале < 5
Отсутствие инцидентов ИБ
за текущий квартал
Релевантная Число проектов по ИБ,
завершенных в срок
Число запущенных
проектов по ИБ
Актуальная Число пропатченных ПК в
этом году
Число пропатченных ПК в
прошлом году

От простого к сложному: метод
выбора метрик SMART-PURE-CLEAR
 PURE – Positively Stated, Understood, Realistic,
Ethical
Выберите позитивную метрики
Метрика должна быть понятна целевой аудитории
Метрика должны быть реалистична
Не забывайте про этику
 CLEAR – Challenging, Legal, Environmentally Sound,
Agreed, Recorded
Метрика содержит вызов?!
Легальна ли ваша метрика?
Не нарушает экологию?
Согласована?
Записана? Запротоколирована?

Выбор метрик (окончание)
 Нельзя допускать появления кросс-метрик, одинаково
подходящих для оценки двух разных целей
Особенно противоположных целей
Метрика
А
Цель
1
Цель
2

Как выбирают метрики?
1. Метрики обычно выбираются исходя из
корпоративных целей (в 65% случаев)
2. Анализ существующих отчетов, из которых
вычленяются чаще всего используемые для оценки
деятельности показатели
3. Индивидуальные интервью
4. Карты бизнес-процессов
5. Специальные сессии определения KPI
6. Групповые интервью
7. Стратегические карты
8. Опросы (в 23% случаев)

Пример: какой антивирус лучше
 Исходные данные
Symantec Antivirus обнаруживает 100K+ штаммов вирусов
Антивирус AntiDIR обнаруживает только один вирус DIR
 Задача – определить какой антивирус лучше?

Пример: значимость метрик
 Измерение числа спам-сообщений в общем объеме
почты
Как это важно для предприятия и для бизнеса?
Что изменится, если спама будет 70%, а не 50%
 Обнаружение шпионского ПО
Обнаружение 50% всех spyware, встречающихся в диком виде
Обнаружение 95% spyware, которые могут встретиться в
компании (даже если это будет 10% от всех spyware)
 Число вирусов, а следовательно и атак, бесконечно.
Поэтому бессмысленно опираться на конечное число
обнаруженных вирусов и уязвимостей
Что такое тысяча или даже миллион по сравнению с
бесконечностью

Пример: дорога на Луну
 Задача: Я хочу добраться до луны
 Решение: насыпать холм до луны
Каждый день холм растет на 10 м
Каждый день я становлюсь на 10 м ближе к цели
Для достижения цели потребуется 38440000 дней
 Можно наблюдать процесс достижения цели!!!
 Но… цель недостижима, т.к. Земля движется вокруг
своей оси, солнца, галактики… и
расстояние/направление от холма до Луны постоянно
изменяется

Выбор метрик
 Будьте осторожны в выборе метрик
Сотрудники будут оптимизировать свою деятельность, чтобы
метрики говорили в их пользу
Это допустимо, если от этого выиграет бизнес

Пример: число звонков в Service Desk
 Задача: оценить время реагирования на звонок об
инциденте
 Поощрение за снижение времени реагирования
Сотрудники могут класть трубку сразу после звонка!
 Поощрение за число разрешенных инцидентов
Сотрудники будут самостоятельно пытаться закрыть инцидент,
не эскалируя его правильному специалисту
Увеличение длительности звонков и ожидания клиентов на
линии
Меньше доступных специалистов – ниже удовлетворенность
 Комбинируйте метрики
Время реагирования на звонок + длительность звонка

Пример: контроль доступа в Интернет
 Задача: оценить эффективность системы контроля
доступа
Видимая оценка
• 1,5 часа в день на
«одноклассниках»
• 200 сотрудников
• 6600 часов экономии –
825 чел/дней
• $18750 в месяц (при
зарплате $500)
• $225000 в год экономии
Скрытая оценка
• Блокирование доступа
не значит, что
сотрудники будут
работать
• Работа «от» и «до» и не
больше
• Ухудшение псих.климата
• Потери $150000 в год

Считать можно все!
Единица
измерения
Метрика
Частота
измерения
секундаУдачная аутентификация квартал
секундаНеудачная аутентификация квартал
долларов
на звонок
Стоимость обработки
звонка в Help Desk
о смене пароля
квартал
минут в день
Время регистрации
в системе
квартал
долларов
за событие
Добавление/удаление
учетной записи
квартал
инцидент
Инцидент, произошедший
из-за некорректной настройки
системы контроля доступа
квартал

Единица
измерения
Метрика
Частота
измерения
долларов на
сотрудника
Стоимость системы защиты в
расчете на одного сотрудника
(собственного или по контракту)
6 месяцев
процент
Число узлов КИС, на которых были
протестированы механизмы защиты
ежегодно
час
Время между обнаружением
уязвимости и ее устранением
квартал
процент
Число прикладных систем, для
которых реализовано требование
разделения полномочий между
операциями А и Б
6 месяцев
процент
Число лэптопов с внедренной
подсистемой шифрования важных и
конфиденциальных документов
квартал

Единица
измерения
Метрика
Частота
измерения
процент
Число систем, для которых план
реагирования на инциденты был
протестирован
квартал
процент
Число задокументированных
изменений ПО
6 месяцев
процент
Число систем с установленными
последними патчами
месяц
процент
Число систем с автоматическим
антивирусным обновлением
6 месяцев
процент
Число сотрудников, прошедших
через тренинги по повышению
осведомленности
ежегодно
процент
Число систем с разрешенными
уязвимыми протоколами
6 месяцев

Что обычно считают?
Какие данные собирает ваша организация? %
Обнаруженных вирусов в файлах 92,30%
Обнаруженных вирусов в почте 92,30%
Неудачный пароль при входе в систему 84,60%
Попытка проникновения/атаки 84,60%
Обнаруженный/отраженный спам 76,90%
Доступ к вредоносным сайтам 69,20%
Неудачное имя при входе в систему 69,20%
Обнаруженных вирусов на сайтах 61,50%

Что обычно считают?
Какие данные собирает ваша организация? %
Внутренняя попытка НСД 61,50%
Нарушение со стороны администратора 61,50%
Удачное проникновение 53,80%
Раскрытие информации 38,50%
Пропущенный спам 38,50%
Ложное обнаружение спама 30,80%
Другое 23,10%
Источник: http://www.csoonline.com/analyst/report2412.html

Измерение эффективности ИБ

Измерение эффективности ИБ

Recommended

Recommended

More Related Content

What's hot

What's hot (16)

Viewers also liked

Viewers also liked (20)

Similar to Измерение эффективности ИБ

Similar to Измерение эффективности ИБ (20)

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (20)

Измерение эффективности ИБ