Измерение эффективности ИБ

1/469 © 2008 Cisco Systems, Inc. All rights reserved. Security Training

Как посчитать эффективность ИБ? Версия 1.7

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved. Security Training 2/469

Что говорит и думает руководство?

Он спрашивает: «Каков уровень риска?»

Он думает: «Чем нам это грозит?»

Он спрашивает: «Соответствуем ли мы требованиям?»

Он думает: «Не накажут ли нас?»

Он спрашивает: «Почему так дорого?»

Он думает: «А может лучше кофе или туалетной бумаги купить?»

Знания CISO/CIO не совпадают с восприятием CxO

Любой вопрос подразумевает измерение ИБ!


“Если вы можете измерить то, о чем говорите, и выразить это в цифрах, вы что-то знаете об этом предмете. Но если вы не можете выразить это количественно, ваши знания крайне ограничены и неудовлетворительны.”

Лорд Кельвин (Уильям Томсон), британский физик

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID


О чем пойдет речь

Зачем измерять безопасность?

Метрики ИБ

Программа управления оценкой эффективности ИБ

Методы измерения ИБ

Средства автоматизации измерения

Стандарты измерения эффективности

Прямая и косвенная отдача от ИБ

Примеры оценки эффективности отдельных проектов по ИБ


Безопасность на уровне бизнеса


Опрос ISACA

Опрос «Critical Elements of Information Security Program Success», ISACA

Опрос 157 руководителей в 8 странах

Канада, Франция, Германия, Израиль, Италия, Япония, США, Венесуэла

Отрасли

Финансы, транспорт, ритейл, государство, промышленность, здравоохранение, консалтинг, коммунальные услуги

35 критических факторов успеха

Культура, люди, бюджет и финансы, организация, технологии, законы и стандарты, метрики, повышение осведомленности и обучение


Ключевые факторы успеха Приоритетные

Поддержка ИБ-инициатив топ-менеджментом

Понимание руководством вопросов ИБ

Планирование ИБ до внедрения новых технологий/проектов

Интеграция между бизнесом и ИБ

Связь ИБ с целями организации/бизнеса

Владение и подотчетность процессов внедрения, мониторинга и репортинга ИБ топ-менеджменту и линейным руководителям


Ключевые факторы успеха Дополнительные

Обучение и повышение осведомленности сотрудников по вопросам ИБ

Внедрение политик и стандартов ИБ

Расположение ИБ в иерархии организации

Бюджетирование стратегии ИБ и тактических планов

Коммуникации о важности ИБ со стороны топ-менеджмента

Возможность финансовой оценки ИБ

Применение лучших практик и метрик


Метрики Что и как измерять

5 5

Процесс взаимодействия Двусторонняя связь

2 2

Общий язык Бизнес первичен

1 1

Выход на руководство Сила и влияние

4 4 3 3 Система убеждения Маркетинг и PR

5 критериев успеха


Security Governance


“Концепция "governance" не нова. Она также стара, как и человеческая цивилизация. Просто "governance" означает: процесс принятия решения и процесс, при котором решения внедряются (или не внедряются).”

Комиссия по социальным и экономическим вопросам

ООН



Governance (в бизнесе) – действие по разработке и последовательному управлению связанных в единое целое политиками, процессами и правильными решениями в данной области ответственности

. . . связь между бизнесом и управлением ИТ

. . . стратегические ИТ-решения, за которые отвечает корпоративный менеджмент, а не CIO или другие ИТ-менеджеры

. . . ИТ Governance – это подмножество Corporate Governance, фокусирующееся на информационных системах

…подтверждение того, что ИТ-проекты легко управляются и глубоко влияют на достижение бизнес-целей организации

Другие определения Governance


ИТ Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ-решений

…взаимосвязь между ИТ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией

Другие определения Governance


IT governance поддерживает следующие дисциплины:

Управление ИТ-активами

Управление ИТ-портфолио

Архитектура предприятия

Управление проектами

Управление программами

Управление ИТ-сервисами

Оптимизация бизнес-технологий

Связь с другими ИТ-дисциплинами


Источник: The Information Paradox

IS

Governance

of IS

Business

Governance

of IS

Enterprise

Governance

of IS

Непрерывный процесс…

Ключевые вопросы Security Governance

Are we

doing

the right

things?

Are we

doing

the right

things?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Are we

getting

them done

well?

Are we

getting

them done

well?

Are we

getting

the

benefits?

Are we

getting

the

benefits?

Are we

getting

the

benefits?

Are we

doing

the right

things?

Are we

doing

the right

things?

Are we

doing

the right

things?

Мы делаем правильные

вещи?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Мы делаем это

правильно?

Are we

getting

them done

well?

Are we

getting

them done

well?

Are we

getting

them done

well?

Мы преуспели

в достижении?

Are we

getting

the

benefits?

Are we

getting

the

benefits?

Are we

getting

the

benefits?

Are we

getting

the

benefits?

Are we

getting

the

benefits?

Мы получаем преиму- щества?


Are we

doing

the right things?

Are we

doing

the right things?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Are we

getting

them done

well?

Are we

getting

them done

well?

Are we

getting

the benefits?

Are we

getting

the benefits?

Are we

getting

the benefits?

Are we

doing

the right things?

Are we

doing

the right things?

Are we

doing

the right things?


вещи?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Are we

doing them

the right

way?

Мы делаем это

правильно?

Are we

getting

them done

well?

Are we

getting

them done

well?

Are we

getting

them done

well?

Мы преуспели

в достижении?

Are we

getting

the benefits?

Are we

getting

the benefits?

Are we

getting

the benefits?

Are we

getting

the benefits?

Are we

getting

the benefits?

Мы получаем преиму- щества?

Стратегический вопрос. Инвестиции:

В соответствие с нашим видением?

Соответствуют нашим бизнес-принципам?

Содействуют нашим стратегическим целям?

Обеспечивают оптимальное значение, затраты

и уровень рисков?

Вопрос ценности. Мы имеем:

• Очевидное понимание ожидаемых

преимуществ?

• Релевантные метрики?

• Эффективные преимущества реализации

процесса?

Архитектурный вопрос. Инвестиции:

В соответствие с нашей архитектурой?

Соответствуют нашим архитектурным

принципам?

Содействуют созданию архитектуры?

В соответствие с другими инциативами?

Вопрос реализации. Мы имеем: Эффективный процесс управления изменениями и реализации? Компетентные и доступные технические и бизнес-ресурсы для реализации:

Требуемых возможностей; и Организационных изменений, требуемых для

достижения возможностей.

Источник: Fujitsu Consulting

4 вопроса в деталях


COBIT

Governance & управление портфолие технологических проектов, сервисов, систем & поддерживающей инфраструктуры

Val IT

Governance & управление портфолио программой изменения бизнеса

Are we doing the right things?

Are we doing them the right

way?

Are we doing them well?

Are we getting the benefits?



way?




вещи?

Мы делаем их

правильно?

Мы преуспели в

достижении?

Мы получили преиму-

щества?



way?





way?



PO

AI

ME

DS

PM VG

IM

“..достучаться до CXO

и других старших менеджеров с

посланием, как ценность ИТ для

бизнеса может быть прозрачным и

увеличивать…”

как решение задачи


Руководство, процесс и структура гарантирующие, что ИТ на предприятии разрешают и поддерживают стратегию и цели предприятия, а также определяющие:

1. какие ключевые решения должны быть приняты;

2. кто отвечает за их принятие; 3. как они должны быть приняты; и 4. процессы и and поддерживающие их

структуры для принятия решений, включающие мониторинг строгого соблюдения процессов и эффективности принятия решений

Stra

tegic

Alignm

ent

Value Delivery

Ris

k M

anagem

ent

Resource Management

Perfo

rmance

Measu

rem

ent

IT IT GovernanceGovernance

DomainsDomains

Stra

tegic

Alignm

ent

Value Delivery

Ris

k M

anagem

ent

Resource Management

Perfo

rmance

Measu

rem

ent


Stra

tegic

Alignm

ent

Value Delivery

Ris

k M

anagem

ent

Resource Management

Perfo

rmance

Measu

rem

ent


DomainsDomains

Stra

tegic

Alignm

ent

Value Delivery

Ris

k M

anagem

ent

Resource Management

Perfo

rmance

Measu

rem

ent


Источник : ITGI

ИТ Governance согласно Val IT


Топ-менеджмент

Управление бизнесом

Операции ИТ

ИТ (функциональное

управление)

Ауд

ито

ры

Связь с другими ИТ-стандартами

Val IT

COBIT

ITIL


Способность показать, как ИБ связана с бизнес-стратегией

Способность показать, как ИБ несет ценность бизнесу

Способность показать, как ИБ управляет рисками

Способность показать, как ИБ управляет ресурсами

Способность показать, как ИБ управляет достижением целей

Резюме: ИБ Governance


Структура ИБ Governance


Модель зрелости измерений ИБ

5. Управлять всем

4. Как связать с бизнесом?

3. Как можно измерять?

2. Что можно измерять?

1. А разве можно измерять?


Измерение ИБ это многогранная задача

1. Уровень опасности или сколько мы потеряем?

2. Сколько денег на ИБ достаточно?

3. Мы достигли цели?

4. Насколько оптимально мы движемся к цели?

5. Сколько стоит информация?

6. Насколько мы соответствуем стандартам или требованиям?

7. Какая из мер защиты выгоднее/лучше?

8. Как мы соотносимся с другими?

9. …


Проблема измерений ИБ


Почему мы отказываемся измерять?

Это нематериально, а значит неизмеримо

Отсутствуют методы измерения

«Проценты, статистика… С помощью них можно доказать все, что угодно»

«Чтобы оценить этот показатель, нужно потратить миллионы рублей. А менее масштабный проект дает большую погрешность»

Важные для предприятия проекты пропускаются в пользу слабых только потому, что во втором случае методы оценки ожидаемого эффекта всем известны,

а в первом нет


Проблемы измерений

Принятие решений часто требует количественной оценки предполагаемых нематериальных активов или вопросов

Многие считают такую оценку невозможной, а нематериальное неподдающимся измерению

Именно это часто является причиной отказа от многих проектов (предубеждение пессимизма)

Раз это невозможно, то мало кто пытается это сделать

Но

Если какой-либо объект/явление можно наблюдать тем или иным образом существует метод его измерения


Развенчание мифа

Если что-то лучше

Есть признаки улучшения

Улучшение можно наблюдать

Наблюдаемое улучшение можно посчитать

То, что можно посчитать, можно измерить

То, что можно измерить, можно оценить

…и продемонстрировать!


Все связано с измерениями

Результат работы любой системы, программы или процесса должен измеряться

Сравнение или анализ тенденций невозможны без измерения

Внедрение системы качества немыслимо без измерений

Как можно повышать качество, не зная о его текущем уровне

Управление ИБ немыслимо без измерений

Как можно управлять ИБ, не зная о текущем уровне угроз и стоимости защищаемых ресурсов?


Безопасность и деньги

Занимаясь повседневной деятельностью мы нечасто думаем о деньгах в контексте ИБ

И только тогда, когда возникает необходимость попросить у руководства деньги на новый проект, продукт или услугу

Выигрывает не тот, кто сильнее, а тот кто лучше приспособлен

Множество проектов и инициатив при нехватке финансовых средств

Особенно в условиях кризиса

Деньги получает тот, кто может сможет лучше обосновать запрашиваемые ресурсы

Сколько надо? Почему столько? Какова отдача?


Об измерениях надо думать когда

Есть описанные процессы ИБ

Для бизнес-процессов существуют измеримые цели или требования измерения эффективности

Имеется методика оценки качественного или количественного измерения текущего состояния и сравнения его с целью

Вы достигли определенного уровня зрелости

Вы хотите сертифицироваться по ISO 27001 или ISM3

Вы хотите контролировать процессы ИБ и держать все в руках


Начнем с определений или что такое измерение?


Что такое измерение?

Измерение – это определенность, точная величина?

Количественное выражение чего-либо?

Расчет точной стоимости чего-либо?

Сведение к одному числу?

Измерение – это совокупность снижающих неопределенность наблюдений, результат которых выражается некоей величиной!

Измерение – это не только полное, но и частичное сокращение неопределенности


“Как это не парадоксально, но всякая точная наука основывается на приблизительности. Если кто-то говорит вам, что точно знает что-то, можете смело делать вывод: вы разговариваете с человеком, не имеющим понятия о точности.”

Бертран Рассел, британский математик и философ



Точное значение или интервал?

Научные методы описывают результаты в определенном интервале значений

Проект по обеспечению бесперебойной работы сайта позволил повысить лояльность клиентов на 7-12%

Интервал значений позволяет не делать допущений, в которых мы не уверены

Риск = 5% или риск в интервале от 2% до 9%

Интервалы можно складывать, вычитать, умножать, как и точные значения (метод Монте-Карло)

Т.к. измерение снижает неопределенность, то мы должны понимать, что результат измерений должен сопровождаться оценкой погрешности

Вероятность прохождения аттестации ФСТЭК составляет 85%


2 + 2 не всегда равно 4

Измерение – это не всегда количественная оценка в традиционном понимании этого слова

Произойдет ли сбой?

Получим ли мы сертификат соответствия?

Число сигнатур атак в IDS#1 больше чем в IDS#2 (не важно насколько)

Продукт #1 имеет 4 балла в тестах, а продукт #2 – 2 балла (2 балла не обязательно вдвое меньше, чем 4 балла; а 2 системы, имеющие по 2 балла, не обязательно будут также эффективны, как одна система с 4-мя баллами)


Качество или количество?

1954 г. - Paul Meehl – «Clinical Versus Statistical Prediction: A Theoretical Analysis and Review of the Evidence», 1954

Работа обновлена в 1996

Количественная оценка работает лучше экспертной (качественной)

В 136-ти случаев из 144-х

Качественная оценка необъективна по своей сути

При качественной оценке сложно предъявить доказательства


Вернемся к определениям или что такое информационная безопасность?


“Правильно поставленная проблема уже наполовину решена.”

Чарльз Кеттеринг, американский изобретатель



О понятии ИБ

ИБ – это не универсальное, не стандартное понятие

Оно персонифицировано в каждой конкретной ситуации, для каждой конкретной организации, для каждого конкретного CISO

В одной и той же компании, разные CISO могут по-разному заниматься ИБ

В одной и той же компании при одном и том же CISO, но разных CEO, ИБ может двигаться в разных направлениях

ИБ – это понятие, зависящее от множества факторов/элементов


Термин «безопасность»

Безопасность – отсутствие опасности

В.Даль

Безопасность – состояние, при котором не угрожает опасность

С.Ожегов

Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз

ФЗ «О безопасности»



Безопасность информации - деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию)

ФСТЭК

ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность

А как же борьбы со спамом? Или шантаж DDoS?

Безопасность - состояние защищенности объекта от внешних и внутренних угроз



Безопасность – системное свойство, позволяющее развиваться и процветать в условиях конфликтов, неопределенности и рисков на основе самоорганизации и управления

Безопасность – деятельность людей, общества, государства по выявлению, предупреждению, ослаблению, устранению и отражению опасностей и угроз, способных погубить их, лишить ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития

Информационная безопасность - динамическое состояние сохранения жизненно важных параметров предприятия в информационной сфере


Как я понимаю ИБ?!

Информационная безопасность - состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса

Переработанное определение из Доктрины информационной безопасности

Очень емкое и многоуровневое определение

Может без изменения применяться в ЛЮБОЙ организации

Меняться будет только наполнение ее ключевых элементов – стейкхолдеры, информационная сфера, интересы


Стейкхолдеры ИБ

• ИТ

• ИБ

• Юристы

• Служба внутреннего контроля

• HR

• Бизнес-подразделения

• Руководство

• Пользователи

Внутри предприятия

• Акционеры

• Клиенты

• Партнеры

• Аудиторы

Снаружи предприятия

• ФСТЭК

• ФСБ

• Роскомнадзор

• СВР

• МО

• ФАИТ

Регуляторы


Информационная сфера

Информационная сфера - это совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений

В данном определении информационная инфраструктура включает в себя также и технологии обработки информации


Интересы стейкхолдеров

Универсального списка интересов не существует – у каждого предприятия на каждом этапе его развития в различном окружении при различных руководителях интересы различны

ИБ

• Конфиденциальность

• Целостность

• Доступность

Юристы

• Соответствие

• Защита от преследования

• Новые законы


• Соответствие

Пользователи

• Тайна переписки

• Бесперебойный Интернет

• Комфорт работы

Акционеры

• Рост стоимости акций

• Контроль топ-менеджмента

• Прозрачность

ИТ

• Доступность сервисов

• Интеграция

• Снижение CapEx


Интересы бизнеса

Рост (доли рынка, маржинальности, доходности…)

Экспансия (новые рынки, новые целевые аудитории)

Рост продуктивности сотрудников

Соответствие требованиям

Инновации и новые бизнес-практики

Реинжиниринг бизнес-процессов

Взаимоотношения с клиентами (лояльность)

…


Определите объект измерения!!!

Самое важное – определить объект измерения!

Что для вас информационная безопасность?

Снижение числа вредоносных программ?

Получение аттестата PCI Council?

Снижение числа запросов в Help Desk по поводу забытых паролей?

Снижение числа утечек конфиденциальной информации?

Защита от наездов регуляторов?

Что конкретно ВЫ имеете ввиду?!

Определитесь с объектом измерения и половина работы по измерению будет проведена!


Закончим с определениями или что такое эффективность?


“Ничто так не мешает прогрессу знания, как расплывчатость терминологии.”

Томас Рейд, шотландский философ



Что такое эффективность?

Мало кто может сказать, что такое эффективность – большинство может сослаться на разрозненные наблюдения, которые ассоциируются у них с эффективностью

Число эпидемий стало меньше

Заказчики стали меньше звонить в Help Desk по поводу недоступности сайта

Пользователи стали реже заносить вредоносные программы на флешках

Руководство не жалуется, что не может «достучаться» до корпоративной ИС из командировки

Сервер AD ни разу не «упал» в этом месяце


Что такое эффективность?

Эффективность – это поддающийся количественному определению вклад в достижение конечных целей

Важно в конкретном случае детализировать понятие «эффективность» (объект измерения)


Efficiency vs. Effectiveness

Результативность

Оптимальность

Сначала мы обычно оцениваем достижение цели как таковой (результат)

Но интересно ли нам достижение цели любыми средствами?

