При рассмотрении системы менеджмента информационной безопасности (СМИБ) подразумевается открытая система, которая постоянно осуществляет обмен (в частности — информационный) с внешней средой, так как СМИБ и создается для эффективного противодействия внешним негативным воздействиям среды на защищаемые активы. Данные воздействия могут быть описаны в пространстве параметров (на практике — метрик), по которому лицо, принимающее решения (ЛПР), объективно судит о состоянии системы в каждый требуемый момент времени

Аннотация

Актуальность публикации вызвана вниманием к проблеме формирования бюджета и оценки результативности систем менеджмента информационной безопасности (СМИБ). Лица, принимающие решения (ЛПР) должны оперировать достоверными результатами выполнения измерений результативности СМИБ, основанными на объективных количественных метриках ИБ. Поставленная проблема имеет известные сложности при формировании численной оценки результативности СМИБ и обеспечении баланса затрат при реализации заданного ЛПР уровня безопасности. В качестве методической базы для выбора метрик ИБ применяются стандарты ISO серии 27000. Результаты исследования могут найти практическое применение при независимой оценке СМИБ.

Abstract

The relevance of this publication called attention to the problem of budget formation and reliable measurement results (assessment) of IT-Security Management Systems (ISMS) effectiveness. Decision-makers (DM) must operate reliable results of ISMS measurement effectiveness based on objective and transparency quantitative IT-Security metrics.

This defined problem has known difficulties in justifying the choice due evaluate the ISMS effectiveness numerically and to ensure a cost balance when IT-Security controls implementing for planned IT-Security level, defined by DM. As a methodological base the choice of IT-Security metrics used ISO 27000 standards series. The results of this issue may find practical application in the independent ISMS assessment.

Ключевые слова: Информационная безопасность, система менеджмента информационной безопасности; метрики; стандарт; измерение результативности.

Key Words: Information Security; Information Security Management System; IT-Security metrics; Standard; effectiveness assessment.

Введение

Проблема выполнения измерений (как процесс оценки) для больших и/или сложных систем рассматривалась в классических трудах Н. Винера, И. Кини, Х. Райфа, И. Пригожина [1– 4]. В работе Н. Винера отмечено требование невмешательства человека в процесс, начиная с момента ввода исходных данных и до получения результата ([1], стр. 47). В работе И. Кини и Х. Райфа важное внимание уделено потоку данных, поступающему уже непосредственно в самом процессе. Рассматривая объект – систему менеджмента информационной безопасности (СМИБ), подразумевается открытая система, которая постоянно осуществляет обмен (в частности – информационный) с внешней средой, иначе говоря, СМИБ создается для эффективного противодействия внешним негативным воздействиям среды (возмущениям) на защищаемую систему. Данные воздействия (возмущениям) описываются в пространстве параметров (метрик), по которому наблюдатель – лицо, принимающее решения (ЛПР) объективно судит о состоянии системы в каждый требуемый (дискретный) момент времени или на определенный прогнозный интервал.

1. Постановка задачи

В настоящее время опубликовано достаточно материалов, посвященных проблеме измерения и формирования оценок результативности СМИБ [5 – 9], [10 – 11]. В ряде публикаций [8, 9] отражены подходы к управлению измерениями в системах менеджмента (СМ), организации системы аудитов информационной безопасности (ИБ) и анализа со стороны руководства. Показано, что эти же подходы могут быть применены и в интегрированных системах менеджмента (ИСМ) [12 – 13]. Нормативная база для решения данной проблемы – стандарты ISO серии 27000 [14 – 17], а также рекомендации NIST серии 800-53 [18].

2. Сложности формирования методик измерения результативности СМИБ

Сложности формирования методики измерений результативности СМИБ заключаются в том, что требуется, минимально:

1. Сформировать методику измерения, дающую воспроизводимые и достоверные результаты оценки;

2. Предложить метод сравнения с мерой (различных разновидностей – дифференциальный, замещения, дополнения, совпадения и пр.);

3. Доказать ЛПР, что выделенный бюджет на СМИБ позволяет достигать поставленных задач обеспечения ИБ;

4. Определить перечень применяемых средств измерений, алгоритмов обработки результатов измерений и оценки показателей точности.

Очевидно, формируемая методика выполнения измерений должна объективно оценивать СМИБ со стороны заинтересованных сторон. Для процесса формирования, анализа и сравнения метрик ИБ «базовым» является применение «целевого» стандарта ISO [15]. Ниже представлена методика измерения результативности СМИБ и пример формирования численных (количественных) показателей (метрик ИБ) для выполнения независимой оценки [10, 20].

3. Анализ существующих подходов к оценке бюджета ИБ

Отметим одну из практических задач измерения результативности СМИБ – обоснование выделяемого бюджета на обеспечение ИБ. По достоверным объективным оценкам (ISO, Reuters, Osterman Research, PwC) [5 – 9, 24], бюджет ИБ составляет до 10 % от бюджета на информационные технологии (ИТ). В частности, в отчете [9] приводятся оценки бюджета на обеспечения ИБ в диапазоне от 3,6% до 3,8 % от бюджета ИТ в течение периода измерений 2010 – 2014 гг. Характерно, что максимальное значение бюджета ИБ составляет 6,9 % в промышленной отрасли (Industrial product) по данным за 2014 г. В тоже время, необходимо отметить, что эти оценки не коррелируют с оценкой динамики роста количества инцидентов например, среднее количество детектированных инцидентов ИБ в отрасли энергетики возросло с 1.179 (2013 г.) до 7.391 (2014 г.), т.е. на 526 % [9].

ЛПР логично полагают уместным не тратить значительные средства на реализацию технических систем обеспечения ИБ, когда можно реализовать только организационные меры. По данным [24], в организациях реализованы следующие процедуры ИБ (см. Табл. 1):

Таблица 1. Перечень процедур СМИБ

№ п.п.	Применяемая процедура	Доля, %
1.	Корпоративная политика управления инцидентами	63%
2.	Назначение менеджера по инцидентам ИБ и формирование команды реагирования на инциденты ИБ	54%
3.	Ведение протокола для идентифицированных активов, в отношении которые было выявлено нарушение ИБ	46%
4.	Ведение протокола информирования о нарушениях ИБ деловых партнеров, клиентов и иных заинтересованных сторон	45%
5.	Идентификация заинтересованных сторон, которые могут помочь в процессе расследования инцидентов ИБ	38%

Таким образом, в наилучшем варианте представители службы ИБ располагают достоверными оценками на имеющийся (планируемый) комплекс мер (средств) обеспечения ИБ, исходя из выполненной оценки рисков (как это требуется [17]), в наихудшей ситуации вниманию ЛПР представляется оценки прошлого года с прогнозом (примерным трендом) развития противоборствующих техник. В отчете [5] представлены следующие оценки (см. Табл. 2):

Таблица 2. Оценки бюджета

№ п.п.	Оценки бюджета ИБ со стороны ЛПР	Динамика, %
1.	Бюджет на 2015 будет значительно больше, чем бюджет 2014	13 %
2.	Бюджет на 2015 будет немного больше, чем бюджет 2014	38 %
3.	Бюджет на 2015 будет таким же, как бюджет 2014	48 %
4.	Бюджет на 2015 будет немного меньше, чем бюджет 2014	1 %
5.	Бюджет на 2015 будет значительно меньше, чем бюджет 2014	0 %
Всего		100 %

4. Методика выполнения измерений результативности СМИБ

С учетом изложенного выше, методика выполнения измерений СМИБ должна основываться на атрибутах выбранных объектов измерений (п. 5.4.2. стандарта [16]). Дополнительным параметром для оценки результативности является ограничение бюджета СМИБ. Примерами объектов измерений могут служить, например:

§ результативность мер и средств контроля и управления в СМИБ;

§ степень удовлетворенности уровнем ИБ заинтересованных сторон.

Термин «мера и средство контроля и управления» точно соответствует ГОСТ Р ИСО/МЭК 27000-2012 (п. 2.10), как перевод английского термина «control» [15]. Метод измерений может использовать объекты измерений и атрибуты из разнообразных источников, например: сообщения об инцидентах, особенно, о тех, вследствие которых был причинен ущерб [10, 13, 20]. Для примера выберем ряд мер и средств контроля и управления ИБ в соответствии с требованиями стандарта ISO [15]. Выбор именно этого множества обоснован, во-первых, акцентированием на полном замкнутом «мини-цикле» PDCA для контроля жизненно важных для организации активов, во-вторых, применением практически в любой СМИБ с малой вероятностью исключения из «Заявления о применимости» (Statement of Applicability, [15]), и, в-третьих, достаточностью для объективного и подробного рассмотрения примера системы метрик ИБ и измерения результативности СМИБ. Результаты представлены в Табл. 3.

Таблица 3. Меры и средства контроля и управления ИБ

№ п.п.		Мера и средство контроля и управления ИБ	Пункт стандарта	Объект
1.		Договорными соглашениями с работниками, и подрядчиками должны определять их ответственность в поле ИБ	A.7.1.2	Персонал
	2.	Должны быть определены владельцы всех активов, включенных в реестр активов	A.8.1.2	Активы
	3.	Должно быть принято решение о классификации события ИБ как инцидент ИБ	А.16.1.4	Инциденты ИБ
	4.	Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии СМИБ	9.2	Внутренний Аудит
	5.	При появлении несоответствия организация должна определить причину несоответствия реализовать любые необходимые корректирующие действия	10.1	Корректирующие действия

На основании сформированных на базе теории «элитных групп» [23] мер и средств контроля и управления ИБ, предложим несколько метрик для измерения результативности СМИБ (здесь и далее – на интервал месяц), результаты представлены в Табл. 4.

Таблица 4. Метрики ИБ

№ п.п.	Метрика ИБ	Индекс	Пункт стандарта
1.	Кол-во инцидентов ИБ	И1	А.16.1.4
2.	Кол-во повторных инцидентов ИБ	И2	А.16.1.4
3.	Кол-во выполненных аудитов СМИБ	А1	9.2
4.	Кол-во запланированных корр. действий	К	10.1
5.	План выполнения внутренних аудитов	П1	9.2
6.	План выполнения корр. действий	П2	10.1

Далее на примере обязательной процедуры «Корпоративная политика управления инцидентами» (наибольшая доля, см. Табл. 1) с учетом допущения о неизменности бюджета СМИБ (наибольшая оценка, см. Табл. 2), с учетом предложенных мер и средств контроля и управления ИБ (см. Табл. 3) и сформированных метрик ИБ (см. Табл. 4) предложим методику выполнения измерений результативности СМИБ. Описание шагов представленной методики отражено в Табл. 5.

Таблица 5. Методика измерения результативности СМИБ

№ п.п.		Шаг методики измерения	Результат действия
1.		Определение назначения и области применения методики	Формирование назначение Формирование область применения
	2.	Определение измеряемой процедуры в СМИБ	Выбор процедуры (заполнение Табл. 1) Бюджетные ограничения (заполнение Табл. 2)
	3.	Определение объектов измерений	Выбор объектов измерения (заполнение Табл. 3)
	4.	Определение атрибутов объектов измерений	Формирование Иij,, где i – номер объекта, j – номер атрибута; например И11 – атрибут количества инцидентов ИБ И21 – атрибут количества повторных инцидентов ИБ
	5.	Определение метода измерения и структуры измерительной системы	Подсчитать кол-во (инцидентов) И21 по отношению к И11; Подсчитать кол-во (аудитов) А11 по отношению к плану П1;
	6.	Определение основной меры измерений	Норма аудитов А11 / П1, завершенная на установленную дату
	7.	Определение функции измерения	Количество А11 и К11 на установленную дату
	8.	Определение производной меры измерения	Статус выполнения А11 и К11 на установленную дату
	9.	Формирование аналитической модели	Делить И21 на ход выполнения А11 и К11 на установленную дату;
	10.	Определение метрик (показателей) ИБ	Тренд по своевременности аудитов А11 и достаточности корр. действий К11 для повторных инцидентов И21
	11.	Определение критериев принятия решения	Более 0,9 – тренд нормальный; Равно и менее 0,9 – необходимо срочно изменение в плане аудитов П1 и корректирующих действий П2
	12.	Определение результатов измерений	Тренд понижения говорит о недостаточном контроле, а тренд неубывающий говорит о достаточном контроле процедуры контроля инцидентов ИБ.

Решение поставленной задачи – оценка результативности СМИБ, может быть продемонстрировано как оптимизация количества применяемых метрик ИБ, увеличение скорости выполнения оценки и «выдачи» оптимальных управляющих воздействий ЛПР, повышение экономической эффективности бюджета для обеспечения заданной результативности СМИБ. Заметим, что предложенное решение поставленной задачи позволяет дополнительно исправлять ошибки методом локализации обратным процессом, как показано в работе Н. Винера ([1], стр. 222). Локализация ошибки начинается с точки, где она замечена, но крайне важно обеспечить, чтобы проверка и отработка выявленной ошибки шла с такой же скоростью, как и сам процесс; иначе «эффективная скорость» процесса измерения (в составе СМИБ или ИСМ) снижается из-за более медленного процесса аудита ИБ.

5. Оценка результативности СМИБ

Стандарт ISO требует от организации определять, «каким образом проводить измерение результативности выбранных мер и средств контроля и управления ИБ и их групп» [15]. Также рекомендуется, чтобы не выделялись чрезмерные ресурсы в ущерб основной деятельности, и текущая деятельность, связанная с постоянными измерениями, была интегрирована в плановую деятельность организации с привлечением минимальных дополнительных ресурсов (п. 8.2 стандарта [16]).

Очевидно, что экономия ресурсов на обеспечение измерений СМИБ должна приводить к выполнению целей измерений, связанных с ИБ, и получению оценки результативности реализованной СМИБ (п. 5.1. b) стандарта [15]). Меры и средства контроля и управления ИБ, выбранные на основании теории «элитных групп» [23] в рамках программы измерений, на практике следует непосредственно связывать с функционированием «конкретной реализации» СМИБ, а также процессами основной деятельности организации. В формуле (4) предложено формировать общую оценку результативности СМИБ как последовательное суммирование всех частных оценок результативности внедренных мер и средств контроля и управления ИБ, получаемых в результате выполнения аудитов всех типов. Двойное суммирование отражает выполнение оценки сначала по всем мерам и средствам контроля и управления ИБ в рамках одного типа аудита, затем – формирование итоговой оценки по всем типам аудитов. Соответственно, оценка результативности СМИБ (как безразмерная величина 0 ≤ К_СМИБ ≥ 1) может быть измерена по формуле следующего вида:

где:

И_тек – кол-во выявленных инцидентов ИБ за текущий период;

И_баз – кол-во инцидентов ИБ за предыдущий период;

i (1, m) – перечень мер и средств контроля и управления ИБ;

k (1, 3) – виды аудитов (первой, второй и третьей стороной);

М _{ИБ ik} – стоимость i-меры и средств контроля и управления ИБ;

α_ik – оценка результативности i-меры (средства) контроля и управления ИБ по итогам k-аудита;

j (1, n) – перечень защищаемых активов;

А_j – стоимость защищаемого актива;

V_j – оценка значимости для бизнеса защищаемого актива.

Метрика оценки результативности α_ik также является безразмерной величиной, имеющей значение в диапазоне 0 ≤ α_ik ≥1. Формула (1) позволяет оценить результативность СМИБ в текущей конфигурации scope и сопоставлять (в графическом и/или аналитическом виде) отношения по состоянию до внедрения СМИБ и любой последующий год. На рис. 1 показан пример расчета результативности СМИБ по формуле (1).

Рисунок 1 – Расчет результативности СМИБ по формуле (1)

В частности, показано, как при реализации программы измерений в соответствии с [16] уровня результативности СМИБ возможно оперативное снижение количества инцидентов ИБ (например, с 40 до 8), что обеспечивается внедрением результативных мер и средств контроля и управления ИБ, и что позволяет, в конечном итого, увеличить результативность СМИБ с 46% до 90%. Важно, что предложенная методика выполнения измерений результативности СМИБ позволяет реализовать в режиме, близком к режиму реального времени поставленную задачу в пределах одного «замкнутого» цикла PDCA, длительность которого определяется решением ЛПР, доступными ресурсами и перечнем мер и средств контроля и управления ИБ.

