Способы оценки эффективности защиты информации

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

• ценность активов в денежном выражении;
• полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
• частота реализации каждой угрозы;
• потенциальный ущерб от каждой угрозы;
• рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Источник

Оценка информационной безопасности бизнеса

Способы оценки информационной безопасности

Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ (СОИБ). СОИБ представляет собой совокупность аппаратно-программных, технических и организационных защитных мер (ЗМ), функционирующих под управлением СМИБ и процессов осознания ИБ, инициирующих и поддерживающих деятельность по менеджменту ИБ.

Желание иметь СОИБ, адекватную целям ИБ организации по обеспечению доступности, целостности и конфиденциальности информационных активов, приводит к стремлению совершенствовать СОИБ. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учетом контекста оценки.

Критерии оценки — это все то, что позволяет установить значения оценки для объекта оценки. В качестве критериев оценки ИБ могут использоваться требования ИБ, процедуры ИБ, сочетание требований и процедур ИБ, уровень инвестиций, затрат на ИБ.

К свидетельствам оценки ИБ относятся записи, изложение фактов или любая информация, которая имеет отношение к критериям оценки ИБ и может быть проверена. Такими свидетельствами оценки ИБ могут быть доказательства выполняемой и выполненной деятельности по обеспечению ИБ в виде отчетных, нормативных, распорядительных документов, результатов опросов, наблюдений.

Контекст оценки ИБ объединяет цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки и роли.

Модель оценки ИБ определяет сферу оценки, отражающую контекст оценки ИБ в рамках критерия оценки ИБ, отображение и преобразование оценки в параметры объекта оценки, а также устанавливает показатели, обеспечивающие оценку ИБ в сфере оценки.

В общем виде процесс проведения оценки ИБ (рисунок 1) представлен основными компонентами процесса: контекст, свидетельства, критерии и модель оценки — необходимыми для реализации процесса оценки.

Оценка ИБ заключается в выработке оценочного суждения относительно пригодности (зрелости) процессов обеспечения ИБ, адекватности используемых защитных мер или целесообразности (достаточности) инвестиций (затрат) для обеспечения необходимого уровня ИБ на основе измерения и оценивания критических элементов (факторов) объекта оценки.

Рисунок 1 — Общий вид процесса оценки ИБ организации

Наряду с важнейшим назначением оценки ИБ — создание информационной потребности для совершенствования ИБ, возможны и другие цели проведения оценки ИБ, такие как:

– определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;

– выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;

– сравнение зрелости различных процессов обеспечения ИБ и сравнение степени соответствия различных защитных мер установленным требованиям.

Результаты оценки ИБ организации могут также использоваться заинтересованной стороной для сравнения уровня ИБ организаций с одинаковым бизнесом и сопоставимым масштабом.

В зависимости от выбранного для оценки ИБ критерия можно разделить способы оценки ИБ организации (рисунок 2) на оценку по эталону, риск-ориентированную оценку и оценку по экономическим показателям.

Рисунок 2 — Способы оценки ИБ организации

Способ оценки ИБ по эталону сводится к сравнению деятельности и мер по обеспечению ИБ организации с требованиями, закрепленными в эталоне. По сути дела проводится оценка соответствия СОИБ организации установленному эталону. Под оценкой соответствия ИБ организации установленным критериям понимается деятельность, связанная с прямым или косвенным определением выполнения или невыполнения соответствующих требований ИБ в организации. С помощью оценки соответствия ИБ измеряется правильность реализации процессов системы обеспечения ИБ организации и идентифицируются недостатки такой реализации.

В результате проведения оценки ИБ должна быть сформирована оценка степени соответствия СОИБ эталону, в качестве которого могут быть приняты (в совокупности и отдельно):

– требования законодательства Российской Федерации в области ИБ;

– отраслевые требования по обеспечению ИБ;

– требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ;

– требования национальных и международных стандартов в области ИБ.

Основные этапы оценки информационной безопасности по эталону включают выбор эталона и формирование на его основе критериев оценки ИБ, сбор свидетельств оценки и измерение критических элементов (факторов) объекта оценки, формирование оценки ИБ.

Риск-ориентированная оценка ИБ организации представляет собой способ оценки, при котором рассматриваются риски ИБ, возникающие в информационной сфере организации, и сопоставляются существующие риски ИБ и принимаемые меры по их обработке. В результате должна быть сформирована оценка способности организации эффективно управлять рисками ИБ для достижения своих целей.

Основные этапы риск-ориентированной оценки информационной безопасности включают идентификацию рисков ИБ, определение адекватных процессов менеджмента рисков и ключевых индикаторов рисков ИБ, формирование на их основе критериев оценки ИБ, сбор свидетельств оценки и измерение риск-факторов, формирование оценки ИБ.

Способ оценки ИБ на основе экономических показателей оперирует понятными для бизнеса аргументами о необходимости обеспечения и совершенствования ИБ. Для проведения оценки в качестве критериев эффективности СОИБ используются, например, [2], показатели совокупной стоимости владения (Total Cost of Ownership — ТСО).

Под показателем TCO понимается сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение СОИБ. Под прямыми затратами понимаются все материальные затраты, такие как покупка оборудования и программного обеспечения, трудозатраты соответствующих категорий сотрудников. Косвенными являются все затраты на обслуживание СОИБ, а также потери от произошедших инцидентов. Сбор и анализ статистики по структуре прямых и косвенных затрат проводится, как правило, в течение года. Полученные данные оцениваются по ряду критериев с показателями ТСО аналогичных организаций отрасли.

Оценка на основе показателя TCO позволяет оценить затраты на информационную безопасность и сравнить ИБ организации с типовым профилем защиты, а также управлять затратами для достижения требуемого уровня защищенности.

Основные этапы оценки эффективности СОИБ на основе модели TCO включают сбор данных о текущем уровне ТСО, анализ областей обеспечения ИБ, выбор сравнимой модели ТСО в качестве критерия оценки, сравнение показателей с критерием оценки, формирование оценки ИБ.

Однако этот способ оценки требует создания общей информационной базы данных об эффективности СОИБ организаций схожего бизнеса и постоянной поддержки базы данных в актуальном состоянии. Такое информационное взаимодействие организаций, как правило, не соответствует целям бизнеса. Поэтому оценка ИБ на основе показателя TCO практически не применяется.

Далее рассмотрим подробнее способ оценки ИБ на основе эталона и способ риск-ориентированной оценки ИБ.

Процесс оценки информационной безопасности

Основные элементы процесса оценки

Процесс оценки ИБ включает следующие элементы проведения оценки:

– контекст оценки, который определяет входные данные: цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки и роли;

– мероприятия процесса оценки: сбор свидетельств оценки и проверка их достоверности, измерение и оценивание атрибутов объекта оценки;

– выходные данные оценки.

Основные элементы процесса оценки ИБ [3] представлены на рисунке 3 в виде процессной модели.

Прежде чем рассмотреть особенности способов оценки ИБ организации, необходимо описать общие для любой оценки ИБ компоненты: контекст оценки, сбор свидетельств оценки и проверка их достоверности, измерение и оценивание атрибутов при проведении оценки различного вида (независимая оценка, самооценка) и выходные данные оценки. Модель оценки и критерии оценки, определяющие особенности способов оценки, будут рассмотрены в других разделах.

Рисунок 3 — Основные элементы процесса оценки ИБ

Рассмотрим подробнее элементы процесса оценки ИБ организации.

Контекст оценки информационной безопасности организации

Контекст оценки ИБ включает цели и назначение оценки ИБ, вид оценки, объект и области оценки ИБ, ограничения оценки, роли.

К ролям, участвующим в реализации процесса оценки, относятся организатор, аналитик, руководитель группы оценки, оценщик, владелец активов, представитель объекта оценки.

Организатор (заказчик) оценки ИБ формирует цель оценки (совершенствование объекта оценки, определение соответствия объекта оценки установленным критериям и т.д.) и определяет критерий оценки, объект и область оценки. Под организатором оценки понимается лицо или организация, являющиеся внутренними или внешними по отношению к оцениваемому объекту оценки, которые организуют проведения оценки и предоставляют финансовые и другие ресурсы, необходимые для ее проведения. Организатор должен обеспечить доступ группы оценки (руководитель группы оценки, оценщик) к активам объекта оценки для изучения, к персоналу для проведения опросов, к инфраструктуре, необходимой во время оценивания. Хотя руководство объекта оценки напрямую не имеет никаких конкретных обязанностей по проведению оценивания, осознание важности оценки имеет очень большое значение. Это особенно актуально в том случае, когда организатор оценки не является членом руководства объекта оценки.

По завершении оценки организатор передает отчетные документы по оценке заинтересованным сторонам для использования их в соответствии с заявленной целью оценки.

Аналитик оценки ИБ выбирает способ оценки ИБ, модель оценки и определяет методическое и информационное обеспечение оценки, т.е. методики, данные для оценки. Аналитик оценки анализирует результаты оценки и формирует отчет и рекомендации по результатам оценки ИБ.

Руководитель группы оценки и оценщик измеряют и оценивают свидетельства оценки, предоставленные владельцами активов, и формируют результаты оценки. Руководитель группы должен распределить ответственность между членами группы за оценивание конкретных процессов, подразделений, областей или видов деятельности объекта оценки. Такое распределение должно учитывать потребность в независимости, компетентности специалистов по оценке и результативном использовании ресурсов. Мероприятия по измерению и оцениванию выполняются исключительно руководителем группы оценки и оценщиком, входящими в группу оценки. Другой персонал (представитель объекта оценки, технический эксперт) может участвовать в работе группы оценки для обеспечения специализированных знаний или консультаций. Они могут обсуждать с оценщиком формулировки суждений, но не будут нести ответственность за окончательную оценку.

На рисунке 4 показаны роли процесса оценки ИБ и основные функции, выполняемые ролями.

Рисунок 4 — Роли процесса оценки ИБ и их функции

Важным аспектом при определении контекста оценки является вид оценки: независимая или самооценка. В зависимости от вида оценки различается отношение ролей процесса оценки и объекта оценки.

Независимая оценка достигается путем проведения оценки группой оценки, члены которой независимы от объекта оценки. Организатор оценки может относиться к той же организации, к которой относится объект оценки, но не обязательно к оцениваемому объекту оценки. Степень независимости может варьироваться в соответствии с целью и областью оценки. В случае внешнего организатора оценки предполагается наличие взаимного соглашения между организатором оценки и организацией, к которой относится объект оценки. Представитель объекта оценки принимает участие в формировании свидетельств оценки, обеспечивает взаимодействие группы оценки с владельцами активов. Их участие в проведении оценки дает возможность определить и учесть особенности объекта оценки, обеспечить достоверность результатов оценки.

Самооценка выполняется организацией с целью оценки собственной СОИБ. Организатор самооценки обычно входит в состав объекта оценки, как и члены группы оценки.

Область оценки может включать, например, один или несколько процессов объекта оценки, например, организатор может сосредоточить внимание на одном или нескольких критических процессах и/или защитных мерах. Выбор объекта оценки должен отражать намеченное использование организатором выходных данных оценки. Например, если выходные данные предназначены для использования при совершенствовании деятельности по обеспечению ИБ, то область оценки должна соответствовать области намеченных работ по совершенствованию. Область оценки может быть любой: от отдельного процесса до всей организации. В контексте оценки должно быть представлено подробное описание объекта оценки, включающее размеры объекта оценки, область применения продуктов или услуг объекта оценки, основные характеристики (например, объем, критичность, сложность и качество) продуктов или услуг объекта оценки.

К ограничениям оценки можно отнести возможную недоступность основных активов, используемых в обычной деловой деятельности организации; недостаточный временной интервал, выделенный для проведения оценивания; необходимость исключения определенных частей объекта оценки из-за стадии жизненного цикла. Кроме того, могут быть наложены ограничения на количество и вид данных, которые должны быть собраны и изучены.

Содержание контекста оценки должно быть согласовано руководителем группы оценки с организатором и уполномоченным представителем объекта оценки и задокументировано до начала процесса оценки. Фиксирование контекста оценки важно, так как он содержит исходные элементы процесса оценки.

Во время выполнения оценки могут происходить изменения в контексте оценки. Изменения должны быть одобрены организатором оценки и уполномоченным представителем объекта оценки. Если эти изменения оказывают влияние на временной график и ресурсы проведения оценки, то планирование оценки должно быть соответствующим образом пересмотрено.

Мероприятия и выходные данные процесса оценки

Сбор свидетельств оценки и проверка их достоверности.

Назначение мероприятия: сбор свидетельств оценки с соблюдением условий обеспечения достоверной оценки ИБ.

Независимая оценка ИБ может быть осуществлена с помощью внутреннего и внешнего аудита ИБ. В [4] аудит ИБ определяется как систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ, установления степени выполнения в организации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения об информационной безопасности организации.

Необходимыми условиями обеспечения достоверной оценки ИБ при проведении аудита являются:

– использование доверенного процесса аудита и соблюдение основных принципов аудита;

– менеджмент программы аудита ИБ;

– использование наиболее достоверных источников свидетельств оценки;

– определение объема выборки с учетом заданной достоверности свидетельств оценки;

– учет факторов, влияющих на аудиторский риск, с целью снижения аудиторского риска.

Доверенный процесс аудита ИБ должен отвечать требованиям принятого в организации нормативного документа, описывающего процесс аудита ИБ, либо требованиям признаваемого сообществом международного (национального) нормативного документа (стандарта, рекомендации). Таким нормативным документом для банковской системы РФ является СТО БР ИББС–1.1–2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности», принятый и введенный в действие Распоряжением Банка России от 28 апреля 2007 года №Р-345. В стандарте изложены принципы проведения аудита ИБ организации, описана последовательность этапов проведения аудита ИБ, установлены требования к этапам проведения аудита ИБ организаций и к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации.

В СТО БР ИББС–1.1–2007 изложено также содержание программы аудита ИБ, включающей деятельность, необходимую для планирования и организации определенного количества и вида аудитов и обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов в заданные сроки. В стандарте определены процедуры менеджмента программы аудита ИБ, направленные на контроль внедрения программы аудита ИБ, анализ достижения целей программы аудита ИБ и определение возможностей для ее совершенствования. Совершенствование программы аудита ИБ состоит в определении корректирующих и превентивных действий по совершенствованию программы аудита ИБ, включающих в себя пересмотр и корректировку сроков проведения аудитов ИБ и необходимых ресурсов, улучшение методов подготовки свидетельств аудита ИБ.

К основным принципам проведения аудита ИБ [5] относятся:

– независимость аудита ИБ.

Аудиторы (группа оценки) независимы в своей деятельности и неответственны за деятельность, которая подвергается аудиту ИБ. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ;

– полнота аудита ИБ.

Аудит ИБ должен охватывать все области аудита ИБ, соответствующие цели оценки. Кроме того, полнота аудита ИБ определяется достаточностью затребованных и предоставленных материалов, документов и уровнем их соответствия поставленным задачам. Полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам оценки ИБ;

– оценка на основе свидетельств аудита ИБ.

При периодическом проведении аудита ИБ оценка на основе свидетельств аудита ИБ является единственным способом, позволяющим получить повторяемое заключение по результатам аудита ИБ, что повышает доверие к такому заключению. Для повторяемости заключения свидетельства аудита ИБ должны быть проверяемыми;

– достоверность свидетельств аудита ИБ.

Оценщики должны быть уверены в достоверности свидетельств оценки ИБ. Доверие к документальным свидетельствам оценки ИБ повышается при подтверждении их достоверности третьей стороной или руководством организации. Доверие к фактам, полученным при опросе сотрудников объекта оценки, повышается при подтверждении данных фактов из различных источников. Доверие к фактам, полученным при наблюдении за деятельностью в области ИБ объекта оценки, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов;

– компетентность и этичность поведения.

Доверие к процессу и результатам оценки ИБ зависит от компетентности тех, кто проводит аудит ИБ, и от этичности их поведения. Компетентность базируется на способности аудитора применять знания и навыки. Этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.

Соблюдение принципов проведения аудита ИБ является предпосылкой для объективных заключений по результатам оценки.

Основными методами получения свидетельств оценки должны быть:

– проверка и анализ документов, относящихся к объекту оценки;

– наблюдение за процессами объекта оценки;

– опрос сотрудников объекта оценки и независимой (третьей) стороны.

Наряду с ручными способами сбора информации формирование свидетельств аудита может быть автоматическим или полуавтоматическим в результате применения какого-то инструментального средства или применения нескольких инструментальных средств.

При сборе данных оценщики должны исходить из того, что деятельность по обеспечению ИБ в области оценки осуществляется в соответствии с критериями оценки ИБ, если этому есть доказательства. Оценщики должны проявлять достаточную степень профессионального скептицизма в отношении собираемых свидетельств оценки, принимая во внимание возможность наличия нарушений ИБ.

Проверка и анализ документов позволяют оценщику получить свидетельства оценки, обладающие наибольшей полнотой и удобством восприятия и использования по сравнению с другими методами получения свидетельств аудита. Однако эти свидетельства аудита имеют различную степень достоверности в зависимости от их характера и источника, а также от эффективности контроля за процессом подготовки и обработки представленных документов.

Свидетельствами оценки ИБ, полученными в результате проверки и анализа документов, могут быть, например:

– наличие документа (документов) с релевантным содержанием;

– выдержки из документа (документов), подтверждающие реализацию деятельности по обеспечению ИБ, возложение ответственности и обязанностей на сотрудника (сотрудников) за реализацию деятельности по обеспечению ИБ;

– выдержки из документа (документов), содержащие описания реализованных ЗМ, процессов обеспечения ИБ.

Наблюдение представляет собой отслеживание оценщиком процедур или процессов обеспечения ИБ, выполняемых другими лицами (в т.ч. персоналом организации). Информация считается достоверной только в том случае, если она получена непосредственно в момент функционирования проверяемых процедур или процессов.

Свидетельствами аудита, полученными с помощью наблюдения за деятельностью, могут быть, например, записи, факты или другая информация, имеющие отношение к результатам автоматического контроля техническими средствами, зафиксированные оценщиками в ходе наблюдения.

Устный опрос проводят оценщики среди сотрудников (владельцев активов), утвержденных представителем объекта оценки для предоставления источников свидетельств и свидетельств оценки. Результаты устных опросов должны оформляться в виде протокола или краткого конспекта, в котором обязательно должны быть указаны фамилия, имя, отчество оценщика, проводившего опрос, фамилия, имя, отчество опрашиваемого лица, а также их подписи. Для проведения типовых опросов могут быть подготовлены бланки с перечнями интересующих вопросов. Результаты устного опроса следует проверять, так как опрашиваемый может выражать свое субъективное мнение.

Свидетельствами аудита, полученными при проведении опроса, могут быть, например, описания и разъяснения опрашиваемых лиц по реализации процессов, процедур по обеспечению ИБ.

Для уверенности в достоверности оценки оценщики должны быть уверены в достоверности выявленных свидетельств аудита. Собранные свидетельства оценки, используемые для оценивания показателей, должны быть точным представлением оцениваемого объекта оценки. Для этого следует учитывать достоверность источников свидетельств аудита.

По степени достоверности (от наибольшей к наименьшей) источники свидетельств оценки делятся на:

– документальные источники свидетельств, полученные из различных источников третьей стороны (сведения об использовании лицензионных мер и средств обеспечения ИБ, договора по сопровождению мер и средств обеспечения ИБ и т.д.);

– документальные источники свидетельств, полученные на (от) объекте(та) оценки и подтвержденные третьей стороной (план мероприятий по результатам внешнего аудита ИБ, материалы ведомственных проверок ИБ и т.д.);

– источники свидетельств, полученные в ходе проведения аудиторских процедур, не предусматривающих периодическую документальную отчетность (результаты наблюдения за деятельностью, анализа данных системы мониторинга ИБ и т.д.);

– источники свидетельств, полученные в виде нормативных и распорядительных документов (политики, регламенты, отчеты о деятельности, приказы, распоряжения и т.д.), указывающих на надлежащее применение процессов и мер обеспечения ИБ на практике (наличие разрешительных записей уполномоченных лиц, данных контроля рисков и т.д.);

– свидетельства, полученные в результате устных и письменных опросов о объекте оценки, и наблюдение за применением мер и средств обеспечения ИБ, которые не оставляют документальных свидетельств (выявление ролей процессов, последовательности применения ЗМ и т.д.).

Наряду с достоверностью источников свидетельств следует учитывать временной период получения свидетельств и сочетание источников свидетельств оценки. Например, доверие к фактам, полученным при наблюдении за деятельностью, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов; доверие к фактам, полученным при опросе сотрудников, повышается при подтверждении данных фактов из различных источников.

Достоверность выявленных свидетельств оценки ИБ зависит также от объема выборки при формировании свидетельств оценки. Соответствующее использование объема выборки тесно связано с доверием, с которым относятся к заключениям по результатам аудита.

Некоторые свидетельства оценки основано на выборках релевантных данных. Например, свидетельства наличия ЗМ для всех систем, степени охвата персонала и сотрудников подразделения процессами обучения и осведомления ИБ и т.д. Выборка производится с целью измерения и оценивания менее чем 100% объектов проверяемой совокупности. Задачей оценщика при проведении выборки является определение наиболее оптимального способа отбора элементов для формирования свидетельств оценки. При этом возможно:

– отобрать все элементы (сплошная проверка);

– отобрать специфические (определенные) элементы;

– отобрать отдельные элементы (сформировать аудиторскую выборку).