Термин «эффективность» на английском языке имеет два значения


Измерение на результат и процесс

Измерения, нацеленные на результат

Наиболее привычные для служб ИБ

Чаще всего выдаются системами защиты

Измерения, нацеленные на процесс

Сложнее оцениваются

Требуют взаимодействия с людьми

• Процент заблокированного спама

• Процент прошедшего спама через антиспам и о котором сообщили сотрудники, прошедшие тренинг повышения осведомленности

Антиспам


Что же такое измерение эффективности ИБ?


Квинтэссенция измерений эффективности ИБ

Источник: NIST SP800-55


Напомним заинтересованных лиц (стейкхолдеров)

• ИТ

• ИБ

• Юристы

• Служба внутреннего контроля

• HR

• Бизнес-подразделения

• Руководство

• Пользователи

Внутри предприятия

• Акционеры

• Клиенты

• Партнеры

• Аудиторы

Снаружи предприятия

• ФСТЭК

• ФСБ

• Роскомнадзор

• СВР

• МО

• ФАИТ



Стейкхолдеры в медицине

Отчет: The Financial Impact of Breached Protected Health Information: A Business Case for Enhanced PHI Security


Куда стремится ИБ или немного о целях?


Цели ИБ

Прежде чем оценивать эффективность, необходимо понять, определить и зафиксировать цели, эффективность достижения которых мы измеряем!!!

Получение аттестата ФСТЭК на все АС/ИСПДн

Сертификация ключевых процессов на соответствие ISO 27001

Достижение 4 уровня по СТО БР ИББС

Сокращение числа инцидентов ИБ до 3 в месяц

Внедрение защищенного мобильного доступа для руководства

Внедрение защищенного удаленного доступа для географической экспансии

Повышение устойчивости инфраструктуры к DDoS-атакам с целью повышения лояльности клиентов и снижение их текучки

Снижение затрат на ИБ на 15%


Достижение каких целей измеряем?

Цели топ-менеджмента

Цели топ-менеджмента

Операционные цели

Операционные цели

Финансовые цели

Финансовые цели

Цели ИТ Цели ИТ

Цели ИБ Цели ИБ

Цели ИБ в данной ситуации вторичны, т.к. их никто не понимает кроме службы ИБ

Грустно это признавать, но это так


Но есть ли все-таки связь ИБ и бизнесом?

Согласно исследованию E&Y во время кризиса все компании начинают с сокращения затрат (без эффекта)

7 ключевых областей для оптимизации расходов

Оптимизация ассортимента продукции

Изменение стратегии продаж

Сокращение затрат на персонал

Повышение производительности

Аутсорсинг

Оффшоринг

Оптимизация использования и стоимости привлечения ресурсов


Изменение стратегии продаж

Рост выручки рост числа клиентов географическая экспансия решение по защищенному удаленному доступу и защите от утечек информации

Рост выручки рост числа сделок оснащение мобильными устройствами и подключением к Интернет решение по защищенному удаленному доступу

Рост выручки рост числа клиентов/сделок, ускорение сделок, снижение себестоимости сделок новый канал продаж Интернет решение по защищенному удаленному доступу, защите Интернет-ресурсов


Снижение арендной платы

Снижение арендной платы уменьшение арендуемых площадей перевод сотрудников на дом решение по защищенному удаленному доступу

Экономия на:

Аренда площадей

Питание сотрудников

Оплата проездных (если применимо)

Оплата канцтоваров

Оплата коммунальных расходов, а также

Улучшение психологического климата за счет работы дома

Рост продуктивности


Уменьшение складских запасов

Уменьшение складских запасов удаленный доступ к складской ИС поставщиков решение по защищенному удаленному доступу, защита Интернет-ресурсов, Identity & Entitlement Management


Уменьшение складских площадей

Оптимизация логистики

Ускорение цикла поставки


Оптимизация финансовых затрат

Оптимизация финансовых затрат переход на лизинг или оплату в рассрочку обращение в компании по ИТ/ИБ-финансированию

Выгоды:

CapEx переходит в OpEx

Ускоренная амортизация (коэффициент – 3)

Снижение налога на прибыль и имущество

Не снижает Net Income, EBITDA

Нет проблем списания оборудования

Отсрочка платежа

Фиксированная ставка в рублях

Положительное влияние на финансовые показатели



Рост продуктивности снижение времени, потраченного на дорогу перевод сотрудников на дом решение по защищенному удаленному доступу

Рост продуктивности – от 10% до 40%

Дополнительно:

Увеличение рабочего времени

Экономия на аренде площадей

Экономия на питании сотрудников

Экономия на оплате проездных (если применимо)

Экономия на оплате канцтоваров



Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям

Аэропорт

WAN/Internet

SiSi

SiSi

Отель

Предприятие

Дорога

Кафе

Главный

офис HQ

Филиал Дом

Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)

Сотрудник в среднем тратит только 30–40% времени в офисе

100 сотрудников



Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.

1 час потери продуктивности $1,200 $6,000 $12,000

Потери в год от 1 часа в неделю $62,5K $312,5К $625К



Уменьшение числа командировок

Уменьшение числа командировок внедрение видеоконференцсвязи/унифицированных коммуникаций/TelePresence решение по защищенному удаленному доступу и защите унифицированных коммуникаций


Командировочных затратах ($300-400 на авиабилет + $100 на гостиницу в сутки)



Чтение электронной почты отвлечение на незапрошенную корреспонденцию антиспам-решение


Интернет-трафике

Времени чтения почты

Последствия вирусных эпидемий

Особенности

Экономия на времени чтения почты имеет значение для предприятий с большим числом сотрудников


Сокращение затрат на Интернет

Контроль действий сотрудников в Интернет блокирование загрузок постороннего ПО, музыки, видео и контроль посторонних сайтов решение по контролю URL


Интернет-трафике

Дополнительно

Рост продуктивности (может быть)

Защита от вирусов и троянцев в загружаемом трафике


Другие примеры

Снижение рисков путешествий (и затрат на них) для сотрудников внедрение унифицрованных коммуникаций и Telepresence защита коммуникаций (технологии VPN, AAA и т.п.)

Снижение издержек на ИТ аутсорсинг защита и разграничение удаленного доступа (технологии VPN, AAA, МСЭ и т.п., а также проработка юридических и организационных моментов, связанных с ИБ)

Снижение издержек на внутренний Helpdesk внедрение системы автоматического управления паролями пользователей (технология AAA)


Другие примеры

Поглощения и слияния обеспечение конфиденциальности сделки, оценка приобретаемых активов с точки зрения ИБ ИБ

Выход на IPO соответствие требование SOX или листинга иной биржи обеспечение целостности и прозрачности

Повышение кредитного рейтинга выполнение требований S&P или Moodys ИБ (как некоторые из требований рейтинговых агентств)

Рост доверия со стороны акционеров внедрение системы корпоративного управления внедрение СВК внедрение СУИБ (как неотъемлемая часть СВК согласно требованиям ЦБ и ФСФР)


А есть ли другие цели?


Бизнес-цели

«Бизнес-цели» - отталкиваемся не от того, ЧТО защищаем, а КУДА стремимся

Бизнес-цель может быть

У всего предприятием

У отдельного подразделения

У отдельного проекта/инициативы

У отдельного «важного» человека («спонсора»)

Бизнес-цели не всегда связаны с финансами

Нельзя искать только финансовую выгоду от решения вопросов безопасности

Необходимо учитывать нефинансовые цели (например, лояльность клиентов) и синергетический эффект


Всегда ли выгода измеряется деньгами

Бизнес инвестирует в проекты, приносящие отдачу

Отдача не обязательно носит денежный характер

Критерии

• Бизнес-ориентированный

• Связанный с приоритетами/целями компании

• Измеримый в метриках, понятных бизнесу

• Приносящий ценность или отдачу (желательно финансовую)

• Оптимальный (цель не любыми средствами)

• Выполненный в срок

• Не нарушающий законодательство

Примеры

• Снижение TCO

• Защита взаимоотношений

• Рост доверия

• Соответствие требованиям

• Ускорение выхода на рынок

• Географическая экспансия

• Снижение бизнес-рисков

• Снижение текучки клиентов/партнеров

• Рост лояльности клиентов/сотрудников

• Оптимизация процессов

• Интероперабельность и интеграция

• Стандартизация

• Рост качества

• Оптимизация затрат (на внедрение, эксплуатацию, поддержку и т.п.)

• Повторное использование

• Масштабируемость


Как определить бизнес-цели?

Каким бизнесом занимается организация?

Какие стратегические продукты, сервисы и инициативы в организации?

Каковы активности и потребности?

В каких странах и индустриях делается бизнес?

Какие тенденции, законы и требования отличаются в разных странах?

Каковы внутренние процессы и политики?

С кем регулярно ведет бизнес организация?


Как определить бизнес-цели?

Какова политическая ситуация?

Кто владельцы бизнеса?

Каков уровень зрелости организации?

Какие бизнес-задачи сложно или невозможно реализовать?

Каковы риски?

Каковы стратегические ИТ-инициативы?

Не выдумывайте – поинтересуйтесь у топ-менеджмента!


Примеры бизнес-целей


Network Virtual Organization (NVO)

Ускорение вывода продукта на рынок

Доступ поставщиков и партнеров к корпоративной сети

Аутсорсинг бизнес- или ИТ-процессов

Данное бизнес-требование демонстрирует, что безопасность может быть не столько технической задачей, сколько юридической

Географическая экспансия

Конфликт законодательств разных стран для международных компаний или сдвиг PoS / PoD

Поглощения и слияния


Связь измерений и бизнес-цели

Наиболее эффективный путь – декомпозиция бизнес-цели на части и выбор метрик для каждой из них

Бизнес-цель

Подцель 1 Подцель 2 Подцель 3

Действие 1 Действие 2

Измерение 1 Измерение 2


Gartner Business Performance Framework

Метрики, оценивающие бизнес-процессы

Бизнес-процессы состоят из действий, которые нужно измерять






Связь ИТ и бизнес-задач


Главный промежуточный итог


Измерение эффективности ИБ

Измерение Измерение

Цели ИБ

Цели ИБ

Что такое ИБ?

Что такое ИБ?

Комбинация 3 ключевых элементов позволяет выбрать

Метод оценки

Метрики для демонстрации

Способ демонстрации целевой аудитории

Частоту оценки

Инструментарий оценки

…


Аудитория для измерений ИБ

ИБ ИБ

ИБ ИБ

ИТ ИТ

Юристы Юристы

HR HR Внутренний

аудит Внутренний

аудит



Бизнес-отделы Бизнес-отделы

Помимо 3 ключевых элементов важно понимать и аудиторию, которой будут демонстрироваться результаты измерений

HR не интересует уровень соответствия

CxO не интересует число вирусов

ИБ не интересует выгодность проекта


Что мы хотим измерять в ИБ чаще всего?


Что мы будем измерять в ИБ?

Какой уровень опасности нам грозит?

Что мы потеряем?

Оценка нематериальных активов

Оценка информации

Оценка материальных активов

ALE

Какова вероятность ущерба?

Что нам грозит?

Насколько мы уязвимы?

Если вы посещали мой курс по моделированию угроз – он отвечает именно на эти вопросы


Что мы будем измерять в ИБ? (продолжение)

Сколько денег на безопасность надо?

Сколько мы потратим? Почему столько?

Какова отдача? И есть ли она?

Выгоден ли этот проект по ИБ?

Рискованны ли инвестиции в ИБ?

Мы соответствуем требованиям?

Стандартов

SLA

Регуляторов

Какая СЗИ лучше?

Лучше = дешевле, функциональнее, быстрее окупается, быстрее работает…


Что мы будем измерять в ИБ? (окончание)

Как мы соотносимся с другими?

Насколько мы защищены?

На каком уровне находимся?

Стало ли лучше по сравнению с прошлым?

Сколько времени потребуется?

На проникновение / распространение вредоносного ПО?

На внедрение СЗИ?

На возврат в исходное состояние после атаки?

Оптимально ли

Мы движемся к цели?

Тратим деньги?

Настроена система защиты?


Программа управления оценкой эффективности информационной безопасности


Программа управления оценкой эффективности

Выбор метрик – это только начало оценки эффективности ИБ

Необходима целая программа управления данным процессом

Регулярный, непрерывный, всеохватывающий процесс

Не пытайтесь съесть слона целиком – нужно поэтапное внедрение

Начните с одного бизнес-приложения (АБС), подразделения (работы с клиентами), бизнес-процесса (Интернет-банкинг), части инфраструктуры (например, Интернет-периметра)


Программа измерения: 5 обязательных элементов

• Занимаемся?

• Что получаем?

Стратегия измерений Стратегия измерений

• Кто executive sponsor?

• Члены команды Команда Команда

• Что мы измеряем?

• Почему мы измеряем? Анализ GQM Анализ GQM

• Кто пересматривает?

• Как часто?

План пересмотра

План пересмотра

• Аудитория

• Контент Отчеты Отчеты


GQM Framework

GOAL GOAL

Metric

QuestionQuestionQuestionQuestion

Metric Metric Metric MetricMetric


5 шагов построения программы измерения ИБ

• Вовлеченность

• Подотчетность

Назначить ответственного

Назначить ответственного

• Документировать

• Равняться на других

Выстроить структуру Выстроить структуру

• Политические

• Финансовые

• Людские

Получить ресурсы Получить ресурсы

• Что работает?

• Что нет?

• Почему?

Регулярно пересматривать

Регулярно пересматривать

• Признать неудачи

• Изменить положение вещей

Делать выводы Делать выводы


Модель зрелости программы метрик

5. Управлять всем

4. Как связать с бизнесом?

3. Как можно измерять?

2. Что можно измерять?

1. А разве можно измерять?


Описание этапов Этап Особенности

Нулевой этап Реактивный подход к безопасности

Подводит нас к ответу на вопрос: «Разве ИБ можно измерять?»

Попытка избегать любых измерений ИБ

Нет времени на новые проекты, не то, что на их измерение

Первый этап Подводит нас к ответу на вопрос: «Что можно измерять?»

Можно решить измерить что-то, но что конкретно? И хотя каждая компания отлична от других в своей ИБ есть ряд направлений, которые применимы ко всем – BCP, управление конфигурациями ОС, железа и приложений, IAM, эффективность реагирования на инциденты, уровень осведомленности персонала.

Второй этап Подводит нас к ответу на вопрос: «Как можно измерять?»

Понимание необходимости измерения метрик

Базовые метрики (технические аспекты ИБ) – непрерывность бизнеса, identity management, реагирование на инциденты, осведомленность персонала

Непонимание методов измерений, частоты измерений, места и способа хранения метрик, адресата для метрик и формата представления результатов (графики, таблицы и т.п.)

Третий этап Подводит нас к ответу на вопрос: «Как связать измерения ИБ с бизнесом?»

Метрики собраны, измерены и увязаны с бизнес-процессами

Можно сравнивать метрики по разным направлениям бизнеса, процессам и подразделениям

Четвертый этап Подводит нас к ответу на вопрос: «Как интегрировать систему измерений ИБ в общую систему измерения эффективности бизнеса?»

Метрики регулярно доносятся до всех руководителей

CxO и LOB-менеджеры понимают необходимость участия в вопросах безопасности

Интеграция с общекорпоративной стратегией управления рисками


«Женская» модель зрелости

Executive Women’s Forum on Information Security, Risk Management, and Privacy

Уровень 1 Уровень 1

• Реактивный подход к ИБ

• А ИБ можно измерять?


• Базовые метрики

• Поиск подходов к измерению


• Повторяемый процесс измерения хорошо понятных метрик

• Первая привязка к бизнесу


• Включение процесса измерения ИБ в общий процесс управления рисками для ИТ и бизнеса


Примеры работы «женской» модели Э

тап 1

Э

тап 1

Служба ИБ задумалась о процессе повышения осведомленности

Служба ИБ задумалась о процессе повышения осведомленности Э

тап 2

Э

тап 2

Служба ИБ вручную готовит отчеты о прошедших тесты для проверки знаний

Служба ИБ вручную готовит отчеты о прошедших тесты для проверки знаний

Эта

п 3

Э

тап 3

Служба ИБ запускает сайт с тестами и автоматической генерацией отчетов

Служба ИБ запускает сайт с тестами и автоматической генерацией отчетов Э

тап 4

Э

тап 4

Служба ИБ включает процесс повышения осведомленности в общую стратегию управления персоналом

Служба ИБ включает процесс повышения осведомленности в общую стратегию управления персоналом

Рост числа внутренних инцидентов породил задачу повышения осведомленности и выстраивания процесса оценки этого проекта/задачи


Модель зрелости NIST

Источник: Guide for Developing Performance Metrics for

Information Security, NIST SP 800-80


Хорошая программа оценки эффективности ИБ

Адекватные бизнес-задачам метрики и методы измерения

Ориентация на разные целевые аудитории

Ориентированный на результат анализ результатов измерений

Поддержка на уровне топ-менеджмента

Без этого внедрение программы обречено не то чтобы на неудачу, скорее на невысокую эффективность

Желательным условием запуска программы является наличие в организации культуры измерений

Качества, KPI, BSC, Six Sigma и т.д.


Типичные ошибки

Выбор сотен метрик вместо концентрации на стратегических

Измерение того, что проще измерить, вместо концентрации на целях измерения

Отсутствие бизнес-фокусировки

Фокус на операционных результат-ориентированных метриках вместо оценки эффективности процесса

Отсутствие контекста

Снижение цены ИБ при росте инцидентов

Отсутствие сотрудничества с другими и доверия к себе


Что является результатом (мерилом) измерения или метрики информационной безопасности


Что такое «метрика безопасности»?

Метрика безопасности – способ применения количественного, статистического и/или математического анализа для измерения «безопасных» стоимости, преимуществ, удач, неудач, тенденций и нагрузок

Отслеживание статуса каждой функции безопасности

Метрики – это не столько цифры, сколько факт достижения поставленных целей, выраженный количественно

KPI, KRI, PI = метрика


GQM: Связь метрик и целей

Цели

Какова наша стратегия ИБ?

Каких конкретных результатов мы хотим достичь?

Вопросы

Как мы узнаем, что мы достигли поставленных целей?

Как мы определяем успешность достижения?

Метрики

Где мы можем найти ответы на наши вопросы?

Какие данные мы должны собрать и проанализировать?


KPI, KRI, PI и CSF

KPI – Key Performance Indicator

KRI – Key Result Indicator

Не путать с Key Risk Indicator

PI – Performance Indicator

CSF – Critical Success Factors


Монетарные и нефинансовые метрики информационной безопасности


Функции и процессы любой компании

Основная деятельность (выпуск продукта,

предоставление услуг)

Улучшение основной деятельности

(оптимизация издержек)

Совершенствование предыдущей категории

(управление качеством)


Могут ли быть нефинансовые измерения?

