Настоящая статья посвящена рассмотрению вопроса об оценке состоятельности системы менеджмента информационной безопасности (далее — СМИБ) на предприятиях. Предложен метод оценки, имеющий количественные и качественные показатели зрелости процессов, что позволяет наиболее объективно выяснить текущий уровень СМИБ предприятия и продемонстрировать результаты в формах представления информации, понятных для руководителей и специалистов различного профиля. В качестве инструмента количественного измерения процессов использованы математические формулы и коэффициенты. В качестве инструмента качественного измерения процессов использована модель CMMI. Приведены аргументы обоснованности применения комбинированного метода и примеры соответствующих расчётов. Актуальность работы связанна с универсальностью и относительно низкой сложностью адаптации представленного метода к предприятиям различного профиля, что может вызвать заинтересованность научного сообщества к его применению.
Ключевые слова: СМИБ, CMMI, информационная безопасность, процессы, зрелость, оценка, уровень, ИБ, метод, модель, домен.
Мы переживаем абсолютно революционный этап прорыва в сфере информационных технологий, который стремительно вытесняет, привычный многим, жизненный уклад. Интенсивная информатизация влияет на все сферы деятельности современного мира и диктует свои правила по трансформации производств, рабочих мест, образовательных программ, специальностей и профессий.
Исключительным плюсом этого является возможность обмена информацией практически с любой точки земного шара. Но в рамках такого обмена есть и соответствующие риски, связанные с проблемами обеспечения безопасности информации. Одним из таких рисков является эксплуатация уязвимостей (не декларированных возможностей) информационных систем и технологий, которые могут приводить к масштабным потерям активов, а так-же ощутимому репутационному ущербу. Процессы идентификации и предотвращения таких рисков, лежат на плечах специалистов по информационной безопасности, впрочем, как и управление информационной безопасностью в целом.
Логично предположить, что внедрение таких процессов не рационально без предварительной оценки их текущего уровня, а также их согласованности с отраслевыми и законодательными требованиями. В противном случае ликвидируя одни риски есть вероятность создать другие. Оценка процессов информационной безопасности на начальном этапе, позволяет более качественно проводить планирование мер по их внедрению, а в промежуточных этапах реализации оценить их эффективность. Таким образом, с точки зрения менеджмента, оценка процессов информационной безопасности играет весьма важную роль.
Исследованиями в области проведения оценки, анализа и измерений СМИБ, а также её процессов, занимались многие российские учёные, такие как Дорофеев А. В., Марков А. С., Рытов М. Ю., Минзов А. С., Гугелев А. В., Можаев О. А., Лившиц И. И. и другие.
Необходимость выполнения измерений СМИБ, пригодных для получения достоверных, унифицированных оценок с применением стандартов серии 27000 упоминалась в работах Лившиц И. И. [1].
Важность оценки СМИБ путем обеспечения комплексного подхода с учётом требований ИСО/МЭК 27000 отмечал в своих трудах Шаго Ф. Н. [2].
Дмитриева М. А. в своей научной статье пишет, что оценке зрелости процессов обеспечения информационной безопасности нужно отвести особую роль, поскольку в случае, если предприятие планирует развитие потребительского рынка и внедрение инновационных разработок, риски утечек информации существенно увеличиваются [3].
Основными проблемами в вопросах оценки уровня состоятельности СМИБ, на сегодняшний день являются:
Отсутствие в измерениях согласованности с лучшими мировыми практиками и\или требованиями законодательства
Отсутствие взаимосвязи уровня СМИБ с выполнением стратегических целей предприятий
Рассмотрение оценки и измерений определенных процессов СМИБ, а не СМИБ в целом
Методы оценки процессов слабо адаптируемы для широкого круга специалистов в силу специфичности критериев
Оценка процессов производится по булевым показателям (выполнено — не выполнено), что слабо выражает понимание о качестве измеряемых процессов
В настоящей статье рассматривается оценка процессов СМИБ, предусмотренных в национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 27001–2021: «Системы менеджмента информационной безопасности. Требования». Этот стандарт русифицирован и полностью идентичен международному стандарту ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements», IDT). Данный ГОСТ входит в семейство стандартов ISO/IEC 27000 и включает в себя лучшие мировые практики по организации, внедрению и измерению СМИБ, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области [4].
Иерархия мер, в выбранном нами ГОСТ, представляет собой строго подчиненную структуру, состоящую из «доменов» на самом верхнем уровне и самих «мер» на самом нижнем уровне. Иерархия домена имеет следующий вид (рисунок 1):
Рис. 1. Структура иерархии домена ГОСТ Р ИСО/МЭК 27001–2021
Получение количественного показателя выполняемости мер домена будет формироваться из среднего значения суммы коэффициентов выполнения его мер с последующим преобразованием в процентный эквивалент, где 100 % максимальное и 0 % минимальное значение соответственно. Система количественной оценки продемонстрирована в таблице 1.
Таблица 1
Система количественной оценки
|
Статус выполнения меры |
Вес коэффициента |
|
Не выполняется |
0 |
|
Выполняется частично |
0.5 |
|
Выполняется |
1 |
С точки зрения прагматичности, качественно проведенная оценка может являться веским аргументом при защите бюджета на нужды информационной безопасности. Поэтому наглядность и объективность её результатов должна быть информативна для лиц, принимающих соответствующие решения, которые могут не обладать глубокими знаниями в данной предметной области. Исходя из этого — для получения качественного показателя предлагается использовать модель зрелости CMMI. Данная модель имеет пять уровней зрелости и представляет собой бизнес-инструмент для измерения состоятельности процесса на основе определенного набора критериев, в целом понятного для топ-менеджмента.
Основными достоинствами модели CMMI являются ее простота и универсальность, в отличие от остальных моделей (ITSM, PMM и т. п.), имеющих либо более абстрактные критерии оценки, либо больше подходящие под оценку ИТ менеджмента, разработки, либо направленные на оценку конкретных технологий (SOC, IdM и др.).
Система качественной оценки домена по модели CMMI продемонстрирована в таблице 2.
Таблица 2
Система качественной оценки домена по модели CMMI
|
Уровень зрелости |
Критерии |
Вес коэффициента |
|
Отсутствует (Non-existent) |
Полное отсутствие каких-либо доказательств существования процесса |
0 |
|
Начальный (Initial) |
Предприятие понимает наличие проблем и необходимость их решения. Между тем стандартизованный процесс отсутствует, вместо этого каждый вопрос решается отдельно, специальным способом, который меняется от случая к случаю. Какой-либо организованный подход к управлению отсутствует. Процесс ИБ выполняется на нерегулярной основе |
0.2 |
|
Повторяемый (Repeatable) |
Отсутствует доступ к стандартным процедурам и формальное обучение, ответственность за выполнение задачи лежит на конкретном человеке. В результате степень доверия к профессиональным качествам конкретного человека высока и соответственно велико влияние человеческого фактора |
0.4 |
|
Определенный (Defined) |
Процедуры, связанные с процессом, документированы или документированы частично, планируются и доведены до сведения работников. Сами процедуры несложные и являются лишь описанием практически выполняемых действий |
0.6 |
|
Управляемый (Controlled) |
Имеется возможность осуществлять мониторинг и измерение соответствия фактической реализации процесса разработанным процедурам и принимать те или иные действия в случае несоответствия. Автоматизированные средства используются ограниченно или фрагментарно. Процесс ИБ не только управляется, но и контролируется |
0.8 |
|
Оптимизированный (Optimized) |
Процесс отработан до уровня лучших практик путем постоянного длительного совершенствования и сравнения с показателями других предприятий. Широко используется автоматизация рабочих процессов. Процесс ИБ измеряется и постоянно совершенствуется |
1 |
Применение коэффициента качества следует применять к домену в целом с учётом выполняемости его мер, это позволит оценивать именно домен как процесс, а не качество конкретных мер по отдельности. По сути, один из показателей (качества или количества), при вычислении комбинированного показателя, будет являться корректирующим, что позволит получить более объективные результаты оценки. Формула вычислений комбинированного показателя, с применением количественных и качественных коэффициентов, имеет следующий вид:
где:
k — порядковый номер домена
i — порядковый номер меры домена
x — вес коэффициента количественной оценки
y — вес коэффициента качественной оценки
n — количество мер домена
Для перевода комбинированного показателя в эквивалент уровня «зрелости», с учётом шага коэффициента, была разработана система соответствия комбинированной оценки уровням CMMI (таблица 3):
Таблица 3
Система соответствия комбинированного показателя уровню CMMI
|
Уровень зрелости CMMI |
Диапазон значений комбинированной оценки в процентах |
|
Отсутствует (Non-existent) |
0 |
|
Начальный (Initial) |
1–25 |
|
Повторяемый (Repeatable) |
26–50 |
|
Определенный (Defined) |
51–75 |
|
Управляемый (Controlled) |
76–99 |
|
Оптимизированный (Optimized) |
100 |
Как правило источниками информации, в рамках проведения оценки являются:
результаты интервью со специалистами ИТ и ИБ предприятия;
документация, регламентирующая процессы;
результаты наблюдения за выполнением отдельных процессов;
результаты анализа конфигураций;
результаты опроса пользователей;
свидетельства выполнения процессов (заявки, акты, переписка в электронной почте и т. д.).