Сплошная проверка может быть целесообразна, если:

– генеральная совокупность состоит из небольшого числа элементов большой стоимости;

– риск контроля является высоким, а другие средства не позволяют получить достаточные свидетельства оценки;

– повторяющийся характер расчетов или иных процессов делает сплошную проверку эффективной с точки зрения соотношения затрат и результатов.

Сплошная проверка редко применяется при проведении оценки ИБ.

Оценщик может решить отобрать специфические (определенные) элементы генеральной совокупности, основываясь на следующих факторах.

Отбираемые специфические статьи могут включать:

– элементы с высокой стоимостью или так называемые критические (ключевые) элементы выборки;

– элементы, стоимость которых превышает определенную величину;

– элементы для проверки процедур, позволяющие определить, выполняется ли организацией конкретная процедура.

Выводы по результатам измерения, применяемого к отобранным таким способом элементам, не могут быть распространены на всю генеральную совокупность. При использовании этого метода анализируется потребность в получении свидетельств оценки в отношении оставшейся части генеральной совокупности, если оставшаяся часть является существенной.

Оценщик с учетом имеющихся сведений может принять решение о проведении выборочной проверки путем отбора отдельных элементов, т.е. применить статистический подход. Общее требование в этом случае — репрезентативность, т.е. все элементы изучаемой генеральной совокупности должны иметь равную вероятность быть отобранными в выборку.

При применении методов, связанных со статистической выборкой, объем отобранной совокупности может определяться на основании теории вероятностей и математической статистики либо профессионального суждения аудитора.

Достоверность оценки во многом зависит от того, как будут оценщиками учтены факторы, влияющие на аудиторский риск, который включает:

Риск контроля представляет собой риск того, что внутренний контроль не предотвратит или не выявит существенных нарушений ИБ. Важным фактором для повышения достоверности оценок является оптимизация объема выборки в соответствии с предполагаемым риском контроля.

Риск необнаружения представляет собой риск того, что процедуры и методы аудита, применяемые оценщиками, не выявят существенных нарушений.

Важными факторами для снижения риска необнаружения и, тем самым, повышения достоверности оценок являются:

– увеличение времени проверки;

– проведение опросов, ориентированных на представителей третьих независимых лиц;

– увеличение объема выборки.

Измерение и оценивание атрибутов объекта оценки.

Назначение мероприятия: измерение и оценивание атрибутов объекта оценки на основе свидетельств оценки ИБ с целью установления степени выполнения критериев оценки и формирования отчета по результатам оценки.

Атрибут представляет собой свойство или характеристику сущности, которые могут быть определены количественно или качественно ручными или автоматическими средствами.

Для рассмотрения процесса измерения и оценивания атрибутов объекта оценки ИБ воспользуемся моделью измерений, связанных с обеспечением ИБ, представленной на рисунке 5.

Рисунок 5 — Модель измерений, связанных с обеспечением ИБ

Информационная потребность определяет, что требуется измерить для достижения целей оценки ИБ объекта оценки. Измерения, связанные с обеспечением ИБ, могут применяться к различным объектам в рамках контекста оценки. Для идентификации объектов измерения выделяются критические атрибуты процессов, процедур, защитных мер, которые могут предоставить данные, соответствующие информационной потребности.

Метод измерения используется для количественного измерения объекта измерения посредством преобразования атрибутов в основную меру. Основная мера — это мера, определенная в терминах атрибута и метода его количественного определения (мера — это переменная, которой присваивается значение). Основная мера функционально независима от других мер. Основная мера собирает информацию о единственном атрибуте.

Метод измерения количественно измеряет атрибуты посредством применения соответствующей шкалы.

Методы измерения могут быть субъективными или объективными. Субъективные методы полагаются на количественное измерение, включающее мнение человека, тогда как объективные методы используют количественное определение, основанное на числовых правилах, которые могут быть реализованы с помощью ручных или автоматических средств.

Функция измерения определяет, как основные меры объединяются в производную меру. Производная мера — это способ объединения двух или более основных мер.

Функции измерения могут включать разнообразные приемы, такие как усреднение всех основных мер, применение весовых коэффициентов к основным мерам или присвоение качественных значений основным мерам перед их объединением в производные меры.