6. Вывод

Предложенная методика выполнения измерений результативности СМИБ, основанная на системе численных показателей (метрик) ИБ, дополняет существующие методы выполнения аудитов в соответствии с известными стандартами ISO 19011 и позволяет формировать оценку результативности СМИБ в статическом и динамическом (прогнозном) вариантах в режиме, близком к режиму реального времени.

---

Список литературы

1. Винер Н. Кибернетика, или управление и связь в животном и машине. – 2-е издание. – М.: Наука; Главная редакция изданий для зарубежных стран, 1983. – 344 с.

2. Р.Л. Кини, Х. Райфа. Принятие решений при многих критериях: Предпочтения и замещения: Пер. с англ./ Под ред. И.Ф. Шехнова. – М.: Радио и Связь. 1981. – 560 с.

3. Пригожин И., Стенгерс И. Время. Хаос. Квант. К решению парадокса времени. М.: Едиториал УРСС, 2003. – 240 с.

4. Николис Г., Пригожин И. Познание сложного. Введение. М., Мир, 1990. – 345 с.

5. Официальный сайт PwC. URL: www.pwc.com/gx/en/consulting-services/information-security-survey/index.jhtml (дата обращения 10.08.2015)

6. Официальный сайт Center for strategic and International Studies. URL: www.csis.org (дата обращения 10.08.2015).

7. Официальный сайт Infosecurity Russia. URL: www.infosecurityrussia.ru (дата обращения 10.08.2015).

8. Официальный сайт Trustwave. URL: www.trustwave.com (дата обращения 10.08.2015).

9. An Osterman Research White Paper «Dealing with Data Breaches and Data Loss Prevention», Published March 2015, Osterman Research, Inc.

10. Лившиц И.И. Актуальность применения метрик информационной безопасности для оценки результативности проектов систем менеджмента информационной безопасности // Менеджмент качества, 2015, вып. 1 с. 74 – 81

11. Лившиц И.И. Совместное решение задач аудита информационной безопасности и обеспечение доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и Связь, 2013, вып. 6, с. 48

12. Лившиц И.И. Подходы к решению проблемы учета потерь в интегрированных системах менеджмента // Информатизация и Связь, 2013, вып. 1, с. 57 – 62

13. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов – аэропортовых комплексов // Труды СПИИРАН, 2014, вып. 6, с. 72 – 94.

14. ISO/IEC 27000:2014. Information technology — Security techniques — Information security management systems — Overview and vocabulary, International Organization for Standardization, 2014. – 31 pages;

15. ISO/IEC 27001:2013. Information technology – Security techniques – Information security management systems – Requirements, International Organization for Standardization, 2013. – 23 pages.

16. ISO/IEC 27004:2009. Information technology — Security techniques — Information security management — Measurement, International Organization for Standardization, 2009. – 55 pages;

17. ISO/IEC 27005-2011. Information technology — Security techniques — Information security risk management, International Organization for Standardization, 2011. – 68 pages;

18. Официальный сайт NIST. URL: http://csrc.nist.gov (дата обращения 10.08.2015).

19. Официальный сайт ISO. URL: http://iso.org (дата обращения 10.08.2015).

20. Лившиц И.И., Полещук А.В. Практическая оценка результативности СМИБ в соответствии с требованиями различных систем стандартизации – ИСО 27001 и СТО Газпром // Труды СПИИРАН, 2015, вып. 3, с. 33 – 44.

21. ГОСТ Р ИСО 19011:2011. Руководящие указания по проведению аудитов систем менеджмента. Москва, Стандартинформ, 2013.

22. ГОСТ Р 52447-2005 Защита информации. Техника защиты информации. Номенклатура показателей качества, Москва, Стандартинформ, 2006.

23. Ефимов А.Н. Элитные группы, их возникновение и эволюция. //"Знание - сила", 1988, № 1, с. 56-64.

24. Официальный сайт Reuters. URL: www.reuters.com (дата обращения 10.08.2015).

Полная версия статьи доступна подписчикам электронного журнала.