Для наглядного примера расчётов проведём получение комбинированного показателя для первого домена (рисунок 2).
Рис. 2. Первый домен — «Политики информационной безопасности»
Данный домен имеет один аспект и две меры. Используя информацию, полученную в ходе предварительного обследования, проводим соответствующие расчёты:
В соответствии с таблицей 3, полученное значение домена «Политики информационной безопасности» соответствует уровню зрелости «Повторяемый». Данный уровень характеризуется как низкий, потенциал его совершенствования довольно высок.
Итоговые результаты оценки СМИБ предприятия, по всем процессам (доменам) СМИБ, с использованием предложенного метода, могут иметь следующий вид (рисунок 3):
Рис. 3. Результаты оценки процессов СМИБ.
Стоит отметить, что важной задачей является повышение уровня зрелости процессов ИБ до уровня зрелости не ниже четвертого. Четвертый уровень является целевым исходя из соображений принципиальной достижимости, т. к. СМИБ является частью общего процесса управления и зависит от уровня зрелости управления процессов предприятия в целом.
Подводя итог можно сделать вывод, что полученные результаты оценки позволяют выявить слабые и сильные стороны СМИБ, соответственно наиболее эффективно планировать меры по совершенствованию процессов и повышению качества СМИБ в целом, что непосредственно способствует повышению уровня безопасности и достижению стратегических целей предприятия.
Литература:
- Лившиц Илья Иосифович, Лонцих Павел Абрамович Формирование метрик для измерения результативности систем менеджмента информационной безопасности // Вестник ИрГТУ. 2016. № 5 (112). URL: https://cyberleninka.ru/article/n/formirovanie-metrik-dlya-izmereniya-rezultativnosti-sistem-menedzhmenta-informatsionnoy-bezopasnosti (дата обращения: 28.07.2023).
- Шаго Федор Николаевич Методика оценки эффективности системы менеджмента информационной безопасности по времени реакции системы на инциденты информационной безопасности // Научно-технический вестник информационных технологий, механики и оптики. 2014. № 4 (92). URL: https://cyberleninka.ru/article/n/metodika-otsenki-effektivnosti-sistemy-menedzhmenta-informatsionnoy-bezopasnosti-po-vremeni-reaktsii-sistemy-na-intsidenty (дата обращения: 28.07.2023).
- Дмитриева Марьям Александровна Применение анализа зрелости информационной безопасности в системе оценки зрелости бизнес-процессов предприятия в целом // Информационная безопасность регионов. 2015. № 3 (20). URL: https://cyberleninka.ru/article/n/primenenie-analiza-zrelosti-informatsionnoy-bezopasnosti-v-sisteme-otsenki-zrelosti-biznes-protsessov-predpriyatiya-v-tselom (дата обращения: 31.07.2023).
- ГОСТ Р ИСО/МЭК 27000–2012. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
- Николаенко Валентин Сергеевич, Мирошниченко Евгений Александрович, Грицаев Руслан Талгатович. Модели зрелости управления проектами: критический обзор // Государственное управление. Электронный вестник. 2019. № 73. URL: https://cyberleninka.ru/article/n/modeli-zrelosti-upravleniya-proektami-kriticheskiy-obzor (дата обращения: 31.07.2023).
- CMMI — Quick Guide: [сайт]. — 2018 — URL: https://www.tutorialspoint.com/cmmi/cmmi_quick_guide.htm (дата обращения: 28.07.2023).