Для каждой меры должна быть определена аналитическая модель с целью преобразования одной или более производных мер в показатель. Показатель — это результат применения аналитической модели к одной или более мерам по отношению к критериям принятия решений или информационной потребности.

Показатели будут формироваться путем объединения производных мер и интерпретации их на основе критериев принятия решений.

Для каждого показателя должны быть идентифицированы и задокументированы основанные на целях информационной безопасности критерии принятия решений, которые устанавливают максимальное значение показателя и предоставляют руководство для интерпретации текущего значения показателя.

В таблицах 1 — 4 показаны примеры проведения измерения и оценивания атрибута.

Объект измерения

Метод измерения

Основная мера

База данных служащих

Записи, относящиеся к служащим

1) Запрос базы данных для извлечения числа служащих из базы данных отслеживания обучения и повышения осознания.

2) Запрос базы данных для извлечения числа служащих, подписавших соглашения с пользователями.

3) Запрос базы данных для извлечения числа служащих, подписавших соглашения с пользователями, из базы данных отслеживания обучения и повышения осознания.

4) Запрос базы данных для извлечения общего числа служащих

1) Число служащих, получивших обучение, направленное на повышение осознания безопасности.

2) Число служащих, подписавших соглашения с пользователями.

3) Число служащих, получивших обучение, направленное на повышение осознания безопасности, и подписавших соглашения с пользователями.

4) Общее число служащих

Основные меры

Функция измерения

Производная мера

1) Число служащих, получивших обучение, направленное на повышение осознания безопасности, и подписавших соглашения с пользователями.

2) Число служащих, подписавших соглашения с пользователями.

3) Общее число служащих

1) Разделить число служащих, получивших обучение, направленное на повышение осознания безопасности, и подписавших соглашения с пользователями, на число служащих, подписавших соглашения с пользователями, и умножить на 100%

2) Разделить число служащих, подписавших соглашения с пользователями, на общее число служащих и умножить на 100%

1) Процентное отношение служащих, получивших обучение, направленное на повышение осознания безопасности, и подписавших соглашения с пользователями.

2) Процентное отношение служащих, подписавших соглашения с пользователями

Производные меры

Аналитическая модель

Показатель

1) Процентное отношение служащих, получивших обучение, направленное на повышение осознания безопасности, и подписавших соглашения с пользователями.

2) Процентное отношение служащих, подписавших соглашения с пользователями

Х = определенное пороговое значение для соответствия политике, приемлемое для организации.

Предполагается, что значение показателя является красным.

Если Х% служащих подписало соглашение с пользователями, значение показателя становится желтым.

Если Х% служащих получило обучение, направленное на повышение осознания безопасности, и подписало соглашения с пользователями, значение показателя становится зеленым

Красный, желтый, зеленый или линейный график, представляющий тенденцию результатов измерений в течение многих отчетных периодов.

Когда линия пересекает пороговые значения, цвет на графике меняется в соответствии с аналитической моделью

Показатели

Критерии принятия решений

Результат измерений

Красный, желтый, зеленый или линейный график, представляющий тенденцию результатов измерений в течение многих отчетных периодов. Когда линия пересекает пороговые значения, цвет на графике меняется в соответствии с аналитической моделью

Зеленый — соответствие политике.

Желтый или красный — несоответствие политике.

Возрастающая тенденция указывает на улучшение соответствия, убывающая тенденция указывает на ухудшение соответствия. Наклон может дать понимание эффективности реализации средств контроля. Резкие изменения наклона в любом направлении указывают, что реализация средств контроля требует внимательного изучения для определения причины. Негативные тенденции могут требовать вмешательства руководства. Позитивные тенденции должны быть изучены для идентификации потенциальных лучших практических приемов

Соответствующее требованиям и эффективное средство контроля не требует изменений.

Соответствующее требованиям, но неэффективное средство контроля должно быть рассмотрено на предмет исправления

Несоответствующее требованиям и неэффективное средство контроля требует усовершенствования

Сообщение результатов оценки может проходить неформально при внутренней оценке или может происходить в форме подробного отчета при независимой внешней оценке. Кроме того, для представления результатов оценки могут быть подготовлены и другие выводы и предлагаемые планы действий, рекомендации, в зависимости от назначения оценки. Результаты могут быть представлены в абсолютных выражениях или в относительных выражениях в сравнении с результатами предыдущих оценок, контрольными данными, в сравнении с деловыми потребностями и т.д. Результаты оценки ИБ обычно используются в качестве основы для определения рисков ИБ и разработки плана совершенствования СОИБ.

