More Related Content
Similar to Security Metrics.pdf
Similar to Security Metrics.pdf (20)
More from Aleksey Lukatskiy
More from Aleksey Lukatskiy (20)
Security Metrics.pdf
- 1. Как посчитать
эффективность
информационной
безопасности?
Алексей Лукацкий
Бизнес-консультант по безопасности
Данная презентация представляет собой фрагмент многочасового курса по измерению ИБ
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 1/63
- 2. Безопасность на
уровне бизнеса
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 2/63
- 3. Опрос ISACA
Опрос «Critical Elements of Information Security
Program Success», ISACA
Опрос 157 руководителей в 8 странах
Канада, Франция, Германия, Израиль, Италия, Япония, США,
Венесуэла
Отрасли
Финансы, транспорт, ритейл, государство, промышленность,
здравоохранение, консалтинг, коммунальные услуги
35 критических факторов успеха
Культура, люди, бюджет и финансы, организация,
технологии, законы и стандарты, метрики, повышение
осведомленности и обучение
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 3/63
- 4. 5 критериев успеха
1 Общий язык
Бизнес первичен
Процесс
2 взаимодействия
Метрики Двусторонняя связь
5 Что и как
измерять
Выход на Система
4 руководство 3 убеждения
Сила и влияние Маркетинг и PR
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 4/63
- 5. Что говорит и думает руководство?
Он спрашивает: «Каков уровень риска?»
Он думает: «Чем нам это грозит?»
Он спрашивает: «Соответствуем ли мы
требованиям?»
Он думает: «Не накажут ли нас?»
Он спрашивает: «Почему так дорого?»
Он думает: «А может лучше кофе или туалетной бумаги
купить?»
Знания CISO/CIO не совпадают с восприятием CxO
Любой вопрос подразумевает измерение ИБ!
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 5/63
- 6. А можно ли вообще измерять?
Если что-то лучше
Есть признаки улучшения
Улучшение можно наблюдать
Наблюдаемое улучшение можно посчитать
То, что можно посчитать, можно измерить
То, что можно измерить, можно оценить
…и продемонстрировать!
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 6/63
- 7. Что мы измеряем в ИБ?
1. Уровень опасности или сколько мы потеряем?
2. Сколько денег на ИБ достаточно?
3. Мы достигли цели?
4. Насколько оптимально мы движемся к цели?
5. Сколько стоит информация?
6. Насколько мы соответствуем стандартам или
требованиям?
7. Какая из мер защиты выгоднее/лучше?
8. Как мы соотносимся с другими?
9. …
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 7/63
- 8. Качественная и
количественная
оценка
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 8/63
- 9. Качество или количество?
1954 г. - Paul Meehl – «Clinical Versus Statistical
Prediction: A Theoretical Analysis and Review of the
Evidence», 1954
Работа обновлена в 1996
Количественная оценка работает лучше экспертной
(качественной)
В 136-ти случаев из 144-х
Качественная оценка необъективна по своей сути
При качественной оценке сложно предъявить
доказательства
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 9/63
- 10. Монетарные и
нефинансовые
метрики
информационной
безопасности
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 10/63
- 11. Функции и процессы любой компании
Основная деятельность
(выпуск продукта,
предоставление услуг)
Улучшение основной
деятельности
(оптимизация издержек)
Совершенствование
предыдущей категории
(управление качеством)
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 11/63
- 12. Могут ли быть нефинансовые метрики?
ИБ не относится к первой категории функций
предприятия
Финансовые метрики сложно применять в этом случае, т.к. ИБ
напрямую не генерит бизнес
ИБ чаще всего относится ко второй категории функций
Возможность использования финансовых метрик зависят от
оцениваемого процесса
Некоторые проекты ИБ могут помочь оптимизировать
издержки
Управление ИБ – это всегда третья категория
функций
Финансовых метрик может вообще не быть
Исключение может составлять экономия на персонале за счет
более эффективного управления
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 12/63
- 13. Не все измеряется деньгами
Классические финансовые метрики определяют
балансовую стоимость предприятия, его доходы и
расходы
Рыночная стоимость, капитализация определяются в
т.ч. и нефинансовыми показателями
Уровень корпоративного управления
Наличие бренда
Прозрачность
Эффективность управления
И т.д.