ИБ не относится к первой категории функций предприятия

Финансовые метрики сложно применять в этом случае, т.к. ИБ напрямую не генерит бизнес

ИБ чаще всего относится ко второй категории функций

Возможность использования финансовых метрик зависят от оцениваемого процесса

Некоторые проекты ИБ могут помочь оптимизировать издержки

Управление ИБ – это всегда третья категория функций

Финансовых метрик может вообще не быть

Исключение может составлять экономия на персонале за счет более эффективного управления


Могут ли быть нефинансовые измерения?

Классические финансовые метрики определяют балансовую стоимость предприятия, его доходы и расходы

Рыночная стоимость, капитализация определяются в т.ч. и нефинансовыми показателями

Уровень корпоративного управления

Наличие бренда

Прозрачность

Эффективность управления

И т.д.

Не зря появляется такое понятие, как система сбалансированных показателей (Balanced scorecard, BSC)


Security balanced scorecard

Заказчик Финансы

Внутренние процессы

Обучение и рост

Базовая BSC

Заказчик

Ценность для бизнеса

Операционная эффективность

Будущее

Compliance


Классификация метрик информационной безопасности


О метриках

Существуют различные классификации метрик ИБ

Например, метрики

оценивающие эффективность реализации политики безопасности

оценивающие эффективность процесса обеспечения безопасности (насколько оправданы затраты)

оценивающие влияние безопасности на бизнес

Например, каждая система может создавать 2 типа метрик

Показывающие достижение целей в системе

Являющиеся входным параметром для систем более высокого уровня

Использование метрик зависит от уровня зрелости процессов ИБ


Таксономия метрик ИБ

Метрики

По финансам

Монетарные

Немонетарные

По представлению

Обычные

Двоичные

Процентные

По осязаемости

Осязаемые

Неосязаемые

По отношению к цели

Прямые

Косвенные

По применимости

Прямые

Являющие входом для

других систем

По объекту оценки

Результат

Процесс

По стратегичности

Стратегические

Тактические

Оперативные


Иерархия метрик в масштабе службы ИБ

Система управления (Security Governance)

Система управления (Security Management)

Технические средства (Security System)


Иерархия метрик в масштабе предприятия

Корпоративные измерения (финансы, индексы, рейтинги)

Сравнение с другими компаниями

Измерение достижения департаментами своих целей

и их оптимальности

Измерение отдельных элементов (продуктов,

процессов, услуг)


Метрики безопасности

Метрики эффективности реализации

Пример (один источник данных): число неудачных попыток аутентификации

Пример (несколько источников данных): число инцидентов безопасности по причине некорректной настройки подсистемы контроля доступа

Метрики эффективности процесса ИБ

Пример: число специалистов, требуемых для реагирования на инциденты

Метрики оценки влияния на бизнес

Пример: стоимость обработки звонка в Help Desk по поводу смены пароля или время простоя бизнес-пользователя в результате вирусной эпидемии


Стратегические/тактические метрики

Стратегическая метрика – показатель правильности выбранного пути

Отклонение от него не требует немедленной реакции

Стандартный срок действия метрики – 3 года

Требуется понимание образа мыслей топ-менеджеров

Никаких деталей – только высокоуровневые индикаторы

Отраслевых стратегических метрик в ИБ нет

В отличие от других отраслей

Исключая число выданных сертификатов и лицензий

Такую идею закинули в СовБез при написании «Культуры ИБ»


Стратегические отраслевые метрики

Здравоохранение

Коэффициент трудовой занятости, общее число госпитализированных и выписанных, показатель рождаемости и смертности и т.п.

Промышленность

Число аварий на производстве, число дефектов на устройство, среднее отклонение от допуска и т.д.

Ритейл

Объем продаж на квадратный метр, продажи на одного покупателя, число покупок на одного покупателю и т.д.


Проект Index of Cyber Security

Оценка уровня восприятия риска кибербезопасности в мире


Как выбирать метрики ИБ


Выбор метрик

Не используйте метрики, создающие «видимость» улучшения, без самого улучшения для бизнеса

Например, число обнаруженных вирусов или устраненных уязвимостей

Если измерение не дает ничего с точки зрения бизнеса, то это плохое измерение

Измерение ради научных целей интересны, но не нужны в деле

Метрика должна быть релевантной, измеримой в адекватных терминах и, желательно, ассоциированной со стоимостью

Время/стоимость простоя пользователя в месяц

Не идеальна, но соответствует требованиям

Можно также учесть время, в который происходит простой, роль пользователя, который простаивает и т.д.


Выбор метрик (окончание)

Точность метрики менее важна, чем ее качественная связь с бизнесом и его целями

Метрики должны быть применимы ко всему предприятию

Если мы хотим донести до топ-менеджмента всю важность ИБ

Локальные метрики допустимы на уровне отдела или для собственных задач

Измерения должны быть повторимыми

Не бывает универсальных метрик

У каждого предприятия свои особенности и свои метрики

Не используйте сложных в вычислении метрик

Это снижает доверие к результатам и увеличивает время


От простого к сложному: метод выбора метрик KISS

KISS – Keep It Simple, Stupid!

Не усложняй, тупица!

Метрика не должна быть неизмеримой

У вас не будет надежды

Метрика должна быть вызовом

Иначе не будет мотивации


Принципы выбора метрик

SMART – Specific, Measurable, Achievable, Relevant, Timely

Как можно конкретнее, без двойных толкований, для правильной целевой аудитории

Результат должен быть измеримым, а не эфемерным

Зачем выбирать цель, которая недостижима?

Соответствие стратегическим целям, а не «вообще»

Своевременность и актуальность


Принципы выбора метрик

Характеристика Пример хорошей метрики Пример плохой метрики

Конкретная Число неудачных попыток

входа в систему в неделю

на одного сотрудника

Число неудачных попыток

входа в систему

Измеримая Уровень лояльности

внутренних клиентов

Доход от внедрения

системы защиты

Достижимая Число инцидентов в

текущем квартале < 5

Отсутствие инцидентов ИБ

за текущий квартал

Релевантная Число проектов по ИБ,

завершенных в срок

Число запущенных

проектов по ИБ

Актуальная Число пропатченных ПК в

этом году

Число пропатченных ПК в

прошлом году


От простого к сложному: метод выбора метрик SMART-PURE-CLEAR

PURE – Positively Stated, Understood, Realistic, Ethical

Выберите позитивную метрики

Метрика должна быть понятна целевой аудитории

Метрика должны быть реалистична

Не забывайте про этику

CLEAR – Challenging, Legal, Environmentally Sound, Agreed, Recorded

Метрика содержит вызов?!

Легальна ли ваша метрика?

Не нарушает экологию?

Согласована?

Записана? Запротоколирована?


Выбор метрик (окончание)

Нельзя допускать появления кросс-метрик, одинаково подходящих для оценки двух разных целей

Особенно противоположных целей

Метрика А

Цель 1

Цель 2


Как выбирают метрики?

1. Метрики обычно выбираются исходя из корпоративных целей (в 65% случаев)

2. Анализ существующих отчетов, из которых вычленяются чаще всего используемые для оценки деятельности показатели

3. Индивидуальные интервью

4. Карты бизнес-процессов

5. Специальные сессии определения KPI

6. Групповые интервью

7. Стратегические карты

8. Опросы (в 23% случаев)


Пример: какой антивирус лучше

Исходные данные

Symantec Antivirus обнаруживает 100K+ штаммов вирусов

Антивирус AntiDIR обнаруживает только один вирус DIR

Задача – определить какой антивирус лучше?


Пример: значимость метрик

Измерение числа спам-сообщений в общем объеме почты

Как это важно для предприятия и для бизнеса?

Что изменится, если спама будет 70%, а не 50%

Обнаружение шпионского ПО

Обнаружение 50% всех spyware, встречающихся в диком виде

Обнаружение 95% spyware, которые могут встретиться в компании (даже если это будет 10% от всех spyware)

Число вирусов, а следовательно и атак, бесконечно. Поэтому бессмысленно опираться на конечное число обнаруженных вирусов и уязвимостей

Что такое тысяча или даже миллион по сравнению с бесконечностью


Пример: дорога на Луну

Задача: Я хочу добраться до луны

Решение: насыпать холм до луны

Каждый день холм растет на 10 м

Каждый день я становлюсь на 10 м ближе к цели

Для достижения цели потребуется 38440000 дней

Можно наблюдать процесс достижения цели!!!

Но… цель недостижима, т.к. Земля движется вокруг своей оси, солнца, галактики… и расстояние/направление от холма до Луны постоянно изменяется


Выбор метрик

Будьте осторожны в выборе метрик

Сотрудники будут оптимизировать свою деятельность, чтобы метрики говорили в их пользу

Это допустимо, если от этого выиграет бизнес


Пример: число звонков в Service Desk

Задача: оценить время реагирования на звонок об инциденте

Поощрение за снижение времени реагирования

Сотрудники могут класть трубку сразу после звонка!

Поощрение за число разрешенных инцидентов

Сотрудники будут самостоятельно пытаться закрыть инцидент, не эскалируя его правильному специалисту

Увеличение длительности звонков и ожидания клиентов на линии

Меньше доступных специалистов – ниже удовлетворенность

Комбинируйте метрики

Время реагирования на звонок + длительность звонка


Пример: контроль доступа в Интернет

Задача: оценить эффективность системы контроля доступа

Видимая оценка

• 1,5 часа в день на «одноклассниках»

• 200 сотрудников

• 6600 часов экономии – 825 чел/дней

• $18750 в месяц (при зарплате $500)

• $225000 в год экономии

Скрытая оценка

• Блокирование доступа не значит, что сотрудники будут работать

• Работа «от» и «до» и не больше

• Ухудшение псих.климата

• Потери $150000 в год


Считать можно все!

Единица измерения

Метрика Частота

измерения

секунда Удачная аутентификация квартал

секунда Неудачная аутентификация квартал

долларов на звонок

Стоимость обработки звонка в Help Desk

о смене пароля квартал

минут в день Время регистрации

в системе квартал

долларов за событие

Добавление/удаление учетной записи

квартал

инцидент Инцидент, произошедший

из-за некорректной настройки системы контроля доступа

квартал





измерения

долларов на сотрудника

Стоимость системы защиты в расчете на одного сотрудника

(собственного или по контракту) 6 месяцев

процент Число узлов КИС, на которых были

протестированы механизмы защиты ежегодно

час Время между обнаружением

уязвимости и ее устранением квартал

процент

Число прикладных систем, для которых реализовано требование

разделения полномочий между операциями А и Б

6 месяцев

процент Число лэптопов с внедренной

подсистемой шифрования важных и конфиденциальных документов

квартал





измерения

процент Число систем, для которых план реагирования на инциденты был

протестирован квартал

процент Число задокументированных

изменений ПО 6 месяцев

процент Число систем с установленными

последними патчами месяц

процент Число систем с автоматическим

антивирусным обновлением 6 месяцев

процент Число сотрудников, прошедших через тренинги по повышению

осведомленности ежегодно

процент Число систем с разрешенными

уязвимыми протоколами 6 месяцев


Что обычно считают?

Какие данные собирает ваша организация? %

Обнаруженных вирусов в файлах 92,30%

Обнаруженных вирусов в почте 92,30%

Неудачный пароль при входе в систему 84,60%

Попытка проникновения/атаки 84,60%

Обнаруженный/отраженный спам 76,90%

Доступ к вредоносным сайтам 69,20%

Неудачное имя при входе в систему 69,20%

Обнаруженных вирусов на сайтах 61,50%


Что обычно считают?

Какие данные собирает ваша организация? %

Внутренняя попытка НСД 61,50%

Нарушение со стороны администратора 61,50%

Удачное проникновение 53,80%

Раскрытие информации 38,50%

Пропущенный спам 38,50%

Ложное обнаружение спама 30,80%

Другое 23,10%

Источник: http://www.csoonline.com/analyst/report2412.html


Что измеряют для не ИТ/ИБ-менеджеров?

Источник: Frost & Sullivan


Почему выбирают неудачные метрики?

Все понимают необходимость выбора метрик в соответствии с, как минимум, принципом SMART

Но выбирают по-прежнему слишком технократичные метрики

Так проще и привычнее!

Если не рассматривать варианты

Непонимания принципов выбора метрик

Нежелания выхода на уровень бизнеса

Отсутствия доступа к исходным данным, ориентированным на бизнес


Сколько метрик ИБ достаточно?


Количество метрик

Надо понимать разницу между KPI и PI

Обычно для измеряемого процесса / приложения / подразделения не должно быть больше 7-ми ключевых метрик

Низкоуровневых метрик может быть больше, но их число не должно быть самоцелью

На уровень топ-менеджмента также не должно выноситься более 7-ми метрик

Verizon использует всего одну метрику для топ-менеджмента - индекс риска актива

Опирается на данные анализа защищенности, транслированные в бизнес-язык


Как объединить все в одну метрику?

Задача: повысить индекс до максимальных 500

Градация уровней Пример расчета

1 2 3 4 5 Значение

Уровень Вес Рейтинг

Число уязвимостей на ПК (в среднем) 100 75 50 25 0 34 4 25 100

Число инцидентов ИБ >5 5 3-4 1-2 0 2 4 25 100

Число непропатченных ПК

100% 75% 50% 25% 0% 65% 3 25 75

Объем спама <80% 80% 90% 95% >95% 24% 1 25 25

Совокупный рейтинг 300


Одно и тоже можно измерить по-разному (проект по IdM)

Число сброшенных паролей в месяц

Сброшенных после блокирования учетной записи, например. Или после забытого пароля и использования системы генерации паролей самими пользователями.

Среднее число учетных записей на пользователя

Средним показателем считается 10-12. В любом случае это число демонстрирует необходимость внедрения SSO.

Число учетных записей «без пользователей»

Пользователей переводя на новую работу, повышают, увольняют... А что с их учетными записями?..

Число новых учетных записей

Насколько оно отличается от числа новых сотрудников за тот же период времени?

Среднее время на предоставление доступа новой учетной записи к ресурсам, необходимым для работы


Одно и тоже можно измерить по-разному (проект по IdM)

Среднее время на утверждение изменений в учетной записи и ее правах доступа

Число систем или привилегированных учетных записей без владельца

Число исключений при установлении правил доступа

Обычно при создании новых ролей или внедрении новых приложений число таких исключений велико, но постепенно оно должно стремиться к нулю. Если нет, то есть серьезная проблема с качеством идентификационных параметров учетной записи.

Число нарушений разделения полномочий

Например, есть ли у вас в системе пользователи одновременно с правами разработчика и внедренца системы? Или с правами операциониста и контроллера?


Не пытайтесь измерять все – сконцентрируйтесь!


Пример псевдо бизнес-ориентированных метрик ИБ


Транзакция

Транзакция – это ключевое понятие на современном предприятии

Обычно оно выпадает из поля деятельность служб ИБ, т.к. транзакция является обычным и легитимным событием

Это не только финансовое понятие

Сетевые потоки (flow)

Сессии

Сообщения

Операции приложений (немного выпадает из традиционного восприятия транзакций, но относится к ним же. Правда, и измеряется сложнее)


«Бизнес»-метрики ИБ

Метрика Формула Комментарий

Transaction

Cost

Совокупная цена

средств ИБ / число

транзакций

Снижение данного показателя

может войти в конфликт с

минимально необходимым

уровнем защиты

Controls per

transaction

(CPT)

Число технических

защитных мер / число

транзакций

Интересна в совокупности с

другими метриками.

Например, при одинаковом

количестве инцидентов для

разных приложений больший

CPT говорит о переборе

защитных мер. Транзакции

можно поменять на

подразделения или филиалы


«Бизнес»-метрики ИБ (продолжение)


Security to IT

Cost Ratio

(STC)

Цена ИБ / цена ИТ Показывает соотношение

затрат на ИБ от ИТ бюджета.

При оценке в совокупности с

метриками по инцидентам

позволит оценить

оптимальный уровень затрат

на ИБ от ИТ-бюджета. Если

STC снижается, а инциденты

растут, то защита

неэффективна. Cost можно

заменить на Value - STV (если

можно оценить не просто

стоимость, сколько ценность)

Transaction

Value

Total Security Value /

Total Transaction




Cost per

Control

(CPC)

Цена технических мер

защиты / число

контролируемых

средством защиты

элементов (число

соединений для МСЭ,

число сканируемых

узлов для сканера…)

Снижение CPC может

привести к росту CPT

Loss to Value

Ratio (LTV)

Совокупные потери /

ценность ИБ

Чем меньше, тем лучше.

Однако при падении LTV и

росте STV/STC это уже не

очень хорошо




Control

Effectiveness

Ratio (CER)

(100% хорошие

/пропущенные/

события + 100%

плохие

/блокированные/

события) / общее

число событий

Выше CER – эффективнее система

защиты. Однако надо понимать, что данная

метрика должна рассматриваться в

контексте предприятия, а не оторвано от

него. Просто измерять CER можно для

сравнения различных продуктов, но сама

по себе данная метрика не говорит,

снижает ли риски данная защитная мера.

Иными словами, данная метрика

оценивает, насколько защитная мера

делает то, что должна делать, а не то, как

она это делает в конкретной ситуации.

Если CER высок, а число инцидентов не

уменьшается или растет, то выбрана

неадекватная защитная мера (которая

сама по себе может быть очень

эффективной)




Incident per

Million (IPM)

Число инцидентов /

число транзакций *

миллион – частота

инцидентов

Важно определить, что такое

инцидент. Вместо миллиона

можно взять более реальный для

бизнеса порядок транзакций.

Инцидент может произойти по

причине неэффективной

защитной меры, пропустившей

инцидент, или по причине

отсутствия защитной меры. Чем

ниже, тем лучше. Необходимо

учитывать, что в ряде случаев

этот показатель может быть

достаточно высоким, т.к. в ряде

случаев экономически невыгодно

защищать транзакции


«Бизнес»-метрики ИБ (окончание)


Incident

Prevention

Rate (IPR)

1 – (число

инцидентов / (100%

предотвращенные

инциденты + число

инцидентов))

CER – важная метрика, но

гораздо важнее число

пропущенных инцидентов. Чем

выше, тем лучше

Risk Aversion

Ratio (RAR)

Хорошие

отброшенные / число

инцидентов

Показывает насколько

организация готова бороться с

реальными инцидентами. RAR –

уровень терпимости организации

к риску. Он ни плох, ни хорош


Пример: оценка системы защиты e-mail Технические метрики

% обнаруженного спама от общего числа писем

% писем с вредоносными программами или фишингом от общего числа писем

% необнаруженного спама/вредоносных программ/фишинга

% ложного обнаружения спама/вредоносных программ/фишинга

Число предотвращенных утечек информации

Число вирусов/спама/утечек в исходящей почте

Число зашифрованных сообщений


Пример: оценка системы защиты e-mail Псевдотехнические метрики

Цена/длительность лечения зараженной почты

Число/стоимость/длительность звонков в службу поддержки по поводу недошедших писем

% пользователей, прошедших тренинг по использованию и защите электронной почты

% пользователей, сообщивших о пропущенном спаме/вредоносной программе/фишинге

Рейтинг успешности повышения осведомленности в области использования и защиты электронной почты

% внутренних нарушителей, отправивших спам/вредоносную программу/конфиденциальную информацию


Пример: оценка системы защиты e-mail Псевдобизнес метрики

Наличие политики использования и защиты электронной почты

Потери от вирусов/спама/утечек/фишинга

Сэкономленное время сотрудников

Затраты на Интернет-трафик для удаленных офисов/мобильных работников


Оценка системы защиты e-mail

Исходные данные Значение Метрика Значение

Ценность (value) 1.000.000 Transaction Value 0,0025

Цена решения 250.000 Transaction Cost 0,000625

Цена средств защиты 20.000

Потери на инцидент 300 Cost per Control 0,000023529

Число транзакций 400.000.000

Control per Transaction 2.13

Проверенных IP 300.000.000

Антиспам 400.000.000 Security to Value Ratio 2%

Антивирус 150.000.000 Loss to Value Ratio 15%

Хороших писем разрешено 80.000.000 Control Effectiveness Ratio 95%

Плохих писем запрещено 300.000.000 Incident per Million 1,25

Хороших писем запрещено 200.000 Incident Prevention Rate 99,9998%

Плохих писем разрешено 500 Risk Aversion Ratio 400


Пример: повышение осведомленности

Цель – ежегодное прохождение сотрудниками тренинга по ИБ и включение в должностные обязанности темы ИБ

Метрики

Сколько пользователей знают, что в компании существует политика безопасности? А сколько ее читало? А сколько ее понимает (измеряется с помощью обычных опросов)?

Сколько инцидентов ИБ связано с человеческим фактором?

Сколько сотрудников сообщают в службу ИБ об инцидентах ИБ (при их организации со стороны самой службы ИБ - аудит, тесты на проникновение, спланированный социальный инжиниринг и т.п.)?

Сколько пользователей поддалось на попытки спланированной службой ИБ социального инжиниринга?



Метрики

Сколько пользователей имеют слабые пароли (определяется путем применения систем подбора паролей)?

Сколько систем не выполняют требования политики безопасности (позволяет идентифицировать администраторов, которые не выполняют возложенные на них обязанности)?

Сколько пользователей открывают письмо от незнакомца?

Сколько пользователей знают, куда обращаться в случае инцидента? Сколько пользователей знают процедуру своих действий при реагировании на инциденты? Эти же метрики могут помочь оценить и процесс управления инцидентами (среди других метрик).



Метрики

Сколько прошло времени с последнего тренинга/онлайн-курса, который посетил сотрудник Эта метрика скорее оценивает саму службу ИБ, ответственную за регулярные процедуры повышения осведомленности.

Сколько сотрудников было уволено или получило выговоры за нарушение политики безопасности?

В российских компаниях этот показатель равен, как правило, нулю. Но это не значит, что все идеально. Скорее, ситуация обратная - никаких наказаний за нарушения политики ИБ просто не предусмотрено или все плюют на них, а влияния на их применение у службы ИБ не хватает. Сюда же можно отнести и число внешних исков со стороны пострадавших клиентов. Но в России это пока тоже из области фантастики.


Пример: утечки информации

Цена на инцидент

стоимость расследования инцидента

стоимость восстановления после инцидента

стоимость PR/общения с прессой

затраты на юридические издерюки (опционально)

затраты на нарушение соответствия (опционально)

стоимость досудебного урегулирования (опционально)


Пример: утечки информации (окончание)

Цена на запись

стоимость уведомления (создание списка пострадавших, печать, почтовые услуги)

стоимость реагирования пострадавших, например, звонки в Help Desk (опционально)

стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)

Дополнительные метрики

Отток клиентов (в течении 1, 3, 6, 12, n месяцев)

Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)

Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)


Тестирование метрик ИБ


Тестирование метрик

Важные вопросы перед внедрением метрик в «боевую эксплуатацию»

Уверены ли мы в том, что выбранные метрики нам подходят?

Не приведет ли внедрение выбранных метрик к неожиданным последствиям?

Легко ли собирать исходные данные для выбранных метрик?

Необходимо обязательно протестировать все метрики перед их использованием

На это может уйти несколько месяцев

Это позволит быть уверенным в качестве выбранных показателей


Особенности измерения

Мы должны иметь возможность убедиться в аккуратности измерения

Перед началом измерений необходимо осуществить калибровку

В противном случае аккуратность и эффективность измерений будет под вопросом

Еще раз: Не бывает плохих или хороших метрик, бывают полезные и неполезные!


Пересмотр метрик ИБ


Пересмотр метрик

С течением времени цели могут меняться или достигаться

Это нормальное течение событий

Рекомендуется пересмотр метрик каждые 6 месяцев


База метрик информационной безопасности


Шаблон для метрик безопасности

Поля шаблона Идентификатор метрики

Цель ИБ

Метрика

Тип метрики

Частота измерения

Желаемая цель (к какому значению стремимся)

Формула (метод расчета)

Источник информации

Сотрудник, ответственный за получение метрик

Целевая аудитория

Составляющая BSC

Инициативы, связанные с метрикой

Мера по защите (система, механизм, процесс, сервис)

Связь с другими мерами защиты

Рекомендуемый способ отображения информации


Кто выбирает метрики информационной безопасности?


Кто измеряет безопасность?

Любое измерение больше зависит не от используемого метода и выбранных метрик, а от того, кто измеряет

Результат измерений скорее качественный, чем количественный

Результат и его анализ целиком зависят от оценщика

Существующие средства оценки очень ограничены (сканеры, средства аудита и т.д.) и многие вопросы остаются за пределами их рассмотрения

Люди по-прежнему в цене!


Участники процесса выбора метрик

В выборе метрик должны участвовать все заинтересованные стороны

Идеальный вариант – управляющий комитет по ИБ

Учет интересов разных сторон

Выбор и утверждение релевантных метрик, а также пороговых значений для них

Выработка инициатив по претворению в жизнь различных мероприятий

У метрики должен быть владелец

Лучше конкретный сотрудник, а не подразделение


Формирование команды

ИБ Служба ИБ

Служба ИТ

Служба безопасности

HR

Внутренний контроль

Юридический департамент

Бизнес-подразделения


Программа измерения информационной безопасности и фактор времени


Сколько нужно времени?

Оперативные (1-2 квартала)

Тактические (1-1.5 года)

Стратегические (3-5 лет)


На все нужно время

Год 2 Год 3

Повышение осведомленности и строительство базовой ИБ

Интеграция в процессы и контроль

Все и вся

Экспансия

Построение сообщества агентов изменений

Год 1 Год 4 Год 5


Методы измерений


Подходы к измерению

Тип Ограничения

Сверху-вниз Сложно оценивать до деталей

Очень много компонентов

Оценка разрыва

Обнаружение слабых мест не помогает в их приоритезации

На базе стандартов

Многие стандарты не имеют механизмов для измерений и

метрик для оценки их использоания

По сравнению с предыдущим

состоянием

Сравнение с предыдущим состоянием не показывает достижения поставленных

целей

Используется для…

Программы и оценки развития

Поиск пробелов

Общая оценка программы для due diligence, compliance

Оценка статуса программы и улучшений

Демонстрация развития


Подходы к измерению (продолжение)


По сравнению с другими

Не существует универсальных или вендор-независимых

сравнений


Программы сравнения

По отношению к критичности для бизнеса

Трудно выполнимо без глубоких знаний предприятия

Ранжирование внимания

Временная динамика по графу атак

Дорого и тяжело для многосценарных систем

Для малосценарных систем результат ограничен качеством

и точностью модели

Многосценарные ситуации и имитационный анализ

По сравнению со списком

пунктов

Отсутствуют общепринятые списки для ИБ

Произвольная выборка, чтобы быть уверенным, что ничего

не упущено


Подходы к измерению (продолжение)


Метрики программы

Сложно составить список критериев. Они должны применяться в контексте


Общая оценка программы и изменения с течением

времени

Метрики ROI Практически неприменимо

в области ИБ Привязка финансовой

метрики к ИБ

Метрики производителей

Вендоры фокусируются на метриках, показывающих свое

лидерство по отношению к конкурентам, а не на компании

Измерение производительности

продуктов в выбранном сегменте

Метрики оценки рисков

Основаны на математических моделях, не всегда

учитывающих вопросы ИБ

Использование в общей стратегии управления рисками


Подходы к измерению (окончание)


Метрики на основе опросов

Основан на ненадежных данных, от которых сложно

ожидать честности и независимости и которые

сложно проверить


Сравнение выбранных граней программы ИБ

Мониторинг соответствия

Ориентировано больше на демонстрацию соответствия,

чем на качество программы ИБ Отчеты о соответствии

BSC Проекты по BSC слишком

часто заканчиваются неудачей Общая оценка деятельности

службы ИБ

KRI Проекты по KRI для ИТ/ИБ не получили пока широкого

распространения Оценки операционных рисков


Прежде чем опишем методы подробнее или что лучше, качественная или количественная оценка?


Качество или количество?

1954 г. - Paul Meehl – «Clinical Versus Statistical Prediction: A Theoretical Analysis and Review of the Evidence», 1954

Работа обновлена в 1996

Количественная оценка работает лучше экспертной (качественной)

В 136-ти случаев из 144-х

Качественная оценка необъективна по своей сути

При качественной оценке сложно предъявить доказательства


Качество/количество: кому доверять?

Отсутствие количественной оценки не позволяет

Оценить адекватность затрат на снижение рисков

Оценить возможность перекладывания рисков

Продемонстрировать снижение рисков

Сравнить текущий уровень с предыдущими значениями

Качественная оценка

Качественная оценка Количественная

оценка Количественная

оценка


Когда нет цифр?

Количественная оценка не всегда возможна из-за

Недостатка информации о системе

Недостатка информации о деятельности, подвергающейся оценке

Отсутствии или недостатке данных об инцидентах

Влияния человеческого фактора

Качественная оценка требует

Четкого разъяснения всех используемых терминов

Обоснования всех классификаций частот и последствий

Понимания всех плюсов и минусов качественной (экспертной) оценки


Не бывает плохих или хороших метрик – бывают полезные и не очень!

Количественные данные могут быть посчитаны

Пример: Число попыток атак на вашу сеть

Полезны для ответа на вопросы: Кто? Что? Когда? Где?

Качественные данные не могут быть посчитаны, но могут наблюдаться и оцениваться

Полезны для ответа на вопросы: Как? Зачем?

Пример: Мотивы, по которым нас атакуют


Экспертная оценка


Метод: экспертная оценка

Достоинства Ограничения

Простота реализации Возможность влияния на экспертное мнение заинтересованными лицами

При оценке случайных событий принцип «здравого смысла» неприменим

Волюнтаризм экспертов

Отсутствие достаточного количества экспертов

Балльные оценки экспертов не позволяют судить о количественных соотношениях между оцениваемыми объектами

Зависимость от квалификации эксперта


На базе журналов регистрации


Метод: на базе журналов регистрации

Анализ на базе журналов регистрации является вторым по распространенности методом измерений, т.к. мы обладаем всеми необходимыми данными для анализа, а средства управления СЗИ дают нам возможность проводить этот анализ и генерить отчеты


Метод: на базе журналов регистрации


Простота реализации Необходимость больших хранилищ данных

Являются базой для более серьезных методов

«Технократичность» большинства данных

Неизменность При изменении масштаба системы, в которой собираются данные, они перестают быть репрезентативными


(Дез)информация о вредоносных мобильных программах

2577% Рост вредоносных программ Android

в течение 2012 г.

На долю мобильных приложений приходится менее 0,5% от общего количества вредоносных веб-программ

.5%

Рост числа вредоносных программ опережает рост популярности платформы Android


Эксплойты

Эксплойт 9,86%

Кража информации 3,49%

Загрузчики 1,12% Червь 0,89%

Вирус 0,48%

Мобильный код 0,42%

Поддельное антивирусное ПО 0.16%

Вредоносный сценарии/Iframe-

атаки 83,43%


Спам перестает носить массовый характер…

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec

Perscription Drugs

Luxury Watches

Credit Card

Business Reviews

Professional Network

Electronic Money Transfer

Accounting Software

Social Network

Professional Associations

Airline

Mail

Weight Loss

Government Organization

Windows Software

Cellular Company

Online Classifieds

Taxes

Лекарства, отпускаемые по рецепту Часы класса «люкс» Кредитная карта Бизнес-обзоры Профессиональная сеть Электронные денежные переводы Бухгалтерское ПО Социальные сети Профессиональные объединения Авиалинии Почта Потеря веса Государственные организации ПО Windows Компании сотовой связи

Тематические объявления в Интернете

Налоги


… и направлен обычно на конкретную жертву

15 АПРЕЛЬ

Январь–март Спам, связанный с ПО Windows, распространение которого совпадает с выпуском предварительной потребительской версии Microsoft Windows 8

Февраль–апрель Спам, связанный с налоговым ПО, во время периода подачи налоговых деклараций в США и России

Январь–март и сентябрь–декабрь Спам, относящийся к профессиональным сетям, таким как LinkedIn, связанным с желанием изменить карьеру. Распространяется в начале и конце года

© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 202

Посещаемые интернет-ресурсы...

36% Поисковые

системы 22% Интерактивное

видео

13% Реклама

20% Социальные

сети

0% 10% 20% 30% 40%

Search Engine

Online Video

Ads

Social Network

Наиболее популярное в Интернете

Социальная сеть

Реклама

Видео в Интернете

Поисковая

система


…являются источником возникновения угроз

Поисковые системы vs пиратское программное обеспечение

В 27 раз большая вероятность доставки вредоносного контента

Интернет-реклама vs порнография

В 182 раза большая вероятность доставки вредоносного контента

Интернет-торговля vs пиратское программное обеспечение

В 21 раз большая вероятность доставки вредоносного контента


Оценка разрыва


Метод: оценка разрыва

Метрика - время простоя пользователя в месяц

Идеальная ситуация – метрика = 0

Разрыв между текущей и идеальной ситуацией

Особенности:

Достижение нуля – это не цель

Наличие разрыва – не всегда плохо

Цель – оптимизация, а не устранение всех проблем

Пример

Цель – снизить объем спама с текущего значения 76%

Стремление к нулю может обойтись очень дорого

Решение – найти оптимум между объемом спама, стоимостью защитных мер, отброшенными легитимными сообщениями и выгодами для предприятия


Метод: оценка разрыва


Этот метод прост в реализации Сложно заранее определить, где остановиться и какое значение будет компромиссом

Этот метод показывает ясные и точные результаты

Есть немало областей ИБ, которые не могут быть «закрыты» этим методом

Этот метод может быть использован для отслеживания прогресса в той или иной области

Данный метод не позволяет приоритезировать обнаруженные пробелы




Метод: на базе стандартов

Анализ на базе стандартов очень похож на анализ разрыва

Анализ разрыва – это всегда анализ на базе стандарта, т.к. мы сравниваем разрыв между текущей ситуацией и каким-то стандартом (не обязательно в классическом понимании)

Стандарты измеряющие программу ИБ

CMM-SEC, ISO 27002, GASSP, CoBIT, ISM3, СТО БР ИББС-1.0

Представление оценки

Двоичное – соответствует/нет

Относительное – в % от достижения 100%-го соответствия

В данном случае приравнивается к мониторингу соответствия

Варианты реализация – самооценка и аудит


Пример: ISM3 и ISO 27001

Цель: «Число человеко-часов в результате простоя в результате вирусной атаки должно быть менее 10 за год»

Достижение цели измеримо

Возможно изменение метрики для перехода на более высокий уровень зрелости

Прост для понимания

Цель: внедрение мер по предотвращению вредоносного кода

Цель измерима только бинарной логикой (Реализовано / Нет)

Не связана с бизнесом

Непонятна руководству

Отсутствует «движение» (прогресс)


Метод: на базе стандартов


Оценка соответствия общепризнанным стандартам или обязательным требованиям регуляторов

Отсутствие повторяемости, т.к. каждый эксперт по-своему определяет требования стандартов

Различные варианты представления результатов оценки - двоичная (да/нет), процентная или число на шкале.

Высокая зависимость от квалификации эксперта

Неоднозначные трактовки требований стандартов


Оценка соответствия СТО БР ИББС


По сравнению с предыдущим состоянием


Метод: оценка предыдущего состояния

Если мы что-то когда измеряли, то это хороший старт для последующего измерения, но…

Важна первоначальная цель и метод измерений. Если они не адекватны, то и смысла сравнивать с ними никакого нет

Пример: 500 атак в прошлом году против 400 в этом

Меньше людей атакуют?

Изменилась трактовка понятия «атака»?

Мы стали пропускать атаки?

Улучшилась система защиты?


Метод: оценка предыдущего состояния

Пример: 1347 инцидентов в прошлом году против 856 в этом

Снижение числа злоумышленников (что может быть и не связно с деятельностью службы ИБ)

Снижение числа регистрируемых инцидентов или закрывание глаз на часть из них

Изменения трактовки термина «инцидент» вследствие внедрения какого-либо из стандартов управления инцидентами (ITU-T E.409, ISO 18044, RFC 2350 или NIST SP 800-61)


Позволяет показать прогресс Сложно применим к динамично изменяющимся системам


Сравнение с другими


Метод: сравнение с другими

Многие хотят сравнить себя с другими компаниями

Однако это непросто

В отличие от годовых отчетов, построенных по единым принципам, сравнивать профили защиты гораздо сложнее

Разные настройки, уровни квалификации людей, системы управления, местоположения, «железо», софт, процессы управления рисками, архитектура ИБ, доступные ресурсы

Даже оценка в соответствие со стандартом ISO 17799, в котором можно выбрать параметры для сравнения, не решит проблему, т.к. даже стандарт все понимают по разному

Security Benchmarking – панацея?


