Несколько слайдов про измерение ИБПрозоров Андрей, CISM

Руководитель экспертного направленияКомпания Solar Security

Мой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave

2015-11

solarsecurity.ru +7 (499) 755-07-70 2

Почему мы редко измеряем ИБ?

А зачем? Нас этому не учили Нет примеров, мало рекомендаций Слишком сложно Нет универсального решения Нет времени / ресурсов, другие приоритеты Мы к этому пока не готовы Руководители не просили Пробовали, слишком трудозатратно …

Тема не проста…

solarsecurity.ru +7 (499) 755-07-70 3

Почему все же измеряем ИБ?

• Необходимо обосновывать бюджеты на ИБ

• Хотим выявлять "проблемные" области в системе ИБ для дальнейшего совершенствования

• Есть формальные требования

• …

Главное не скатиться в «измерения ради измерений»

solarsecurity.ru +7 (499) 755-07-70 4

Универсального решения

(методологии)НЕ СУЩЕСТВУЕТ

solarsecurity.ru +7 (499) 755-07-70 5

Варианты измерения ИБ. А кто Заказчик?

№ Измерение ИБ Глобальная цель Потребитель1  Уровень рисков ИБ Определить приоритеты ИБ CISO2  Метрики контролей

(доменов ИБ)Выявить отклонения в нормальной работе ИБ, определить области ИБ для совершенствования

CISO

3  Метрики процессов ИБ  Выявить отклонения в нормальной работе процессов ИБ, определить приоритеты по их совершенствованию 

CISO, CIO

4  Процент выполненных мер (compliance)

Комплексно оценить состояние ИБ, отчитаться о выполнении требований

CISO, Legal, Internal Auditor, Compliance officer, Regulators

5  Уровень ИБ (самооценка) Понять текущее состояние ИБ CISO, Compliance officer, Regulators

6  Уровень зрелости процессов ИБ

Оценить текущий уровень процессов ИБ, определить приоритеты по их совершенствованию

CISO, CIO, CEO

7  Уровень возможностей процессов ИБ

Оценить текущий уровень процессов ИБ, определить приоритеты по их совершенствованию

CISO, CIO, CEO

8  Количество инцидентов ИБ Понять актуальность угроз ИБ и отчитаться об инцидентах

CISO, Compliance officer, Regulators

9  Ущерб от инцидентов Количественно оценить ущерб от произошедших инцидентов

CISO, CFO, CEO

10  Экономика проектов ИБ Выбрать оптимальное решение CISO, CIO, CFO, CEO11  Показатели проектов ИБ Контролировать реализацию проектов ИБ CISO, CIO, PM12  Выгоды для бизнеса

(оптимизация операционных рисков, оптимизация ресурсов, прочие выгоды)

Обосновать бюджеты ИБ CISO, CFO, CEO, CTO, COO

solarsecurity.ru +7 (499) 755-07-70 6

CISO - основной потребитель результатов измерений

ИТ/ИБ специалисты

CISO

«Бизнес»

solarsecurity.ru +7 (499) 755-07-70 7

Есть ощущение, что использование сбалансированной системы метрик контролей (доменов) ИБ / процессов ИБ является наиболее эффективным, хотя и не самым простым, вариантом…

solarsecurity.ru +7 (499) 755-07-70 8

Интегральные показатели

Степень эффективности управления

инцидентами

Степень защищенности

ресурсов

…

Степень уязвимости ресурсов

Степень защищенности активов от

вредоносного ПО

% хостов с активным

антивирусным ПО% устраненного

вредоносного ПО

…

% хостов с критичными

уязвимостямиСреднее время устранения критичных

уязвимостей…

% критичных инцидентов в

единицу времени% инцидентов, не

разрешенных вовремя

…

«Сыр

ые»

данн

ые о

т ис

точн

иков

Показатели 1 уровня Показатели 2 уровня Показатели 3 уровня

Степень соответствия бизнес целям

Эффективность внедренных

мер

Solar InView

solarsecurity.ru +7 (499) 755-07-70 9

Шаги по построению системы измерения

1. Решить, что готовы к измерению ИБ

2. Определить заинтересованных лиц и их ожидания

3. Определить перечень внутренних и внешних требований

4. Определить цели измерений ИБ

5. Определить перечень возможных источников данных

6. Определить группы (домены) метрик и показателей

7. Определить перечень метрик и показателей

8. Определить перечень интегральных показателей

9. Определитель средние значения метрик и показателей для вашей отрасли 

10.Определить граничные значения показателей

11.Попробовать собрать результаты измерений

12.Пересмотреть систему метрик и показателей

13.Еще раз попробовать собрать результаты измерений

14.Провести анализ представленных данных

15.Пересмотреть граничные значения показателей

16.Представить результаты заинтересованным лицам

17.Принять управленческое решение по результатам анализа (при необходимости)

18.Окончательно утвердить перечень метрик и показателей, граничные и целевые значения

19.Утвердить периодичность оценки и формат представления данных

20.Регулярно пересматривать и совершенствовать систему измерения ИБ

solarsecurity.ru +7 (499) 755-07-70 10

Гипотеза про уровень зрелости

Если не достигли стабильного «3» уровня зрелости процессов ИТ и ИБ, то для измерения лучше использовать не систему метрик, а КЕЙСЫ

solarsecurity.ru +7 (499) 755-07-70 11

ИБ для бизнеса. Считаем кейсы

Оптимизация рисков Оптимизация ресурсов Получение выгод

(benefits)

Важно: доверие к CISO и прозрачность методологии

solarsecurity.ru +7 (499) 755-07-70 12

Пример TCO для SOC

Спасибо за внимание!Прозоров Андрей, CISM

Мой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave