Способ оценки эффективность защиты информации

Способ оценки эффективность защиты информации

ГОСТ Р 52447-2005

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ТЕХНИКА ЗАЩИТЫ ИНФОРМАЦИИ

Номенклатура показателей качества

Information protection. Information protection technology. Nomenclature of quality indices

Дата введения 2007-01-01

Предисловие

1 РАЗРАБОТАН Государственным научно-исследовательским испытательным институтом проблем технической защиты информации Федеральной службы по техническому и экспортному контролю (ГНИИИ ПТЗИ ФСТЭК России), Техническим комитетом по стандартизации ТК 362 «Защита информации»

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Июль 2020 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

1 Область применения

Настоящий стандарт распространяется на основные средства защиты информации и средства контроля эффективности защиты информации, входящие в состав техники защиты информации.

Настоящий стандарт устанавливает номенклатуру основных показателей качества средств защиты информации: от утечки по техническим каналам, от несанкционированного доступа, а также средств контроля эффективности защиты информации, которые должны быть включены в тактико-технические задания на научно-исследовательские и опытно-конструкторские работы по определению и реализации перспектив развития этой группы продукции и национальные стандарты.

Настоящий стандарт не устанавливает показатели качества к составным частям, веществам и материалам, входящим в состав средств защиты информации и средств контроля эффективности защиты информации.

Группам однородной продукции, входящей в технику защиты информации, по ОК 005 присвоены коды: 50 1410, 50 1420, 50 1490 и 50 1540.

Положения настоящего стандарта предназначены для применения расположенными на территории Российской Федерации организациями, предприятиями и другими субъектами хозяйственной деятельности независимо от форм собственности и подчиненности, а также федеральными органами исполнительной власти Российской Федерации, участвующими в разработке, производстве, закупке и применении техники защиты информации.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты и классификаторы:

ГОСТ 15467 Управление качеством продукции. Основные понятия. Термины и определения

ГОСТ 28195 Оценка качества программных средств. Общие положения

ГОСТ Р 50922 Защита информации. Основные термины и определения

ГОСТ Р ИСО/МЭК 9126 Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению

ГОСТ Р ИСО/МЭК 15408-2 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

ГОСТ Р ИСО/МЭК 15408-3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности

ОК 005-93 Общероссийский классификатор продукции

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922 и ГОСТ 15467.

4 Сокращения

В настоящем стандарте применены следующие сокращения:

ЗИ — защита информации;

СЗИ — средство защиты информации;

ТТЗ — тактико-техническое задание;

НИР — научно-исследовательская работа;

ОКР — опытно-конструкторская работа;

НСД — несанкционированный доступ;

НСВ — несанкционированное воздействие;

ОТУ — общие технические условия;

ТУ — технические условия.

5 Общие положения

5.1 Выбор номенклатуры показателей качества техники ЗИ включает процедуру установления перечня наименований количественных (качественных) характеристик и свойств средств, входящих в состав показателей качества продукции и обеспечивающих единый подход к оценке уровня качества техники ЗИ.

5.2 Обоснование выбора номенклатуры показателей качества техники ЗИ проводится с учетом:

— назначения и условий использования техники ЗИ;

— анализа требований заказчика и потребителей средств, входящих в состав техники ЗИ;

— категории объекта защиты;

— задач управления качеством техники ЗИ;

— основных требований, предъявляемых к показателям качества продукции;

— областей применения показателей качества продукции.

5.3 Состав и структура характеризуемых свойств средств, входящих в состав техники ЗИ, отражают номенклатуру показателей и включает следующие признаки классификации: свойства средств, способ выражения показателей, количество характеризуемых свойств средств, способ оценки показателей и стадии их определения.

Показатели качества техники ЗИ в соответствии с установленными признаками классификации могут описываться в соответствии с положениями руководящего документа по стандартизации [1]:

а) по характеризуемым свойствам СЗИ это показатели:

2) надежности и долговечности (безотказности, сохраняемости, ремонтопригодности);

Источник

Способы оценки информационной безопасности

Выдержка из книги «Обеспечение информационной безопасности бизнеса, ISBN 978-5-9614-1364-9. Центр Исследований Платежных Систем и Расчетов

Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ (СОИБ). СОИБ представляет собой совокупность аппаратно-программных, технических и организационных защитных мер (ЗМ), функционирующих под управлением СМИБ и процессов осознания ИБ, инициирующих и поддерживающих деятельность по менеджменту ИБ.

Желание иметь СОИБ, адекватную целям ИБ организации по обеспечению доступности, целостности и конфиденциальности информационных активов, приводит к стремлению совершенствовать СОИБ. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учётом контекста оценки.

Критерии оценки – это всё то, что позволяет установить значения оценки для объекта оценки. В качестве критериев оценки ИБ могут использоваться требования ИБ, процедуры ИБ, сочетание требований и процедур ИБ, уровень инвестиций, затрат на ИБ.