Метод: сравнение с другими


Позволяет потешить самолюбие или равняться на лучших

Практика ИБ у других может быть не применима к вам

Позволяет сравнивать подразделения внутри одного предприятия

Отсутствует достаточная статистика

Сложно найти абсолютно похожее предприятие для сравнения


Сравнение средств защиты с другими


Стоит ли класть все яйца в одну корзину?

Сложность

Операционные затраты

Число уязвимостей

Обучение специалистов

Поддержка

Эксплуатация и управление

Мониторинг и устранение неисправностей

Конфигурация и обновление

Интеграция



Критичность для бизнеса


Метод: оценка критичности для бизнеса

Критичность для бизнеса – один из распространенных методов ранжирования ресурсов

Реализуется путем опросов бизнес-подразделений

Пример

IDS/IPS якобы могут обнаруживать и приоритезировать атаки против критичных для бизнеса систем, но… делается это против неких IP-адресов (заданных, как критичные) и обнаруживаются атаки по известным шаблонам

Но предприятия разные – требуется очень серьезная кастомизация и настройка

SIEM-решения облегчают решение задачи, но при условии предварительной детальной настройки под предприятие


Анализ воздействия на бизнес

Ключевая задача BIA

Определение ценности каждого процесса в организации для бизнеса

Приоритезация бизнес-процессов

Второстепенные задачи BIA

Определение величины потерь в результате «сбоев» в функционировании процессов

Определение длительности «сбоя» и скорости его распространения


Не все йогурты одинаково полезны

Выделение ключевых бизнес-процессов, которые должны функционировать даже в условиях наступления чрезвычайной ситуации

Web-сайт vs. Интернет-банк

Приоритезация бизнес-процессов зависит от множества параметров

Отрасль, масштаб, уровень информатизации и т.д.

Отдельные компоненты/элементы бизнес-процесса могут быть также иметь разный приоритет с точки зрения критичности

Отгрузка товара vs. Печать отчетов об отгрузке

Не забывать про перекрестное использование общих элементов разных бизнес-процессов


ВременнАя динамика или граф атак


Метод: временная динамика

Моделирование угроз для разных нарушителей, действующих против выбранных целей

По графу атак

Методы защиты, увеличивающие время злоумышленника, являются лучшими, чем те, которые разрешают более быстрые атаки

Однако важно не просто замедлять атаку, но управлять ею

Метрики

Вероятность успешной атаки, время атаки, ожидаемые потери


Дерево атак (attack tree)

Дерево атак – метод, учитывающий комбинированный эффект использования уязвимостей злоумышленниками и их зависимость друг с другом

Позволяет оценить наиболее предпочтительный для злоумышленников вариант атаки на выбранную цель

`

AttackerMachine 0

Firewall Router

sshd

Database

ServerMachine 2

FTP

ServerMachine 1


Определение уязвимостей

Идентификация уязвимостей системы

С помощью средств анализа защищенности

Экспертный метод

Пути движения злоумышленника

sshd_bof(0,1) → ftp_rhosts(1,2) → rsh(1,2) → local_bof(2)

ftp_rhosts(0,1) → rsh(0,1) → ftp_rhosts(1,2) → rsh(1,2) → local_bof(2)

ftp_rhosts(0,2) → rsh(0,2) → local_bof(2)


Определение времени

Экспертная оценка времени перехода от одной к другой уязвимости

Учитывается

Публичность информации об уязвимости

Публичность эксплойта

Сложность реализации

И т.д.

Вместо времени может учитываться стоимость перехода из одного узла в другой или вероятность использования уязвимостей

8.0

8.0

9.01.0

9.0 9.0

1.0

8.0


Метод: временная динамика

Основная проблема – огромное число ветвлений

Перебор всех возможных атак и вариантов защиты

Применяется, как правило, для выбора наиболее эффективного подхода в защите

Для оценки текущей защиты


Skybox Risk Exposure Analyzer


Как это было сделано в Cisco

Интернет

Демилитаризованная зона (DMZ) Основной сайт


Изучение путей атак на DMZ

Злоумышленники могут захватить эти интернет-серверы


Возможно действие лишь некоторых основных атак

Изучение путей проникновения внутрь


Веерное развитие атаки внутри

Злоумышленник может проникнуть в случае, если он найдет брешь, которую вы еще не устранили


Пример результата работы RedSeal

Пример результата

Злоумышленники извне могут захватить красные узлы

Затем идет атака желтых узлов

Однако зеленые узлы не подверглись воздействию никаких атак


Визуализация оценки эффективности

Проанализировано три PoP из девяти

Они чисты — небольшая площадь соприкосновения


CVSS или как оценить свою уязвимость


Метод: CVSS

Common Vulnerability Scoring System

Разработана как вендор-независимая система оценки уязвимостей

Поддерживается широким спектром производителей и NIAC

Три группы метрик для CVSS

Базовые метрики

ВременнЫе метрики

Метрики окружения


Метрики CVSS

Базовые метрики

Акцент удара (обычный, конфиденциальность, целостность, доступность)

Сложность доступа (высокая, низкая)

Аутентификация (требуется, не требуется)

Вектор доступа (локальная, удаленная)

Влияние на конфиденциальность (нет, частичное, полное)

Влияние на доступность (нет, частичное, полное)

Влияние на целостность (нет, частичное, полное)


Метрики CVSS

ВременнЫе метрики

Реализуемость (не подтверждена, PoC, высокая)

Сложность устранения (официальный патч, временный патч, план устранения, недоступно)

Подтвержденность (неподтверждена, подтверждена)

Метрики окружения

Ущерб (нет, низкий, средний, высокий)

Уничтожение цели (нет, низкий, средний, высокий)


Особенности CVSS

Формула, использующая эти метрики, позволяет вычислить срочность устранения и опасность

Основная цель измерения – оценка технических уязвимостей в программном и аппаратном обеспечении

Ограничения – CVSS применяется преимущественно аудиторами и разработчиками сканеров безопасности


Checklist’ы


Checklist’ы – хорошо или плохо?

Checklist’ы могут быть полезным источником информации о best practices

Но начинать надо с “Internal Control—Integrated Framework” от COSO или с аналогичного подхода по управлению рисками

Best Practices и checklist’ы могут использоваться, но после проведенных мероприятий по управлению рисками и оценке текущего состояния безопасности

И после кастомизации

Checklist’ы могут помочь один раз, но они не заменяют безопасность


Измерения, предлагаемые вендорами


Метод: метрики вендоров

Многие вендоры часто предлагают свои метрики и методы измерений для облегчения продаж своих продуктов

Метрики для потребителя или для вендора?

Метрики вендоров, как правило, хороши для продаж, но не для оценки состояния защиты


Пример: Cisco NCM

Cisco Network Compliance Manager – это система автоматизации аудита и проверки соответствия требованиям политик ИТ и ИБ, а также различных нормативных требований


Cisco Network Compliance Manager (NCM)

Лучшее в своем роде решение по управлению изменениями

Обнаружение изменений на сети в реальном режиме времени

Предварительная проверка изменений перед их внедрением на сети

Контроль за выполнением корпоративных правил и политик

Аудит и анализ соответствия политиками компании

Внедрение политик и правил на сети

Автоматическая генерация отчетов по соответствию международным рекомендациям (SOX, VISA CISP, HIPAA, GLBA, ITIL, CobiT, COSO)

Согласование изменений Настройка правил согласования

Возможность настройки сложных правил

Отчетность


Cisco NCM: решаемые задачи

• Управление политиками безопасности

• Контроль изменений на сетевом оборудовании с точки зрения ИБ

• Аудит безопасности средств защиты и сетевого оборудования

• Проверка соответствия требованиям ИБ-стандартов

ИБ

• Управление изменениями на сетевом оборудовании

• Распределение конфигов для удаленного оборудования

• Контроль версий ОС на сетевом оборудовании

• Проверка соответствия требованиям ИТ-стандартов (ITIL, COBIT и т.п.)

ИТ


Cisco NCM: решаемые задачи (продолжение)

• Автоматизация управления политиками безопасности

• Снижение затрат на разработку, распределение и контроль политик безопасности

• Контроль действий аутсорсера ИБ/ИТ

Управление предприятием

• Снижение затрат на управление средствами защиты и сетевым оборудованием

• Снижение TCO, CapEx и OpEx

Финансы / Бухгалтерия

• Снижение операционных рисков

Внутренний контроль или управление

рисками


Cisco NCM: решаемые задачи (окончание)

• Выполнение требований стандарта Банка России СТО БР ИББС (для финансовых организаций)

• Выполнение требований PCI DSS

• Контроль соответствия требованиям различных нормативных актов (COBIT, ITIL и т.п.)

Юридическая служба


Как оценить Network Compliance Manager

Число авторизованных изменений в неделю

Число актуальных изменений, сделанных за неделю

Число несанкционированных изменений, сделанных в обход утвержденного процесса внесений изменений (в среднем - 30-50%; у лидеров - менее 1% от общего числа изменений).

Показатель (коэффициент) неудачных изменений, вычисляемый как отношение несанкционированных изменений к актуальным

Число срочных изменений

Процент времени, затрачиваемого на незапланированную работу (в среднем - 35-45%; у лидеров - менее 5% от общего числа изменений)

Число необъяснимых изменений (вообще, это основной индикатор уровня проблем в данной сфере)


Аудит руками или автоматизировано? Экономическая оценка при выборе альтернатив

Ручной аудит

• MTTR из-за ошибки конфигурации: 150 минут

• Простои & инциденты из-за ошибок в «ручных» конфигурациях: 80%

• Среднее время обнаружения уязвимости: 2 недель

• Настройка нового устройства: 6 часов

• Изменений в час: 20

Автоматизированный аудит

• MTTR из-за ошибки конфигурации: 15 минут (10х)

• Простои & инциденты из-за ошибок в «ручных» конфигурациях: 20%

• Среднее время обнаружения уязвимости: Менее 2 минут (10080х)

• Настройка нового устройства: 20 минут (18х)

• Изменений в час: 5,000



Мониторинг соответствия


Метод: мониторинг соответствия

Многие компании проверяют (измеряют) свое соответствие каким-либо стандартам

CoBIT, ISO 17799, COSO, СТР-К, Стандарт ЦБ и т.д.

Обычно это происходит по чеклистам

Данный метод показывает не уровень программы ИБ и не достижение поставленных целей, а только соответствие определенным стандартам


Оценка соответствия СТО БР ИББС


Комбинируйте


Пример комбинации

Международный оператор связи (ISP)

Ежегодные тесты на проникновение (пентесты)

Сложности

Новые уязвимости находятся каждый год

Служба ИБ во главе с CISO устраняет многие уязвимости, но все равно ежегодно появляются новые

Топ-менеджмент разочарован отсутствием прогресса

CISO необходимо продемонстрировать улучшение ситуации

Топ-менеджмент приравнивает понятие безопасности к числу уязвимостей

CISO необходимо продемонстрировать ценность своих усилий по снижению числа уязвимостей


Комбинация методов измерения

Измерение на базе журналов регистрации

Получили число уязвимостей

По сравнению с предыдущими

Проанализировали динамику


Связали с CVSS

Можем связать с OWASP Top10


Выбор соотношения

Можем также привязать к критичности для бизнеса


Нормализация уязвимостей

Шаг 1: Помочь организации увидеть безопасность по новому

Не только считать проблемы, которые еще и не все одинаковы

Шаг 2: Помочь CISO найти новый путь использования данных пентестов

Включать в отчет также серьезность уязвимости

Топ-менеджмент не понимает серьезности различий между уязвимостями

Анализ метрик показал

ISP хочет улучшить ИБ путем устранения уязвимостей

В условиях нехватки средств уязвимости должны быть приоритезированы

Серьезность уязвимости – база для приоритезации


Резюмируя

Число серьезных

уязвимостей снижается

(цель показа)

Число уязвимых IP

остается стабильным

(менеджмент)


Оценка рисков


Метод: оценка рисков

Опирается на оценку двух показателей

Вероятность риска

Размер ущерба

Существует 7 способов оценки вероятности риска

Ущерб может быть в различной форме


Методики анализа рисков

AS/NZS 4360

HB 167:200X

EBIOS

ISO 27005 (ISO/IEC IS 13335-2)

MAGERIT

MARION

MEHARI

CRISAM

OCTAVE

ISO 31000

NIST SP 800-3

SOMAP

Lanifex Risk Compass

Austrian IT Security Handbook

A&K Analysis

ISF IRAM (включая SARA, SPRINT)

OSSTMM RAV

BSI 100-3


Методики анализа рисков (продолжение)

Trike

IT-Grundschutz Methodology от BSI (Германия)

AS/NZS 4360:2004 (Австралия)

MAGERIT: Risk Analysis and Management Methodology for Information Systems (Испания)

EBIOS - Expression of Needs and Identification of Security Objectives (Франция)

MEHARI (Франция)

OCTAVE

FRAP

NIST 800-30 (США)


Методики анализа рисков (окончание)

MG-2, MG-3 (Канада)

SOMAP

IRAM

РС БР ИББС-2.2


Насколько опасно или как измерить вероятность риска? 7 подходов к оценке


Собственная статистика (первый метод)

Историческая (статистическая) оценка позволяет на основании данных прошлых периодов прогнозировать будущее

Один из эффективных методов

При условии неизменности среды оценки

Необходимо наблюдение и сбор данных в течение нескольких лет

Без наличия адекватных инструментальных средств это непростая задача – сбор, нормализация, хранение и анализ данных


Чужие отчеты и статистика (второй метод)

У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.!

Мы не знаем условий, при которых произошел инцидент

Мы не имеем деталей по каждому респонденту

Средняя температура по больнице

Ориентация на отрасль в целом, чем на конкретную компанию

Пример: риски для АСУ ТП

Небольшое число внедрений

Публичной статистики нет (базы BCIT и INL не в счет)

Статистики вендоров нет – «закрытые» технологии

Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП

Экспертных оценок в России нет


О доверии к статистике

Proofpoint

• 43% утечек через e-mail

Infowatch


IDC


Собираемая статистика очень сильно зависит от используемых методов опроса, аудитории, желания респондентов делиться информацией, масштаба опроса и даже от того, с какой ноги встал интервьюер

Не каждая компания приглашает социологов для осуществления опросов


Публичные отчеты со статистикой угроз

WhiteHat Security – Web Vulnerability Statistics

Positive Technologies – Статистика уязвимостей Web

CSI – CSI Computer Crime & Security Survey

Aberdeen Group – The 2008 Email Security Report

IBM ISS – X-Force 2009 Trend & Risk Report

Symantec – Global Internet Security Threat Report

MessageLabs – 2009 Annual Security Report

Cisco – 2009 Annual Security Report

Verizon – 2009 Data Breach Investigations Report

PwC – 2008 Information Security Breaches Survey


Считаем самостоятельно (третий метод)

Вероятность Вероятность

Уязвимость Уязвимость

Сила защитной

меры

Сила защитной

меры

Возможности нарушителя

Возможности нарушителя

Угроза Угроза

Наличие доступа Наличие доступа

Действие Действие


Как оценить потенциал нападения?

ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» определяет в Приложении А (А.8.1) потенциал нападения, зависящий от

Мотивации нарушителя

Компетентности нарушителя

Ресурсов нарушителя


Вычисление потенциала нападения

2 аспекта - идентификация и использование

Время, затрачиваемое на идентификацию уязвимости

Техническая компетентность специалиста

Знание проекта и функционирования атакуемой системы

Доступ к атакуемой системе

Аппаратное обеспечение/ПО или другое оборудование, требуемое для анализа

Эти факторы не всегда независимы друг от друга и могут время от времени заменять друг друга

Компетентность время, доступные ресурсы время


Вычисление потенциала нападения


Вычисление рейтинга уязвимости

Складываются 10 значений из предыдущей таблицы

Таблица – не догма, а руководство к действию

Если значение близко к границе, подумайте об усреднении двух значений

ОО – объект оценки, СФБ – стойкость функции безопасности


Сравнение с другими рисками (четвертый метод)

Сравнение/сопоставление с аналогичным риском

ГОСТ Р 51344-99

Сравнение с риском на аналогичном решении с учетом следующих факторов

Аналогичное оборудование безопасности

Предполагаемое использование и технологии на обоих решениях сравнимы

Опасность и элементы риска сравнимы

Технические условия сравнимы

Условия использования сравнимы

Необходимо учитывать дополнительные факторы

Например, тип защищаемой информации или потенциал нападения


Аналитика (пятый метод)

Прогнозирование с использованием аналитических методов

«Дерево неисправностей» (Fault Tree Analysis) – диаграмма всех возможных последствий инцидента в системе (МЭК 61025)

«Дерево событий» (Event Tree Analysis) - диаграмма всех возможных последствий данного события

Имитационное моделирование отказов/инцидентов

В области ИБ не применяется или применяется крайне редко

В критически важных областях


Бинарная вероятность (шестой метод)

Вероятность принимается равной единице, если угроза может быть осуществлена, и нулю – если нет

При отсутствии защитных мер

Этот подход имеет право на жизнь, но только для небольшого количества систем и сценариев

В обычной жизни это слишком дорого

…или для угроз, которые являются очень распространенными

Данный метод применяется в небольшом количестве различных методик

Ключевые системы информационной инфраструктуры – ФСТЭК

Security Architecture for Enterprise (SAFE) – Cisco

Методика ФСБ по персданным


Когда нет цифр?

Количественная оценка не всегда возможна из-за

Недостатка информации о системе

Недостатка информации о деятельности, подвергающейся оценке

Отсутствии или недостатке данных об инцидентах

Влияния человеческого фактора

Нежелания заниматься измерениями

Качественная оценка требует

Четкого разъяснения всех используемых терминов

Обоснования всех классификаций частот и последствий

Понимания всех плюсов и минусов качественной (экспертной) оценки, а также психологии восприятия риска


Экспертная оценка (седьмой метод)

При отсутствии статистической/исторической информации экспертная оценка является единственным методов определения частоты/вероятности реализации угроз

Эксперты ранжируют вероятность наступления события исходя из своего опыта и знаний анализируемой системы


Достоинства/недостатки метода


Простота реализации Возможность влияния на экспертное мнение заинтересованными лицами

При оценке случайных событий принцип «здравого смысла» неприменим

Волюнтаризм экспертов

Отсутствие достаточного количества экспертов

Балльные оценки экспертов не позволяют судить о количественных соотношениях между оцениваемыми объектами

Зависимость от квалификации эксперта

Психология восприятия риска


Психология восприятия риска

Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска

Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях

Ощущения зависят от психологических реакций на риски и контрмеры

Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию?

Что вероятнее – пасть жертвой террористов или погибнуть на дороге?

Что опаснее – низкая квалификация персонала или универсальный червь для сетевого оборудования?


Метод Дельфи

Основной принцип: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80%

Если провести второй раунд, предварительно ознакомив экспертов с результатам первого, то результативность становится еще выше

Модификация метода: брать среднюю оценку после отбрасывания крайних значений

Данный метод рекомендуется применять, если эксперты не могут подкрепить свое мнение серьезными аргументами

Экспертов должно быть не менее трех, а лучше пять


Метод Дельфи: пример

Эксперты Раунд 1 Раунд 2

Эксперт 1 50 55





Итого 61 / 58 61 / 58


Другие методы повышения качества экспертной оценки

Нормированные z-показатели Робина Доуза

Модель линзы Брунсвика

Когнитивные методы Руссо

Модель Раша

Регрессионные модели

Нелинейные модели


Что нам грозит?


Процесс моделирования угроз

Определение области применения

Идентификация опасности и предварительная оценка последствий

Оценка величины угрозы

Проверка результатов анализа

Документальное обоснование

Корректировка результатов анализа с учетом последних данных


Пример матрицы рисков/угроз

Источник: ГОСТ Р 51901.1-2002 Классификация риска: • В – высокая величина риска • С – средняя величина риска • М – малая величина риска • Н – незначительная величина риска

Классификация серьезности последствий: • Катастрофическое – практически полная потеря анализируемого объекта • Значительное – крупный ущерб системе • Серьезное – серьезный ущерб системе • Незначительное – незначительное повреждение системы


Имеет ли информация стоимость?


Информация имеет стоимость

Для вас

Снижение неопределенности при принятии решений, имеющих экономические последствия

Влияние на поведение людей, приводящее к экономическим последствиям

Собственная стоимость (нематериальный актив)

Для других

Информация не имеет ценности для вас, но если ею воспользуются другие, вы понесете убытки или другие обойдут вас

Информация не имеет ценности для вас, но ее защита требуется государством / регулятором


Почему мы защищаем информационные активы и ресурсы?

Она имеет ценность Она имеет ценность

Имеет ценность для вас Имеет ценность для вас

Снижает неопределенность при принятии решений

Снижает неопределенность при принятии решений

Влияет на поведение людей, приводящее к экономическим

последствиям

Влияет на поведение людей, приводящее к экономическим

последствиям

Нематериальный актив (собственная стоимость) Нематериальный актив

(собственная стоимость)

Не имеет ценности для вас, но имеет для кого-то еще

Не имеет ценности для вас, но имеет для кого-то еще

Если ей воспользуются другие, то вы понесете

убытки или проиграете в конкурентной борьбе

Если ей воспользуются другие, то вы понесете

убытки или проиграете в конкурентной борьбе

Ее защита требуется государством / регулятором

Ее защита требуется государством / регулятором

Она не имеет ценности, но ее принято защищать

Она не имеет ценности, но ее принято защищать


Как оценивать стоимость информацию для вас?

Информация стоит денег сама по себе

Самый простой метод

Множество стандартов оценки нематериальных активов

Информация позволяет улучшить что-то

Стоимость информации равна разнице между стоимостью «до» и «после»

Информация позволяет принимать решения

Самый сложный сценарий оценки стоимости

Методы AIE, iValue и другие


Информация как нематериальный актив


Ценность активов

Активы бывают материальные и нематериальные

Материальные активы оцениваются обычно на основе стоимости их замены или восстановления

Аналогичным образом часто оценивается и программное обеспечение

Ценность информации и иных нематериальных активов определяется либо экспертным способом (метод Дельфи) или с помощью специальных методик


Малоизвестные безопасникам методы

МСФО 38 «Нематериальные активы»

GAAP – для США

EVS 2000 – для Евросоюза

Стандарты оценки РФ

Утверждены ПП-519 от 6.07.2001


Нематериальные активы

Патенты, изобретения, технологии…

Авторские права

Деловая репутация

Фирменные знаки и наименования

Документированные консультации

Торговые марки

ПО, обособленное по «железа»

Права на эксплуатацию

Лицензии

И т.д.


Виды стоимости НМА

Вид стоимости Определение

Стоимость обмена Вероятная цена продажи, когда условия

обмена известны обеим сторонам и сделка

считается взаимовыгодной

Обоснованная рыночная

стоимость

Наиболее вероятная цена, по которой

объект оценки переходит из рук одного

продавца в руки другого на открытом рынке

и добровольно

Стоимость

использования

Стоимость объекта оценки в представлении

конкретного пользователя и с учетом его

ограничений

Ликвидационная

стоимость

Стоимость объекта оценки при вынужденной

продаже, банкротстве

Стоимость замещения Наименьшая стоимость эквивалентного

объекта оценки


Методы оценки НМА

Рыночный

• Метод сравнения продаж аналогичных объектов оценки

Затратный

• Метод стоимости замещения

• Метод восстановительной стоимости

• Метод исходных затрат

Доходный

• Метод расчета роялти

• Метод исключения ставки роялти

• Метод DCF

• Метод прямой капитализации

• Экспресс-оценка

• Метод избыточной прибыли

• Метод по правилу 25%

• Экспертные методы

У каждого метода есть своя область применения, свои достоинства и недостатки


Информация как средство улучшения чего-то


Не цена, но ценность

Ценность стакана воды в городских условиях равна нулю

Вода есть везде

Стакан воды в пустыне бесценнен

Воды практически нет

Цена стакана воды одинакова в обоих условиях


Зависимая ценность

Если ценность зависимого актива ниже или равна ценности анализируемого актива, то итоговая ценность остается прежней

Если ценность зависимых активов выше, то ценность анализируемого актива необходимо повысить с учетом

Уровня соответствующей зависимости

Уровня ценности других активов


Определение ценности

Приобретение (информация что-то дает)

Ускорение сделок, снижение времени вывода продукта на рынок, рост продуктивности, рост числа клиентов и т.д.

Потери (без информации мы что-то теряем)

Прямые – потеря доходов, штрафы за нарушение договорных обязательств, штрафы надзорных органов, иски

Косвенные – упущенная выгода, потеря доли рынка, снижение лояльности заказчиков/партнеров, репутация

Ценность потери

Ценность потери Ценность

приобретения Ценность

приобретения


Оценка возможностей

Точная математическая оценка новых возможностей является очень непростой задачей

Как известно из теории управления финансами

Математики Блэк и Шоулс за эту работу в свое время получили Нобелевскую премию

Поэтому оценку возврата инвестиций в ИБ в финансовом исчислении сделать непросто

Очень сложно (особенно без привязки к бизнес-целям) показать вклад ИБ в появление новых возможностей


Если оценить ценность актива нельзя

Найдите (угадайте) правильное соотношение между стоимостью актива с вашей точки зрения и ожиданиями бизнеса в отношении того же актива

Помните, что вы не должны тратить на защиту актива больше, чем он стоит


Если бы мы жили за границей…


Самый последний пример


Есть ли связь между ИБ и стоимостью акций?

Существующие исследования

Гордон, Лёб и Жу - 2003 год - падение в среднем на 2%

Кавузоглы, Мишра и Рагхунатан - 2004 год - падение в среднем на 2.1%

Хова и Д'Арси - 2003 год - связи не обнаружено

Каннан, Рис и Сридхар - 2004 год - падение на 0,73%.

Теланг и Ваттал – 2011 год - падение на 0.6%

Experian Data Breach Resolution – 2011 год – падение стоимости бренда на 12%

При этом влияние на курс акций имеет место быть только в первый день опубликования

Во второй и последующие дни серьезного влияния на стоимость акций безопасность уже не оказывает


Сколько мы теряем?


Почему сложно считать?

Информационный актив может иметь разную ценность

В разное время, для разных аудиторий, в разных бизнес-процессах

Потери могут принимать разные формы

Одно событие может быть причиной нескольких форм потерь

Сложные взаимосвязи между разными формами потерь

Объем потерь определяется множеством факторов


Составляющие потерь

Цена «сбоя» складывается из множества параметров

Восстановление утерянной информации

«Процедурные» затраты

Стоимость времени восстановления

Взаимодействие с пострадавшими стейкхолдерами

Резервирование автоматизации ключевых процессов ручными операциями

Снижение качества обслуживания

Извлечение уроков и т.п.

Необходимо учитывать динамику потерь

Ущерб может наступить мгновенно или спустя недели

Активность бизнес-процессов может зависеть от квартала/сезона ущерб зависит от этого же


Определение потерь

Бизнес-потери

Падение доходов

Штрафы и судебные иски

Упущенная выгода

Потеря доли рынка

Удар по репутации

Снижение лояльности клиентов/партнеров

«Информационные» потери (например, интеллектуальная собственность)

ИТ- или операционные потери

Цена восстановления информации

Цена восстановления ИТ-систем

Цена восстановления бизнес-процессов


Жизненный цикл сбоя

RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime

Степень влияния и составляющие цены «сбоя» меняется с течением времени

Эта иллюстрация может использоваться при оценке времени восстановления после атаки


Формы потерь

Продуктивность • Простои

• Ухудшение психологического климата

• Простои

• Ухудшение психологического климата

Реагирование

• Расследование инцидента

• PR-активность

• Служба поддержки

• Расследование инцидента

• PR-активность

• Служба поддержки

Замена • Замена оборудования

• Повторный ввод информации

• Замена оборудования

• Повторный ввод информации

Штрафы • Судебные издержки, досудебное урегулирование

• Приостановление деятельности

• Судебные издержки, досудебное урегулирование

• Приостановление деятельности

Конкуренты • Ноу-хау, государственная, коммерческая тайна

• Отток клиентов, обгон со стороны конкурента

• Ноу-хау, государственная, коммерческая тайна

• Отток клиентов, обгон со стороны конкурента

Репутация • Гудвил

• Снижение капитализации, курса акций

• Гудвил

• Снижение капитализации, курса акций

Другое • Снижение рейтинга

• Снижение рентабельности

• Снижение рейтинга

• Снижение рентабельности


Оценка воздействия (ущерба)

Источник: ГОСТ Р 13569





Оценка осуществляется с учетом наличия мер защиты

Наличие мер защиты обычно снижает вероятность события, но не ущерб от него. Если мера направлена на снижение ущерба, то обычно она не влияет на вероятность


Цена взлома медицинской системы


Финансовые модели оценки ИБ


Проблема финансовой оценки ИБ

Универсального метода финансовой оценки ИБ не существует

Возможность применения различных финансовых методик зависит от знаний и опыта как стороны демонстрирующей оценку (служба ИБ), так и стороны, которой демонстрируют

Многие руководители (не только службы ИБ) считают, что оценить ИБ финансово невозможно

Но можно оценить стоимость защищаемой информации, ущерб от инцидентов, эффективность проекта по IT Security

Это возможно, но только при условии выхода на бизнес-уровень, где вы можете посчитать отдачу!


Что надо сделать!

Вспомните про цели и определение объекта измерения!

Что вы хотите измерить деньгами

Сколько вы потеряете, не внедрив систему защиты?

Сколько я сэкономлю на данной системе защиты?

Какова цена защищаемой информации?

Сколько вы потратите на систему защиты за 3 года?

За сколько лет вернутся деньги, потраченные на систему защиты?

Выгоден ли этот проект? (определите, что для вас выгода)

Какая система защиты из двух дешевле? Или выгоднее?

Рискованны ли инвестиции в этот проект?


Стоимость женских духов и экономика ИБ: что общего?

Правда заключается в том, что никакой объективной стоимости нет в природе. Цена любого предмета, произведенного человеком, складывается из массы других, столь же относительных цен – цены труда в столице, деревне, Франции или Занзибаре, цены сырья, цены транспортировки. Все они – условны: то, что человечество на данном этапе своего существования сочло ценным, совсем не обязательно было таковым раньше.


Классические финансовые модели Оценка проекта по ИБ

Net Present Value (NPV)

Какова ценность вкладываемых финансовых ресурсов для проекта при определенной ставке дисконтирования?

Internal Rate of Return (IRR)

Какова ставка дисконтирования, при которой проект еще имеет смысл?

Return on Investment (ROI)

Что мы потеряем и что получим от внедрения проекта?

Playback Period (PbP)

Когда вернутся инвестиции?


«Новые» финансовые методы

«Инвестиционные»

Total Value of Opportunity (TVO)

Total Economic Impact (TEI)

Rapid Economic Justification (REJ)

«Затратные»

Economic Value Added (EVA)

Economic Value Sourced (EVS)

Total Cost of Ownership (TCO)

Annual Lost Expectancy (ALE)

«Контекстуальные»

Balanced Scorecard

Customer Index

Information Economics (IE)

IT Scorecard

«Количественные вероятностные»

Real Options Valuation

iValue

Applied Information Economics (AIE)

COCOMO II and Security Extensions


Total Cost of Ownership


Сколько стоит система защиты?

Total Cost of Ownership (TCO) от Gartner

Во сколько обойдется проект с учетом косвенных и всех прямых затрат?

Прямые затраты включают в себя:

Капитальные затраты на программное обеспечение

Капитальные затраты на аппаратное обеспечение

Затраты на дополнительное программно-аппаратное обеспечение (базы данных, браузеры, системы резервирования и т.д.)

Затраты на поддержку и обучение (командировочные расходы, звонки в службу поддержки, общение по e-mail)

Затраты на управление (зарплата администраторов, реагирование на атаки, трафик Internet, модернизация)

Затраты на внедрение

Сопутствующие затраты (прокладка СКС, изменение топологии, перенастройка оборудования)


Сколько стоит система защиты? (окончание)

Прайсовая стоимость системы защиты составляет 15-21% от совокупной стоимости владения

Косвенные затраты включают в себя:

Непродуктивная работа пользователей, связанная с действиями «проб и ошибок» из-за отказа от чтения документации и обучения

Простои и сбои системы защиты


ALE, ALE, ALE, ALE


ALE – Annual Loss Expectancy

Совокупные затраты на ИБ = ALE + TCO

Ежегодный ожидаемый размер потерь


SLE – Single Loss Expectancy

Стоимость потерь от одной атаки

Может вычисляться как

Произведение стоимости атакуемого актива (Asset Value) на вероятность атаки (Exposure Factor)

или

Детальная оценка стоимости конкретной атаки


SLE = AV * EF

Мы должны уметь оценивать стоимость активов с различных сторон

Генерируемая активом прибыль или оборот

Стоимость информации

Мы должны иметь представление о вероятности атак

Сбор собственной статистики


Использование международной усредненной статистики (KPMG, PwC, CSI и т.д.)


Detailed Attack Costing (DAC)

Детальная оценка стоимости атаки включает в себя:

Стоимость простоя атакуемого актива (потеря продуктивности)

Стоимость восстановления атакуемого актива, включая привлечение внешних сил

Дополнительные затраты (штрафы, неустойки, репутация, судебные тяжбы, уход клиентов и т.п.)

Потенциальные сбережения (например, электричество или Интернет)

Метод обычно применяется для активов, которые напрямую не «завязаны» на генерацию финансовых средств, но важны для бизнеса



Время простоя вследствие атаки

Время восстановления после атаки

Время повторного ввода потерянной информации

Зарплата обслуживающего персонала

Зарплата сотрудников атакованного узла или сегмента

Численность обслуживающего персонала

Численность сотрудников атакованного узла/сегмента

Объем продаж, выполненных с помощью атакованного узла или сегмента

Стоимость замены оборудования или запасных частей


Gartner TVO


Gartner TVO

TVO (Total Value of Opportunity) – значение ИБ-инициатив для бизнеса, измеряемое в качественных и количественных метриках, определяющих достижение или улучшение бизнес-показателей


Методика Gartner TVO

Что за инициатива?

Как мы измеряем значение для бизнеса?

Что технология делает?

Какие преимущества мы получим?

Как это перевести в деньги?

Сколько это стоит?

Как нам учесть будущие неопределенность и риски?

Сможем ли мы воспользоваться этими возможностями?


Главное - начало

Что за инициатива?

Один абзац или предложение

Что мы делаем и зачем мы это делаем

Бизнес-ориентированность

Плохой пример

Построение защиты периметра корпоративной сети

Хороший пример

Внедрение системы управления патчами для роста продуктивности сотрудников (за счет снижения стоимости простоев) и снижения стоимости поддержки


Что дает технология?

Бесконечное число функций и характеристик…

Но только часть из них являются важными и понятными для конкретного предприятия

Опять важны декомпозиция и определение объекта измерения!

4 класса возможностей, даваемых ИТ/ИБ

Фундамент

Операционная поддержка и достижение целей TCO

Прямое воздействие на бизнес

Управление знаниями и информацией


Фундамент

Гибкость

Расширяемость

Масштабируемость

Надежность

Доступность

Требуемая емкость

Требуемая производительность

Совместимость с текущей инфраструктурой

Безопасность и конфиденциальность

Эксплуатационная надежность


Операционная поддержка

Стандартизация платформы

Стандартизация поставщика

Стандартизация приложений

Консолидация систем

Снижение стоимости управления процессами ИБ

Увеличение скорости процессов ИБ

Рост продуктивности персонала ИБ

Интеграция и стандартизации процессов ИБ


Воздействие на бизнес

Снижение стоимости бизнес-процессов

Увеличение скорости бизнес-процессов

Рост продуктивности бизнес-пользователей

Функциональная расширяемость

Необходимость перестройки бизнес-процессов

Строгое соблюдение бизнес-регламентов и нормативной базы


Управление информацией и знаниями

Улучшение доступа

Улучшение аккуратности информации

Улучшение своевременности информации

Улучшение навигации

Улучшение разделения и взаимодействия

Персонификация и персонализация

Принятие или рекомендация решений


Приоритезация возможностей

Все выбранные возможности необходимо приоритезировать с точки зрения влияния на бизнес

крайне важный, важный, средней важности, ограниченной важности и неважный

В качестве ссылки рекомендуется использовать Gartner’s Business Performance Framework

Мы ее рассмотрели ранее

Возможности будут достигнуты, если процесс будет реализован с привлечением бизнес-подразделений


Подсчет эффекта

После выбора бизнес-метрик, они должны быть измерены

С участием поставщика технологии, бизнес-подразделений, ИТ-подразделения

Без участия бизнеса контролировать бизнес-метрики невозможно

Необходимо постоянно контролировать индикаторы изменений


Сколько это стоит

Категории затрат

Технологии

Персонал

Операции и процессы

Затраты могут быть одноразовыми или постоянными


Прибыль

Прибыль

Прямая и косвенная

Целенаправленная и случайная

Категории случайных прибылей

Технологии

Персонал

Операции и процессы


Total Economic Impact


TEI от Forrester

Закрытая методика, разработанная компанией Giga Group, купленной Forrester

Требует участия экспертов Forrester

Оценивает эффективность по трем критериям

Гибкость

Стоимость

Преимущества

Использует другие методики (ROV, ROI и т.п.)


