Оценка эффективности и метрики ИБ

Анна Костина
руководитель направления
управленческого консалтинга
Центра информационной безопасности
компании "Инфосистемы Джет"

Затронувший Россию мировой экономический кризис существенно изменил бизнес-процессы многих компаний, в том числе и связанные с информационной безопасностью. Организации стали более тщательно следить за расходами и за прозрачностью использования ресурсов. Все чаще встают вопросы о том, насколько эффективны и результативны   решения   по обеспечению ИБ, которые уже внедрены в компании. Можно ли без покупки и внедрения новых мер, а следовательно, и без новых затрат, скорректировать работу уже внедренных средств защиты для наиболее успешного выполнения задач, поставленных бизнесом перед подразделениями ИБ? Как определить, что вносимые изменения и корректировки приводят к требуемому результату?

Решение этих вопросов подталкивает специалистов по информационной безопасности к необходимости более глубокого понимания бизнеса и использования собственных управленческих механизмов. Основным таким механизмом в области ИБ является система управления информационной безопасностью (СУИБ) или же ее отдельные процессы. Безусловно, комплексную и целостную СУИБ трудно сравнивать с отдельным ее процессом. Однако, реализовав даже один из ее процессов, направленных на оптимизацию расходов по обеспечению ИБ, снижение прогнозируемых и непрогнозируемых потерь, можно получить ощутимые выгоды. Например, внедрив процесс оценки результативности и эффективности мер по обеспечению и управлению информационной безопасностью.

Метрики ИБ и оценка эффективности

Процесс базируется на использовании метрик и на их регулярной оценке и сопоставлении с целевыми, то есть желаемыми значениями. Казалось бы, все достаточно просто. Но, как сказал Боккаччо: "Исчерпать сей предмет невозможно: уж, кажется, насказано много, ан нет – недосказано еще больше".

Что же такое метрика? По сути, это инструмент, позволяющий взвешенно и объективно принимать управленческие решения по улучшению работы мер и процессов по обеспечению ИБ. Отслеживая метрики на регулярной основе, можно выявить недостатки (или потенциальные недостатки) в процессах обеспечения ИБ и принять своевременные и обоснованные меры по их улучшению и устранению коренных причин возникших отклонений. Также это позволяет отследить, как вносимые изменения отражаются на работе процесса, и продемонстрировать, каким образом деятельность по обеспечению информационной безопасности вносит вклад в достижение целей бизнеса компании.

Правда, понять, какие именно метрики необходимо отслеживать и как их сформулировать, не такая уж и простая задача. Прежде всего необходимо определить, что мы будем отслеживать. В международных стандартах и рекомендациях часто употребляются понятия effectiveness и efficiency, которые в русском языке нередко без разбора именуют эффективностью. Но разница между ними тем не менее существует. Так под effectiveness понимается результативность, то есть соответствие результатов работы процесса или меры обеспечения ИБ заранее определенным ожиданиям. А efficiency, в свою очередь, отражает, насколько оптимально используются ресурсы для достижения необходимого результата. Выходит, что сначала необходимо отслеживать достижение поставленных целей, и лишь потом – как именно они достигаются, и является ли используемое для этого решение оптимальным.

Какими должны быть метрики

Так какими должны быть сами метрики, чтобы их оценка давала результаты, которые действительно можно будет использовать для принятия решений? Хорошие метрики безопасности прежде всего должны быть воспроизводимыми. Это означает, что, применив при оценке один и тот же метод и одинаковый набор исходных данных, разные люди должны получить эквивалентные результаты. Метрики по возможности не должны зависеть от субъективных суждений экспертов.

Помимо этого, не стоит забывать, что метрики все-таки надо высчитывать. Важно, чтобы периодичность их оценки и усилия, прикладываемые к их вычислению, были сопоставимы. Не нужно усложнять формулы метрик, которые оцениваются достаточно часто. Также следует избегать качественных значений для метрик, необходимо стремиться к их количественному выражению. Качественные значения, такие как "низкий", "средний", "высокий", могут использоваться для наглядности, например, в презентациях для руководства. Но они всегда должны быть только лишь дополнением к количественным оценкам и ни в коем случае не заменять их. Необходимо также отметить, что правильно сформулированные метрики должны иметь выражение в неких единицах измерения, связанных с оцениваемой величиной. Например, это может быть количество в штуках, стоимость в денежных единицах, длительность в единицах времени и т.д. Использование более одной единицы измерения позволяет получать более показательные и информативные оценки. Например, "количество корректирующих действий, выполненных в срок, за квартал".

Выполняя все эти рекомендации при формулировании метрик, важно не забыть самое главное – они должны быть конкретными, ясными, иметь непосредственное отношение к измеряемому процессу. А также быть направленными на то, чтобы результаты их оценки давали как можно больше информации: что не так в проблемной зоне и как изменить ситуацию к лучшему. Помимо этого, следует внимательно отнестись к определению целевого значения метрики. На разных этапах работы меры или процесса, а также на разных уровнях их зрелости целевые значения могут существенно изменяться. По нашему опыту, можно говорить о том, что при внедрении какого-либо нового процесса порог, по которому отслеживается возможное отклонение, может быть гораздо ниже, чем для уже внедренного и совершенствующегося.

Метрики – инструмент диагностики

После того как мы разобрались в том, какими должны быть сами метрики и какие результаты должны быть получены при их оценке, сразу же встает вопрос: сколько метрик должно быть? Как выбрать их оптимальное количество, насколько детальными они должны быть? По опыту проектов компании "Инфосистемы Джет", для того чтобы отслеживать результативность и эффективность процессов и мер обеспечения ИБ, не стоит сильно распыляться и сразу придумывать множество метрик, оценка которых потребует существенных трудозатрат без ощутимой отдачи. Для основных процессов и мер должны быть определены несколько метрик, которые смогут вовремя сигнализировать об отклонениях или потенциальных отклонениях.   Таким   образом, увидев, что существует некоторое отклонение, для целей диагностики можно оперативно ввести дополнительные метрики, которые позволят более тщательно диагностировать проблемы в работе оцениваемого процесса или меры по ИБ, заранее определив периодичность их оценки и критерии, при выполнении которых надобность в отслеживании этих метрик отпадет. Таким образом, можно получить очень гибкий инструмент диагностики процессов и мер ИБ. Работа с ним будет схожа с работой врача-терапевта, который, проводя осмотр пациента, по мере надобности назначает ему анализы, исследования и консультации с профильными специалистами. Как только врач находит причину недомогания с помощью своих дополнительных "метрик", он проводит необходимое лечение, по завершении которого оценивает результаты, снимает свои назначения и отпускает своего исцелившегося пациента.

Определив и сформулировав необходимые метрики, мы сталкиваемся с необходимостью их периодического оценивания и вычисления. Для этого потребуется собирать достаточно большой объем исходной информации, хранящейся в совершенно разных местах: в базах данных, в логах систем, в отчетах подразделений и т.д. Для сбора этих данных и их обработки можно использовать средства автоматизации, однако нужно аккуратно подходить к их выбору, четко понимая возможные ограничения в решении данной задачи. Как мы убедились на своих проектах, при использовании средств автоматизации можно получить ряд выгод: точность и воспроизводимость результатов, возможность проводить измерения с большей частотой, прозрачность процесса получения значений отслеживаемых метрик, снижение трудозатрат на выполнение оценки эффективности.

Заключение

Итак, обсудив непосредственно сами метрики, вспомним, что изначально мы говорили о процессе оценки эффективности мер и процессов обеспечения информационной безопасности. Естественно, что расчет метрик не является самоцелью процесса. Весь процесс направлен на то, чтобы предоставлять информацию, на основе которой будут приниматься управленческие решения в части ИБ. Выстраивая процесс оценки эффективности, необходимо сразу же продумать, как будут анализироваться результаты его работы, каким образом и кем будут приниматься решения по улучшению ИБ, как будут оцениваться результаты вносимых изменений. Без этого ценность процесса оценки эффективности можно подвергнуть сомнению.

Разрабатывая процесс оценки эффективности ИБ, организация должна быть готова к необходимости принятия управленческих решений и их выполнения. Возможно, даже не только в части ИБ. Только в этом случае оценка эффективности с использованием метрик становится гибким и удобным инструментом для оценки процессов и мер обеспечения ИБ. Причем здесь можно говорить как о мелких корректировках отклонений в работе конкретных мер по ИБ, так и о существенных изменениях. Их внедрение позволяет обеспечить работу процессов информационной безопасности в соответствии с ожиданиями и целями бизнеса, обоснованно расходуя ресурсы. При этом всегда есть возможность отслеживать, приносят ли прилагаемые усилия необходимый результат.