К свидетельствам оценки ИБ относятся записи, изложение фактов или любая информация, которая имеет отношение к критериям оценки ИБ и может быть проверена. Такими свидетельствами оценки ИБ могут быть доказательства выполняемой и выполненной деятельности по обеспечению ИБ в виде отчётных, нормативных, распорядительных документов, результатов опросов, наблюдений.

Контекст оценки ИБ объединяет цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки и роли.

Модель оценки ИБ определяет сферу оценки, отражающую контекст оценки ИБ в рамках критерия оценки ИБ, отображение и преобразование оценки в параметры объекта оценки, а также устанавливает показатели, обеспечивающие оценку ИБ в сфере оценки.

В общем виде процесс проведения оценки ИБ (рисунок 53) представлен основными компонентами процесса: контекст, свидетельства, критерии и модель оценки, необходимыми для реализации процесса оценки. Оценка ИБ заключается в выработке оценочного суждения относительно пригодности (зрелости) процессов обеспечения ИБ, адекватности используемых защитных мер или целесообразности (достаточности) инвестиций (затрат) для обеспечения необходимого уровня ИБ на основе измерения и оценивания критических элементов (факторов) объекта оценки.

Наряду с важнейшим назначением оценки ИБ – создание информационной потребности для совершенствования ИБ, возможны и другие цели проведения оценки ИБ такие, как:

• определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;
• выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;
• сравнение зрелости различных процессов обеспечения ИБ и сравнение степени соответствия различных защитных мер установленным требованиям.

Результаты оценки ИБ организации могут также использоваться заинтересованной стороной для сравнения уровня ИБ организаций с одинаковым бизнесом и сопоставимым масштабом. В зависимости от выбранного для оценки ИБ критерия можно разделить способы оценки ИБ организации (рисунок 54) на оценку по эталону, риск-ориентированную оценку и оценку по экономическим показателям.

Способ оценки ИБ по эталону сводится к сравнению деятельности и мер по обеспечению ИБ организации с требованиями, закрепленными в эталоне. По сути дела проводится оценка соответствия СОИБ организации установленному эталону. Под оценкой соответствия ИБ организации установленным критериям понимается деятельность, связанная с прямым или косвенным определением выполнения или невыполнения соответствующих требований ИБ в организации. С помощью оценки соответствия ИБ измеряется правильность реализации процессов системы обеспечения ИБ организации и идентифицируются недостатки такой реализации.

В результате проведения оценки ИБ должна быть сформирована оценка степени соответствия СОИБ эталону, в качестве которого могут быть приняты (в совокупности и отдельно):

• требования законодательства Российской Федерации в области ИБ;
• отраслевые требования по обеспечению ИБ;
• требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ;
• требования национальных и международных стандартов в области ИБ.

Основные этапы оценки информационной безопасности по эталону включают выбор эталона и формирование на его основе критериев оценки ИБ, сбор свидетельств оценки и измерение критических элементов (факторов) объекта оценки, формирование оценки ИБ.

Риск-ориентированная оценка ИБ организации представляет собой способ оценки, при котором рассматриваются риски ИБ, возникающие в информационной сфере организации, и сопоставляются существующие риски ИБ и принимаемые меры по их обработке. В результате должна быть сформирована оценка способности организации эффективно управлять рисками ИБ для достижения своих целей.

Основные этапы риск-ориентированной оценки информационной безопасности включают идентификацию рисков ИБ, определение адекватных процессов менеджмента рисков и ключевых индикаторов рисков ИБ, формирование на их основе критериев оценки ИБ, сбор свидетельств оценки и измерение риск-факторов, формирование оценки ИБ.

Способ оценки ИБ на основе экономических показателей оперирует понятными для бизнеса аргументами о необходимости обеспечения и совершенствования ИБ. Для проведения оценки в качестве критериев эффективности СОИБ используются, например, [24], показатели совокупной стоимости владения (Total Cost of Ownership – ТСО).

Под показателем TCO понимается сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение СОИБ. Под прямыми затратами понимаются все материальные затраты, такие как покупка оборудования и программного обеспечения, трудозатраты соответствующих категорий сотрудников. Косвенными являются все затраты на обслуживание СОИБ, а также потери от произошедших инцидентов. Сбор и анализ статистики по структуре прямых и косвенных затрат проводится, как правило, в течение года. Полученные данные оцениваются по ряду критериев с показателями ТСО аналогичных организаций отрасли.

Оценка на основе показателя TCO позволяет оценить затраты на информационную безопасность и сравнить ИБ организации с типовым профилем защиты, а также управлять затратами для достижения требуемого уровня защищенности.

Основные этапы оценки эффективности СОИБ на основе модели TCO включают сбор данных о текущем уровне ТСО, анализ областей обеспечения ИБ, выбор сравнимой модели ТСО в качестве критерия оценки, сравнение показателей с критерием оценки, формирование оценки ИБ.

Однако этот способ оценки требует создания общей информационной базы данных об эффективности СОИБ организаций схожего бизнеса и постоянной поддержки базы данных в актуальном состоянии. Такое информационное взаимодействие организаций, как правило, не соответствует целям бизнеса. Поэтому оценка ИБ на основе показателя TCO практически не применяется.

Источник