TEI of Cisco Borderless Networks Study

Базируется на методологии Forrester Total Economic Impact (TEI)

Интервью 13 заказчиков

Опубликованное исследование ROI базируется на организации в США с 5,000 сотрудниками

Трехлетний расчет преимуществ и затрат


BN Business Benefits Calculator 1.0

Разработан Forrester Research

Базируется на методологии Forrester Total Economic Impact (TEI)

Данные базируются на: Интервью с заказчиками

Отчетами заказчиков

Исследованиями аналитиков

Аудитория IT Director/Sr. Managers

Business Decision Makers


Rapid Economic Justification


REJ от Microsoft

Методика Microsoft, ориентированная на оценке бизнес-преимуществ в сравнении с капитальными и ресурсными затратами на достижение преимуществ

Также базируется на известных моделях (TCO, NPV, IRR и т.п.), но при этом использует оценку рисков для инвестиций в ИТ/ИБ


EVA и EVS


Economic Value Added (EVA)

Economic Value Added (EVA) от Stern Stewart & Co

Ориентирована на сравнение и выбор инвестиций во внутренние или внешние проекты (процессы)

Что выгоднее – самому строить ИБ или отдать все на откуп аутсорсеру (в облака)?

Предполагает сервисную модель службы ИБ, которая продает свои услуги другим подразделениям компаниям, которые являются для службы ИБ заказчиками

Расценки на услуги выбираются эквивалентными расценкам на внешнем рынке

Требует детального учета всех расходов


Economic Value Sourced (EVS)

Economic Value Sourced (EVS) от Cawly & the Meta Group

Позволяет оценивать инвестиционную привлекательность ИТ/ИБ-проектов (не всегда успешно), но не только с экономической точки зрения

Учитывает три фактора: снижение рисков, рост производительности и снижение цикла (сделки или еще чего-то)

Базируется на расчетах EVA, ROI и IRR


Система сбалансированных показателей


Классическая BSC

Система сбалансированных показателей известна как метод, позволяющий оценивать предприятие не только с точки зрения финансовых показателей, а сбалансировать (именно сбалансированность является ключевым преимуществом данного подхода) оценку по 4-м направлениям

Заказчик Финансы

Внутренние процессы Обучение и рост

Базовая BSC


BSC для жизни

Основная задача BSC – уйти от непонятной и сложно формализуемой миссии компании в сторону конкретных, измеряемых и достижимых целей

При этом баланс заключается не только в оценке материальных и нематериальных активов, но и в оценке текущей деятельности и будущих перспектив, которые и позволяют компаниям развиваться в конкурентной среде, а не стоять на месте

В последние годы ряд экспертов, внедрявших BSC на предприятиях, предложили расширить изначальные направления новыми, лучше отражающими специфику отдельных компаний

Пользователи, поставщики, регуляторы и т.п.


BSC в ИБ

Заказчик Заказчик



Операционная эффективность Операционная эффективность

Будущее Будущее

Compliance Compliance


BSC – известный топ-менеджменту метод оценки бизнеса и его преломление в область ИБ позволит найти общий язык с бизнесом

Если BSC не принят в организации, то ограничение его только областью ИБ может не дать эффекта на уровне предприятия


BSC: ориентация на заказчика

Цель Что измеряем

Удовлетворенность заказчиков

Индекс удовлетворенности заказчиков (например,

по результатам опроса)

Число сотрудников бизнес-подразделений,

которым делегированы некоторые функции по ИБ

Число сотрудников, успешно прошедших тренинги

по ИБ

Партнерство с бизнесом

Частота встреч управляющего комитета

Вовлечение службы ИБ в новые проекты, задачи и

направления бизнеса (например, в виде индекса)

Наличие в компании топ-менеджера,

ответственного за ИБ

Выполнение проектов

Заданное качество проекта (например, в виде

индекса)

Завершение проекта в срок (например, в виде

индекса)

Уложились в бюджет (например, в виде индекса)

Реакция на запросы Скорость реагирования на звонки в help desk

Выполнение SLA

Процент приложений и сервисов, для которых

разработан SLA

Число подразделений/заказчиков, заключивших

SLA


BSC: ценность для бизнеса

Цель Что измеряем

Рост выручки предприятия Выручка от запуска нового канала продаж

Рост выручки на одного заказчика Рост удовлетворенности заказчика

Снижение текучки заказчиков

Снижение затрат

Разница между ценой коммерческой СЗИ и

свободно распространяемой

Стоимость звонков в help desk до и после внедрения

системы автоматизированного управления

паролями

Стоимость работ по восстановлению

работоспособности ИТ-инфраструктуры

Контроль и управление ИБ-бюджетом

Соотношение реальных затрат с запрошенными

Процент ИБ-бюджета от выручки

Стоимость ИБ на одного сотрудника

Положительный возврат инвестиций ROI, NPV, PbP проекта по ИБ

Снижение затрат, связанных с рисками

Число инцидентов безопасности в квартал

Число систем, соответствующих требованиям

регуляторов по ИБ


BSC: операционная эффективность

Цель Что измерять?

Эффективность процессов

Процент сбоев системы защиты

Соответствие стандарта ISM3 или ISO 27001

Уровень зрелости процессов управления ИБ

Скорость процессов управления ИБ

Качество процессов управления ИБ

Адаптивность

Время инициации проекта после первого запроса

Время на внедрение/настройку системы защиты для

нового приложения

Скорость реакции на новые регулятивные

требования

Управление проектами

Число завершенных проектов

Процент успешно завершенных проектов

Процент расхождения с бюджетом

Внутренняя безопасность Текучка кадров в службе ИБ


BSC: ориентация на будущее

Цель Что измерять?

Кадры Процент руководителей, в MBO которых включены

пункты по ИБ

Процент сотрудников службы ИБ, имеющих планы

профессионального развития

Процент трудовых договоров, включающих пункты о

соблюдении конфиденциальности и правил ИБ

Информация Соотношение «будущее развитие/текучка» в ИБ-

бюджете

Число компаний, с которыми заключены контракты

Число систем защиты на аутсорсинге

Существование архитектуры ИБ

Уровень стандартизации процессов, технологий и

систем

Культура Число сотрудников, понимающих миссию службы ИБ

Индекс зрелости культуры ИБ

Число задокументированных best practices или

success stories в области ИБ


BSC: ориентация на регуляторов

Цель Что измеряем?

Соответствие Завершение аудита на соответствие PCI DSS

Внедрение рекомендаций по управлению ИБ ITU-

T X.1051

Аттестация ФСТЭК на соответствие СТР-К

Регуляторы Число претензий со стороны регулирующих и

надзорных органов


Customer Index и Information Econimics


Customer Index и Information Economics

Customer Index от Andersen Consulting

Оценивает экономическую ценность проектов (инвестиций) в контексте каждого заказчика/потребителя

Позволяет оценить влияние проекта (инвестиции) на доходы, затраты и прибыли в пересчете на одного заказчика

Методика ориентирована на проекты, запускаемые в интересах заказчиков (клиентов)

Information Economics от The Beta Group

Позволяет ранжировать приоритеты предприятия в области ИТ/ИБ-инвестиций по согласованным параметрам (в т.ч. и традиционным финансовым – NPV, PV, IRR и т.п.)

Также учитываются нематериальные факторы – снижение рисков, уменьшение цикла сделки, конкурентоспособность


Уровень риск-аппетита

Построение инвестиционной границы занимает 40-60 мин и обычно не вызывает разногласий

50

25

0

50 0 100 150 200

ROI, ожидаемый в следующий 5 лет (%)

Вероятн

ость

отр

иц

ате

льного

RO

I (%

)

Инвестиционная граница

Приемлемые инвестиции

Неприемлемые инвестиции


Applied Information Economics


Applied Information Economics

Applied Information Economics от Hubbard Decision Research

Опирается на множество дисциплин (экономика, поведенческая психология, теория принятия решений, теория игр, анализ рисков и т.п.)

Опирается на понятие неопределенности возврата инвестиций и позволяет спрогнозировать различные сценарии инвестирования

Базируется на методе Монте-Карло


Метод Монте-Карло

Метод Монте-Карло появился в конце 1940-х годов для задач, в которых необходимо было оценивать вероятность успешного исхода того или иного события, не комбинаторикой, а просто большим (или очень большим) количеством экспериментов, которые и позволяют, подсчитав удачное число исходов опытов, оценить вероятность успеха

Метод Монте-Карло не дает вам 100%-ую точность

Есть ряд задач, и оценка позитивного ROI относится к ним, когда их сложность, т.е. число измерений, которые надо осуществить, чтобы получить точный ответ, может расти экспоненциально

В таких случаях можно пожертвовать точностью и найти менее точный ответ, но все равно дающий точность выше 50%



В AIE, как и в других методах, используется понятие выгод и затрат от проекта по ИБ

Точных цифр мы не знаем и можем только гадать о том, что скрывается за этими неопределенными переменными

Поэтому мы подставляем под эти переменные интервалы возможных значений и моделируем сотни или тысячи возможных сценариев

Результатом станет набор различных сценариев с различными результатами от реализации оцениваемого проекта



Например, может оказаться так, что

В 15% случаев проект будет убыточен

В 54% - доходен

В 1.6% вообще может привести к краху предприятия (под крахом подразумевается убыток в сумме равной обороту всего предприятия)

Дальше остается только принимать решение, но принимать уже основываясь на математически выверенных результатах, а не на экспертной оценке


Особенности финансовых методов оценки проектов по ИБ

Все финансовые методы (традиционные и «новые») требуют для расчета исходные данные, обычно отсутствующие у служб информационной безопасности

Нет, потому что мы не знаем, где их взять

Нет, потому что не дают

Нет, потому что мы не верим в эффективность этих методов

Нет, потому что мы боимся соваться в финансы

Нет, потому что нет гарантии, что нам поверят

Нет, потому что мы забыли математику

Нет, потому что нет


Не все формулы просты


Измерения требуют знания математики

Линейный и регрессионный анализ


Теория игр (дилемма заключенного)

Когда злоумышленник сменит цель X на цель Y?

Пример: почему MacOS атакуют меньше чем Windows

Чтобы злоумышленники заинтересовались MacOS и стали заниматься монетизацией вредоносного ПО для нее, ее популярность должна превысить порог в 12-16% (он был превышен в 2010-м году). Поэтому сейчас мы видим такой рост интереса к вредоносному ПО для MacOS

Защита А Защита Б

Атака А (1 - p)fv fv

Атака Б (1 – f)v (1 – p)(1 – f)v


Определение объекта измерения при оценке ИБ рублем


Проект по Identity Management

Задача: оценить проект по внедрению единой системы управления идентификаций, аутентификацией и авторизацией

С точки зрения ИБ и обычные пароли эффективны

Вспоминаем про определение объекта измерения

Создание ID, вход в приложения, неудачные входы, звонки в Help Desk, обслуживание пользователей…

Очень важна декомпозиция

Исходные данные:

Число пользователей – 120000

Ежегодная ротация кадров – 15%

Среднее число ID/паролей – 5

Число рабочих часов в день – 8

Число рабочих дней в год - 260


Первая фаза расчета – установка ID

Ежегодное число новых пользователей – 18000 (120000*15%)

Необходимо поддерживать 90000 новых ID/паролей (5*18000)

Создание нового ID/пароля – в среднем 120 секунд (анализ заявки, создание и настройка учетной записи)

Всего на администрирование новых пользователей уходит 3000 часов (~2 человека при полной нагрузке)


Вторая фаза расчета – рутина

В среднем 20 входов в систему/приложения ежедневно (из-за истекшего таймаута, смены приложения и т.д.)

Среднее время регистрации – 15 секунд

Ежедневно тратится 10000 ресурсо-часов на регистрацию

Ежегодно тратится 2200000 ресурсо-часов на регистрацию в разные системы и приложения


Третья фаза расчета – проблемы

В среднем 1% всех попыток регистрации заканчивается неудачно

Повторная регистрация разрешается через 60 секунд

Общее время на повторную регистрацию в год составляет 88000 часов


Четвертая фаза расчета – поддержка

В среднем после 3-х неудачных попыток входа в систему учетная запись блокируется

После 2-х неудачных попыток входа рекомендуется позвонить в службу поддержки

2400 звонков ежедневно в службу поддержки по факту 2-х неудачных попыток входа в систему

SLA = 4 часа на обработку одного инцидента

18000 пользователей ждут максимум по 4 часа – 72000 часа потери времени (продуктивности)

2400 звонка максимум по 4 часа – 9600 часов в день или 2112000 ресурсо-часов в год


Итого

Время затраченное на администрирование новых ID/паролей, ежедневную регистрацию и повторные ввод ID/пароля составляет 2291000 часов в год…

что составляет 1% всего рабочего времени компании

Еще 2184000 ресурсо-часов в год на поддержку неудачных попыток входа…

что также больше 1% всего рабочего времени компании

Итого – 4475000 ресурсо-часов или больше 2% всего рабочего времени компании в год - только на одну задачу – управление Identity


General Motors - факты

Предоставление доступа в среднем через 7 дней после заявки

Синхронизация паролей и ID в разных системах – 3 дня

50% запросов требует контактов с пользователем

«Разруливание» проблем с доступом – 10 дней

Конфликт между ID может приводить к задержкам в работе до 90 дней


General Motors - потери

Обработка 6600 проблем с доступом – потеря продуктивности – 3,000,000 долларов

Восстановление доступа для 56000 учетных записей – потеря продуктивности – 18,200,000 долларов

2500 сотрудников (учетных записей) уволено – затраты на удаление – 162,500 долларов

Прямой ущерб – 1,200,000 долларов


Декомпозиция очень важна!

Показатель Значение

Послано спама 40.000.000

Click-through ratio 0.12%

Соотношение

продаж

1/200

Всего продаж 240

Объем продаж $37440

Комиссия

спаммера

50%

Доход $18720


Хостинг $230

4 дня аренды

ботнета

$6800

Стоимость базы

e-mail

$4000

Затраты $11030

Прибыль - $7690 в неделю


Другие «простые» примеры финансовой оценки


Финансовая оценка требует конкретики

Нередко бывает необходимо

сравнить два и более средств защиты

оценить эффективность конкретного средства защиты

Поэтому очень часто необходимо оценивать конкретные продукты

Абстрактная оценка не срабатывает

При расчете эффективности с участием конкретного продукта необходимо учитывать TCO, а не только стоимость лицензии

При финансовой оценке всегда необходимы исходные данные, которые находятся за пределами службы ИБ


Удаленный защищенный доступ Снижение арендной ставки

Решение Cisco Virtual Office (CVO) перевод сотрудников на дом уменьшение арендуемых площадей снижение арендной платы

Офис (класс А) Стоимость

м2 в год* Итого**

Башня Федерация 850$ 1700$

Александр Хаус 800€ 1600€

8 марта, 14 570$ 1140$

Daev Plaza 1300$ 2600$

GreenWood 290$ 580$

* + стоимость стоянки $150-250 в месяц ** Из расчета 2 м2 на сотрудника

Элемент CVO Цена

Cisco 861 449$

IP Phone 7911G* 225$

Cisco Security

Manager**

300$

* Опционально ** В пересчете на одно место

*** Дополнительно требуется ACS и HeadEnd VPN для HQ

Без оценки вопросов compliance и применения сертифицированных СКЗИ


Удаленный защищенный доступ Дополнительные выгоды

Дополнительная экономия на:

Питании сотрудников

Оплате проездных (если применимо)

Оплате канцтоваров

Оплате коммунальных расходов

А также


Рост продуктивности на 10-40%


Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям

Аэропорт

WAN/Internet

SiSi

SiSi

Отель

Предприятие

Дорога

Кафе

Главный

офис HQ

Филиал Дом


Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)

Сотрудник в среднем тратит только 30–40% времени в офисе




Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.

1 час потери продуктивности $1,200 $6,000 $12,000

Потери в год от 1 часа в неделю $62,5K $312,5К $625К


Рост продуктивности Откуда берется 1 час потери продуктивности?

Рабочий день мужчины в России – 8 часов 14 минут

Переработка на 14 минут

Рабочий день мужчины в Москве – 5 часов 33 минуты

Потери 2,5 часов ежедневно (!) – преимущественно пробки

Рабочий день женщины в России – 5 часов 44 минуты

Потери 2 часов 16 минут ежедневно

Рабочий день женщины в Москве – 5 часов 23 минуты

Потери 2 часов 37 минут ежедневно

Источник: Росстат, 06.06.2011


Система контроля доступа Масштаб имеет значение

Статья экономии Человека/

часов Цена*

Идентификация

несоответствующих

компьютеров

1.0 $12.00

Определение

местоположения

несоответствующих

компьютеров

1.0 $12.00

Приведение в

соответствие 2.0 $24.00

Потенциально сэкономленные затраты

на 1 компьютер $48.00

* из расчета зарплаты ИТ-специалиста 2200 долларов в месяц (цифра может варьироваться от $1000 до $4000

Элемент

решения Цена

Cisco ISE

Appliance 3315

Server (100

users) / 3Y

$15490

Cisco ISE

Appliance 3315

Server (500

users) / 3Y

$36490

(~2x)

Cisco ISE

Appliance 3315

Server (1000

users) / 3Y

$62990

(~2,5x)


Экономически целесообразен ли антиспам?

Исходные данные:

Число сотрудников (почтовых ящиков) – 7000

Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника)

Объем спама – 60% (42000 сообщений)

Время обработки одного спам-сообщения сотрудником – 10 сек

Суммарные дневные затраты на спам – 14,583 человеко-дня

Средняя зарплата сотрудника – $1500

Потери компании

В день – $994,29

В месяц – $21784,5

В год – $248573,86

Выгоден ли антиспам в данной ситуации?

Да, как и всегда в крупных организациях


Контроль доступа в Интернет

Оценка экономической эффективности проекта по контролю доступа в Интернет на базе Cisco Web Security


1,5 часа в день на «одноклассниках» или в «вконтакте»


6600 часов экономии – 825 чел/дней

Потери $18750 в месяц (при зарплате $500)

Ежегодные потери $225000

Стоимость Cisco Web Security Appliance (S160) - $15060 ($27100 на 3 года)

Включая Web Usage Control, Web Reputation, Anti-Malware


Выгоден ли аутсорсинг ИБ?