Выходные данные оценки включают дату проведения оценки, входные данные оценки, собранные свидетельства оценки, описание используемого процесса измерения и оценивания. Зарегистрированные выходные данные оценки могут сохраняться в различной форме — бумажной или электронной — в зависимости от обстоятельств и инструментов, использованных для проведения и поддержки оценки.

На основе любого соглашения об обеспечении конфиденциальности или ограничений доступа зарегистрированные данные могут сохраняться организатором оценки или руководством объекта оценки.

Важными факторами достижения цели оценки ИБ являются следующие:

– осознание и мотивация руководства организации;

Позиция руководства организации оказывает существенное влияние на процесс оценки. Поэтому руководство организации должно побуждать участников оценки к открытости и конструктивности. Оценка объекта сосредотачивается на оценке процессов, процедур, защитных мер, а не на функционировании персонала объекта оценки. Смысл оценки состоит в том, чтобы сделать объект оценки более эффективными в достижении целей бизнеса, а не в том, чтобы возложить вину на отдельных лиц.

Обеспечение обратной связи и поддержка атмосферы, поощряющей открытое обсуждение предварительных выводов во время оценивания, содействуют обеспечению того, чтобы выходные данные оценки были значимыми для объекта оценки. Руководителям организации и персоналу объекта оценки необходимо осознавать, что участники оценки являются основным источником знаний и опыта, связанных с процессом, и что руководители и персонал имеют хорошую возможность для идентификации потенциальных слабых мест.

Уважение к конфиденциальности источников информации и документации, собранной во время оценивания, необходимо для обеспечения безопасности этой информации. В тех случаях, когда используются опросы или обсуждения, следует обратить внимание на обеспечение того, чтобы их участники не ощущали угрозы или не испытывали какого-либо беспокойства в отношении конфиденциальности. Некоторая из предоставленной информации может составлять собственность организации. Поэтому важно наличие адекватных средств контроля для обращения с такой информацией.

Организатор оценки, руководство и персонал объекта оценки должны верить в то, что оценка принесет результат, являющийся объективным для объекта оценки. Важно, чтобы все стороны могли быть уверены в том, что специалисты по оценке обладают адекватными знаниями и опытом для проведения оценки, беспристрастны и обладают адекватным пониманием объекта оценки и его бизнеса для проведения оценки.

Способы измерения атрибутов объекта оценки

Атрибуты, выделенные для измерения как критические элементы процесса, процедуры, защитной меры или объекта оценки, должны быть представлены в удобном для анализа виде с целью адекватного преобразования атрибута в основную меру. Оценщик получает больше возможностей для адекватного представления атрибута основной мерой, если измеряемый атрибут будет дополнен элементами, отражающими контекст оценки.

В настоящее время используются две формы описания измеряемого атрибута: форма анкет и форма метрики.

Для подготовки процесса измерения атрибутов с помощью анкет требуется (см. рисунок 6):

– выделить среди атрибутов критические, т.е. те атрибуты, которые позволят достичь цели оценки и сформировать вопросы анкеты;

– определить с помощью модели оценки способ измерения.

Рисунок 6 — Формирование анкет для измерения атрибутов

Это позволит оценщику преобразовать измеряемые атрибуты в основные меры при наличии необходимых для измерения источников свидетельств и свидетельств оценки. Отражение контекста оценки в анкете минимально, а именно описание атрибута в виде вопроса. Элементы контекста оценки могут присутствовать в дополнительных методических и распорядительных документах, обеспечивающих процесс оценки ИБ. В этих документах, как правило, указываются источники свидетельств оценки, а также персонал, ответственный за заполнение анкет. Анкеты могут быть построены не только для получения основной меры атрибута, но и для формирования производной меры. В этом случае в анкете должна быть определена модель объединения основных мер в производную меру.

Примеры анкет, предназначенных для измерения атрибутов, связанных с информационной безопасностью, рассмотрены, например, в документе NIST Special Publication 800–26 «Security Self-Assessment Guide for Information Technology Systems» и в BSI PAS 56 [6]. Фрагмент анкеты BSI PAS 56, содержащей атрибуты в виде вопросов, шкалу для измерения атрибутов и модель для объединения основных мер в производную меру, представлен в таблице.

Таблица 5 — Фрагмент анкеты BSI PAS 56

Источник