В. Андрианов - Обеспечение информационной безопасности бизнеса Страница 51

— данные для поддержки метрик должны быть доступными;

— значения метрик должны быть достижимы и иметь смысл для бизнеса;

— не следует измерять атрибуты, которые не требуется совершенствовать.

Пример формирования метрик в соответствии со стандартом NIST 800-55 «NIST Special Publication 800-55 «Security Metrics Guide for Information Technology Systems» показан в таблице 8.

Таблица 8

Окончание табл. 8

Форма метрик, показанная в таблице 9, подробно описывает объект измерения и атрибут, основную и производную меры, роли и функции ролей при измерении, метод измерения, процедуры сбора и анализа данных.

Таблица 9

Продолжение табл. 9

Окончание табл. 9

3.3. Применение типовых моделей оценки на основе оценки процессов и уровней зрелости процессов для оценки информационной безопасности

3.3.1. Модель оценки информационной безопасности на основе оценки процессов

При описании процесса оценки ИБ организации в разделе 3.2 не рассматривалось содержание модели оценки ИБ и критериев оценки ИБ. Эти компоненты процесса оценки ИБ связаны с целью оценки таким образом, что через цель оценки определяется критерий оценки ИБ, в рамках которых (цель, критерий) выбирается модель оценки ИБ организации.

Предположим, что целью оценки ИБ является оценка процессов обеспечения всей организации или объекта (ов) организации. Для достижения такой цели оценки в качестве критерия оценки ИБ должна использоваться эталонная модель процессов обеспечения ИБ, которая описывает в зависимости от объекта оценки совокупность из одного или более процессов в терминах назначения и ожидаемых результатов. Эталонная модель процессов может содержать более подробное описание процессов с выделением атрибутов по назначению и / или ключевых атрибутов — критических элементов процессов.

Модель оценки процесса включает сферу модели, показатели, отображение и преобразование модели оценки процесса.

Сфера модели оценки процесса может распространяться на подмножество процессов, определенных эталонной моделью процессов объекта оценки, а также охватывать дополнительные процессы, выходящие за рамки процессов объекта оценки. Сфера модели оценки может полностью соответствовать эталонной модели процессов объекта оценки.

Модель оценки процесса основывается на совокупности показателей, которые используются в качестве основы для сбора объективных данных для определения степени достижения атрибутов процессов, назначения и результатов процессов в рамках сферы модели оценки процесса. Показатели формализуют процесс оценки, дают возможность последовательно формировать суждения специалиста по оценке и повышать воспроизводимость результатов. Показатели позволяют оценить степень реализации процессов объекта оценки. Модели оценки процесса в целом обеспечивают различные степени анализа процесса на основе числа показателей оценки, предоставляемых моделью оценки процесса. Модель оценки процесса с 20 показателями оценки будет считаться обеспечивающей более глубокий анализ процесса, чем модель оценки процесса с 10 показателями оценки. Однако такой анализ требует более значительных усилий во время оценки по выявлению данных, касающихся показателей оценки, а затем обработки данных.

Модель оценки процесса должна позволять отображать атрибуты процессов объекта оценки на выбранной шкале. Такой шкалой может быть количественная шкала (например, абсолютная или шкала отношений), которая указывает степень реализации процесса или достижение заданного уровня атрибута процесса, или качественная шкала (например, порядковая), которая указывает на уровень качества процесса.

Показатели, отображая назначения, результаты и атрибуты процессов, формируют таким образом эталонные профили процессов.

Отображение модели оценки процесса должно обеспечивать формальный и поддающийся проверке механизм представления результатов оценки как совокупности параметров процесса для каждого процесса, выбранного из установленной модели (моделей) процесса.

Модель оценки процесса должна обеспечивать четкое преобразование из основных элементов модели в процессы выбранной модели процессов и в соответствующие параметры процесса в структуре измерений.

Преобразование должно быть полным, четким и однозначным. Преобразование показателей в модели оценки процесса должно производиться в:

— назначения и результаты процессов в установленной модели процесса;

— параметры процесса (включая все результаты достижения, перечисленные для каждого параметра процесса) в структуре измерений.

Международный стандарт ИСО/МЭК 15504 [29] определяет, что для оценки процесса могут использоваться модель, оценивающая функционирование процесса, и модель, оценивающая возможности процесса. Измерение функционирования процесса обеспечивается эталонной моделью процесса. Измерение возможности процесса состоит из структуры измерений, включающей шесть уровней возможностей процесса и соответствующие атрибуты процесса.

Разберем первую модель — модель оценки функционирования процесса, для чего рассмотрим измерение и оценивание атрибутов и формирование оценки процессов обеспечения ИБ с помощью этой модели.

Каждый процесс характеризуется назначением (вход), результатом (выход), управляющими воздействиями и ресурсами.

Состояние любого процесса отображается совокупностью атрибутов мероприятий процесса, входных атрибутов, атрибутов управления, атрибутов ресурсов и выходных атрибутов:

Для проведения оценки функционирования процессов каждый процесс должен быть представлен совокупностью атрибутов, требуемых для функционирования процессов в соответствии с их назначением:

В общем случае каждый вид атрибута описывается набором атрибутов, т. е

Для описания соответствия реальных атрибутов процесса требуемым атрибутам YTP формально введем числовую функцию на множестве атрибутов процесса ρ = ρ (Y(u), YTP), которая называется функцией соответствия. Каждый атрибут процесса измеряется с помощью функции соответствия. Конкретный вид функции зависит от метода измерения атрибута.