Построить или купить готовое? Затраты на собственный мониторинг VPN

Показатель Исходные данные Значение

Число офисов 150

Цена мониторинга

WAN-каналов без VPN

Один специалист

обслуживает офисов

25

Число специалистов 6

Цена VPN-мониторинга Один специалист

обслуживает VPN-

шлюзов

15


Разница в цене

мониторинга VPN


Зарплата специалиста $25000

Итого $100000


Построить или купить готовое? Капитальные затраты в инфраструктуру VPN

Показатель Исходные данные Значение

Стоимость VPN-

решения

Cisco Security Manager $36000

Рабочая станция для

управления

$2000

Cisco ISR 2911 (C2911-

WAAS-SEC/K9)

$8495 * 150 = $1274250

Стоимость

инсталляции

Время внедрения (час) 2 * 150 = 300

Почасовая ставка ИТ-

специалиста

$12 * 300 = $3600

Командировка $800 * 150 = $120000

Итого $1397850


Выгоден ли Managed VPN? Выгодно ли то, что предлагает провайдер связи?


Одноразовые инвестиции $250 на филиал

Ежемесячная плата $300 на филиал

Длительность контракта 3 года

Скидка на VPN Managed Service 15%

Собственная VPN Managed VPN Экономия

Зарплата ИТ-

специалистов

$8500 в месяц - $8500

Стоимость

оборудования (на 3 года)

$38829 в месяц - $38829

Услуга Managed VPN - $38250 $(38250)

Итого в месяц $47329 $38250 $9079

Внедрение $123600 $37500 $86100

Резюме $1827444 $1414500 $412944


А если VPN на базе сертифицированной криптографии?

Решение Cisco NME-RVPN для 1500 АЗС

• На базе модуля для ISR G2 (2900/3900)

Решение Cisco/S-Terra для центра

• На базе UCS C-200

Статья затрат (BUILD) Итого

CapEx $9000000

TCO (дизайн, внедрение,

мониторинг,

эксплуатация, поддержка)

*5 (если

верить

Gartner)

Лицензирование в ФСБ ~$100000

Персонал $250000

Статья затрат (BUY) Итого

CapEx $0

TCO $0

Лицензирование в

ФСБ

-

Персонал $0

OpEx $300*1500*12


Размер имеет значение


Размер зарплаты – ключ ко многим проектам по оценке эффективности

Правда заключается в том, что никакой объективной стоимости нет в природе. Цена любого предмета, произведенного человеком, складывается из массы других, столь же относительных цен – цены труда в столице, деревне, Франции или Занзибаре, цены сырья, цены транспортировки. Все они – условны: то, что человечество на данном этапе своего существования сочло ценным, совсем не обязательно было таковым раньше.


ROI Calculator

© 2005 Cisco Systems, Inc. All rights reserved.


Не всегда стоит считать рублем или можно ли оценить эффективность проекта по ПДн?


Запускать или нет? Вот в чем вопрос!

Что получаем?

Что тратим?


Стоимость 1-го этапа проекта по ПДн

Интегратор 1 Интегратор 2 Интегратор 3 Интегратор 4

$55600 $30390 $123438 $31000

Особенности

Сбор информации о ПДн – около $5K (min – 1.5K, max – 11K)

Категорирование ПДн – min – 0.5K, max – 5K

Сбор информации о защите – около $6K (min – 2K)

Классификация ИСПДн – min – 0.5K, max – 9K

Разработка модели угроз – min – 0.5K, max – 23K

Разработка ТЗ - min – 1K, max – 9K

Техпроект СЗПДн – min – 25K, max – 50K

Подготовка к лицензированию – 3К

Сопровождение в процессе лицензирования – 14К


Стоимость 2-го этапа (худший сценарий)

Аттестация одного АРМ – 10-15К рублей

Аттестация 2-х АРМов, установка 2-х СЗИ, монтаж генераторов шума, разработка документов – 60К рублей

Аттестация сетевой составляющей будет дороже примерно на 30%

ФСТЭК не имеет опыта аттестации сетей более чем из 100 компьютеров

Стоимость сертифицированной СЗИ – +10-15% к стоимости несертифицированного решения

Без сертификации на НДВ

Сертификация общесистемного/прикладного ПО – 130К долларов (для MS Word)

Сертификация ОС – 250К долларов


Стоимость 2-го этапа (окончание)

Обучение с выдачей документа гособразца – 50К рублей (за двоих)

Адекватная защита АРМ – около 200-400 долларов

Защита периметра – 5-10К долларов

Очень экономно и оптимистично

Защита сервера – около 800-1000 долларов


Редкооцениваемые затраты

Получение согласий от всех субъектов ПДн

Переделка договоров, форм анкет, форм на сайте

Уведомление субъектов ПДн о фактах обработки их ПДн

Уведомление субъектов ПДн об устранении нарушений, связанных с их ПДн

Затраты на управление инцидентами, связанными с утечками ПДн


От чего защищаемся?

№ Название статьи Максимальное

наказание

13.11 Нарушение установленного законом

порядка сбора, хранения, использования

или распространения информации о

гражданах (персональных данных)

10.000 руб.

13.14 Разглашение информации с ограниченным

доступом

5.000 руб.

13.12 Нарушение правил защиты информации 20.000 руб. +

конфискация +

приостановление

деятельности на

срок до 90 суток

13.13 Незаконная деятельность в области защиты

информации

20.000 руб. +

конфискация




наказание

5.27 Нарушение законодательства о труде и об

охране труда

50.000 руб. +



срок до 90 суток +

дисквалификация

должностного

лица до 3-х лет

5.39 Отказ в предоставлении гражданину

информации

1.000 руб.

19.4 Неповиновение законному распоряжению

должностного лица органа,

осуществляющего государственный надзор

(контроль)

10.000 руб.




наказание

19.6 Непринятие мер по устранению причин и

условий, способствовавших совершению

административного правонарушения

500 руб.

19.5 Невыполнение в срок законного

предписания (постановления,

представления, решения) органа

(должностного лица), осуществляющего

государственный надзор (контроль)

500.000 руб. +

дисквалификация

должностного

лица до 3-х лет

19.7 Непредставление сведений (информации) 5.000 руб.

19.20 Осуществление деятельности, не связанной

с извлечением прибыли, без специального

разрешения (лицензии)

20.000 руб. +



срок до 90 суток




наказание

20.25 Неуплата административного штрафа либо

самовольное оставление места отбывания

административного ареста

Двукратное

увеличение

штрафа

Уголовное и дисциплинарное наказание не применяется

А если да, то не к компании, а к ее работникам

На репутацию эти штрафы и утечки влияют слабо

Вопрос влияния инцидентов с ПДн на лояльность клиентов в России не изучен

Но вероятность влияния не высока


Число протоколов также растет


Суммы штрафов пока незначительны


Что планируется?

10.000 руб.

1.000.000 руб.

2% от дохода

Выручка за год

700.000 руб.

4 состава правонарушения

Увеличение суммы штрафа

Рецидив

Доход от обработки ПДн


Очевидное, но ненужное


Безопасность мобильного банкинга

«Что касается мобилок, то в самих мобильных банкингах масса проблем и их актуальность на практике мне очевидна. Сидя в чужой WiFi сети, делаешь перевод Васе, а деньги уходят Пети и всего делов - и никакой конопли не нужно :). И никакого тут FUDа впомине нет. Потому что мобильный банкинг набирает ход по полной и при этом пока абсолютно дырявый на практике. И надо помочь обратить на это внимание»

Илья Медведовский, Digital Security



¾ россиян не используют мобильный и интернет-банкинг

АnalyticResearchGroup

Постоянными пользователями услуг мобильного банкинга является всего 3% россиян

Фонд общественного мнения (ФОМ)

Только 30,4% банков используют системы дистанционного обслуживания физических лиц

Системы типа мобильный банк установлены только в 6,8% банков


Сколько денег в мобильном банкинге?

Оборот мобильного банкинга в России всего 8.1 млрд. рублей в 2012-м году

По данным J’son & Partners Consulting

Из них доля денежных переводов составляет всего 30%.

Т.е. на денежные переводы, о перехвате и подмене которых говорится в отчете Digital Security, как основной угрозе, приходится всего 2.7 млрд. рублей

Это много или мало?!


2.7 миллиарда – это много?

Объем рынка электронных платежных систем в России в 2012-м году составляет 1811 млрд. рублей

По оценкам J’son & Partners Consulting

Т.е. мобильные переводы денежных средств - это всего 0.14%

Если взять все платежи через мобильный банкинг (т.е. + оплата услуг и товаров), то получится около 0.45%

Не надо забывать, что электронные платежные системы - это тоже копейки в общем объеме денежных переводов


А в масштабе всех денежных переводов?

Объем банковских платежей, совершенных юридическими лицами с использованием платежных поручений, переданных в банк электронным способом, за 1-е полугодие 2010 года превысило 101 трлн руб.

Из них 51 трлн руб. - платежи со счетов, обслуживаемых через системы интернет-банкинга

Без экстраполяции (а рост был) это 200 триллионов рублей в год

Доля мобильного банкинга для физлиц на фоне переводов денежных средств юрлицами через системы ДБО - 0.0013%


Выводы

Злоумышленникам невыгодно вкладываться в массовый взлом мобильного банкинга для физлиц

Взлом юрлиц выгоднее во всех отношениях – обороты, доходы, массовость, судебная практика

Злоумышленникам проще осуществлять мошенничество через 9-ю статью закона «О национальной платежной системе»

Банк обязан безоговорочно вернуть деньги

Разработчикам невыгодно вкладываться в безопасность мобильных приложений

Если их не обяжут регуляторы

Для банков это, в первую очередь, имиджевые проекты

Проект проще закрыть (принять риски), чем защищать


Универсальный метод измерения


Универсальный алгоритм

1. Что вы пытаетесь измерить? Что представляет собой объект измерения?

2. Почему вы хотите его измерить? Какое решение будет принято по результатам измерения? Какое пороговое значение определяемого показателя?

3. Что вам известно сейчас?

4. Какую ценность имеет данная информация? К каким последствиям приведет ошибка? Какова ее вероятность? Какие усилия по измерению будут экономически оправданы?

5. Какие наблюдения позволят подтвердить или исключить различные возможности?


У вас есть методы. Теперь нужны данные для них и инструменты


Автоматизация процесса управления метриками ИБ


Процесс управления измерениями

Процесс может быть организован в ручном или автоматическом (полуавтоматическом) режиме


Процесс управления измерениями

Autodiscovery

Объективный источник

Опрос

Субъективный источник

Интеграция с существующими источниками данных


Автоматизация оценки

Ручной сбор

Точечные решения

SIEM

Специализированные решения

ERM

GRC

На этапе выбора метрик автоматизация не является критичной

На этапе сбора данных и вычисления метрик автоматизация становится критичным фактором


nCircle Benchmark = ClearPoint Metrics


Визуализация и презентация метрик ИБ


Презентация метрик

Не забывайте про контекст

Рост числа инцидентов может быть связан как с реальным ростом, так и с ростом уровня осведомленности сотрудников, которые перестали умалчивать об инцидентах

В отчет должны быть включены инициативы, направленные на улучшение демонстрируемых метрик

Не обещайте то, что вы не можете обеспечить

Не драматизируйте!

Излишнее нагнетание обстановки может повредить, т.к. руководство может подумать, что вы специально это делаете для выбивания бюджета


Примеры отчетов

Типичный отчет руководству компании или CIO

Включает в себя статус проектов по ИБ, данные от антивируса, сканера безопасности, IPS и т.п. Констатация факта, не более того. Никакого финансового анализа, никаких данных о влиянии на бизнес (business impact analysis)

Одностраничный отчет поделен на две части

В левой размещены сами метрики в виде цифр, графиков, диаграмм, а в правой – комментарии и разъяснения к ним. В низу отчета всего несколько строк посвящено тому, что служба ИБ ждет от руководства. Все предельно понятно и лаконично

Публикация сравнений метрик по различным бизнес-подразделениям

Разумеется в условиях здоровой конкуренции между отделами, Борьба за лидерство между бизнес-единицами компании может благотворно сказаться на улучшении показателей ИБ


Пример отчета

Форма вторична, содержание первично

Будьте проще и люди к вам потянутся


Как лгать?

Что такое среднестатистическое число атак?

Январь Февраль Март

313 876 1234

Апрель Май Июнь

1465 1290 1096

Июль Август Сентябрь

987 313 1097

Октябрь Ноябрь Декабрь

1178 1354 5467

Среднеарифметическое – 1389

Медиана – 1137,5

Мода - 313


Как лгать? (окончание)

1000

1050

1100

1150

1200

1250

1300

1350

1400

1450

1500

Март Май

Число атак

1230

1240

1250

1260

1270

1280

1290

Март Май

Число атак


Уровень детализации

Удачно

Неудачно CEO

Руководители

бизнес-

подразделений

Пользователи

CISO


Вспомните пример, приводимый ранее

Число серьезных

уязвимостей снижается

(цель показа)

Число уязвимых IP

остается стабильным

(менеджмент)


Облачный SIEM Curois: глубокая детализация


Seculert Dashboard: взгляд с разных точек зрения


QualysGuard Executive Dashboard: анализ уровня защищенности


ISACA Compliance Dashboard: уровень соответствия НПА


Оценка уровня соответствия PCI DSS с помощью Splunk


Визуализация слабых мест в глобальном обеспечении ИБ

Инициативы по ИБ

Уровень соответствия требованиям

ИБ

Актуальные риски ИБ

Уровень зрелости

процессов ИБ


Проект системы визуализации уровня ИБ в Министерстве Обороны США


Threat Management Dashboard


Стандарты


Стандарты по измерениям ИБ

NIST SP 800-55 “Security Metrics Guide for Information Technology Systems”

NIST SP 800-80 “Guide for Developing Performance Metrics for Information Security”

ISO 27004 “Information Security Management Measurement”

ISO/IEC 21827, Information technology – Systems security engineering – Capability Maturity Model Capability Maturity Model (SSE-CMM)


Инициативы американских военных и спецслужб по измерениям ИБ

CJCSI 6510.04 и 3401.03 (для МинОбороны США)

DoD IA Metrics Program

Инициативы Office of the Assistant Secretary of Defense (Network and Information Integration)

Инициативы Department of the Navy Chief Information Officer

Mission Oriented Risk and Design Analysis (MORDA)

DHS National Infrastructure Protection Program (NIPP)

DHS/DoD/NIST Software Assurance Measurement Working Group


Инициативы американских военных и спецслужб по измерениям ИБ

US-CERT Cyber Security Metrics for Control Systems

NASA Jet Propulsion Laboratory Information Security Metrics Program

NASA Deputy CIO Information Security Performance Measures


Отраслевые инициативы по измерениям ИБ

Corporate Information Security Working Group Metrics Team

OWASP Application Security Metrics Project

CIS Security Metrics Initiative

Securitymetrics.org

MS DREAD и MS RASQ

Institute for Security and Open Methodologies (ISECOM) Risk Assessment Values (RAV)

@Stake BAR


Отраслевые инициативы по измерениям ИБ

EDUCAUSE/Internet 2 Security Task Force Sub-Working Group on Security Metrics

Web Application Security Metrics Framework

SecMet

Institute for Information Infrastructure Protection (I3P) Taxonomy of Security Metrics for Process Control Systems

Department of Public Safety and Emergency Preparedness Canada Taxonomy

VTT Technical Research Centre of Finland Security Metrics Taxonomy for R&D Organizations


Прямая и косвенная отдача



Преимущества для бизнеса и использование преимуществ – это разные вещи

Снижение арендной платы уменьшение арендуемых площадей перевод сотрудников на дом решение по защищенному удаленному доступу


Аренда площадей

Питание сотрудников

Оплата проездных (если применимо)

Оплата канцтоваров

Принятие решения о переводе принимает менеджмент

Надо не только предлагать решение, но и продвигать его



Статья экономии Человека/часов Цена*

Идентификация несоответствующих компьютеров 1.0 $12.00

Определение местоположения несоответствующих

компьютеров 1.0 $12.00

Приведение в соответствие 2.0 $24.00

Потенциально сэкономленные затраты на 1 компьютер $48.00

ИБ дала возможность сэкономить, но…

…воспользовался ли бизнес этой возможностью?


Что дальше?


Что дальше?

Измерения и метрики не нужны сами по себе

Измерения нужны для принятия решений

Не готовы к действиям – не внедряйте программу измерения эффективности ИБ

Пример

Метрика - число уязвимых ПК в финансовом департаменте за прошедший квартал

Готовы ли мы внедрить процесс управления патчами для этих ПК?

Готовы ли мы регулярно оценивать уязвимости и ставить новые патчи?


А что после выбора метрик?

Цель Метрика Целевое значение Инициатива

Улучшить управление

рисками

# инцидентов

безопасности

< 7 в квартал Обучение

пользователей

% систем защиты,

отданных на аутсорсинг

43% Заключение SLA на

аутсорсинг ИБ

Улучшение управления

проектами

% проектов,

завершенных в срок

95% Увеличить число

сертифицированных

специалистов по

управлению проектами

% проектов,

выполненных в рамках

бюджета

95% Внедрение PMO в

отделе

Повысить уровень

бизнес-знаний в службе

ИБ

% сотрудников,

прошедших MBA

25% Обучение MBA

Количество Business

Relations Manager (BRM)

1 Изменение оргштатной

структуры отдела

Compliance Соответствие ISO 27001 Получение сертификата

через год

Обучение по ISO 27001

Внедрение compliance-

решения

Улучшение операций % сбоев в системе

защиты

< 5 в квартал Внедрение системы

контроля качества


Заключение


Пять принципов измерений ИБ

Метрики – это середина, а не конец… Метрики – это середина, а не конец…

Думай по-крупному, но начни с малого… Думай по-крупному, но начни с малого…

Снижай неопределенность, а не повышай ее… Снижай неопределенность, а не повышай ее…

Уважение надо заслужить, а не получить… Уважение надо заслужить, а не получить…

Метрики приводят к другим метрикам… Метрики приводят к другим метрикам…


Прогресс и изменения

Все жаждут прогресса, но никто не хочет изменений

Люди инертны

Склонны верить тому, что узнали в самом начале (ВУЗе, первой работе и т.д.)

Ленивы и не будут упорно трудиться ради изменений

Людей устраивает средний результат. Это зона комфорта. Best Practices никому не нужны (как и мировые рекорды)

Люди считают свои решения лучшими

Чтобы пересмотреть точку зрения, человека надо долго переубеждать или показать воочию

Изменения происходят не вдруг – имейте терпение


Новый взгляд на безопасность


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 495 961-1410