Не зря появляется такое понятие, как система
сбалансированных показателей (Balanced scorecard,
BSC)
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 13/63
- 14. Security balanced scorecard
Заказчик
Compliance
Финансы
Заказчик
Базовая
Будущее BSC Ценность для
бизнеса
Внутренние
Обучение и рост
процессы Операционная
эффективность
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 14/63
- 15. Всегда ли выгода измеряется деньгами
Бизнес инвестирует в проекты, приносящие отдачу
Отдача не обязательно носит денежный характер
Критерии Примеры
• Бизнес-ориентированный • Снижение TCO
• Связанный с приоритетами/целями • Защита взаимоотношений
компании • Рост доверия
• Измеримый в метриках, понятных бизнесу • Соответствие требованиям
• Приносящий ценность или отдачу • Ускорение выхода на рынок
(желательно финансовую) • Географическая экспансия
• Оптимальный (цель не любыми • Снижение бизнес-рисков
средствами)
• Снижение текучки клиентов/партнеров
• Выполненный в срок
• Рост лояльности клиентов/сотрудников
• Не нарушающий законодательство
• Оптимизация процессов
• Интероперабельность и интеграция
• Стандартизация
• Рост качества
• Оптимизация затрат (на внедрение,
эксплуатацию, поддержку и т.п.)
• Повторное использование
• Масштабируемость
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 15/63
- 16. Метрики
информационной
безопасности
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 16/63
- 17. Что такое «метрика безопасности»?
Метрика безопасности – способ применения
количественного, статистического и/или
математического анализа для измерения
«безопасных» стоимости, преимуществ, удач,
неудач, тенденций и нагрузок
Отслеживание статуса каждой функции безопасности
Метрики – это не столько цифры, сколько факт
достижения определенным образом поставленных
целей, выраженный количественно
KPI, KRI, PI = метрика
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 17/63
- 18. Таксономия метрик ИБ
Метрики
По По отношению к По По объекту По
По финансам По осязаемости
представлению цели применимости оценки стратегичности
Монетарные Обычные Осязаемые Прямые Прямые Результат Стратегические
Являющие
Немонетарные Двоичные Неосязаемые Косвенные входом для Процесс Тактические
других систем
Процентные Оперативные
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 18/63
- 19. Иерархия метрик
в масштабе службы ИБ
Система управления
(Security Governance)
Система управления
(Security Management)
Технические средства
(Security System)
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 19/63
- 20. Иерархия метрик
в масштабе предприятия
Корпоративные измерения
(финансы, индексы, рейтинги)
Сравнение с другими
компаниями
Измерение достижения
департаментами своих целей
и их оптимальности
Измерение отдельных
элементов (продуктов,
процессов, услуг)
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 20/63
- 21. Стратегические/тактические метрики
Стратегическая метрика – показатель правильности
выбранного пути
Отклонение от него не требует немедленной реакции
Стандартный срок действия метрики – 3 года
Требуется понимание образа мыслей топ-менеджеров
Никаких деталей – только высокоуровневые индикаторы
Отраслевых стратегических метрик в ИБ нет
В отличие от других отраслей
Исключая число выданных сертификатов и лицензий
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 21/63
- 22. Считать можно все!
Частота Единица
Метрика
измерения измерения
Удачная аутентификация квартал секунда
Неудачная аутентификация квартал секунда
Стоимость обработки
долларов
звонка в Help Desk квартал
на звонок
о смене пароля
Время регистрации
квартал минут в день
в системе
Добавление/удаление долларов
квартал
учетной записи за событие
Инцидент, произошедший
из-за некорректной настройки квартал инцидент
системы контроля доступа
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 22/63
- 23. Считать можно все!
Частота Единица
Метрика
измерения измерения
Стоимость системы защиты в
долларов на
расчете на одного сотрудника 6 месяцев
сотрудника
(собственного или по контракту)
Число узлов КИС, на которых были
ежегодно процент
протестированы механизмы защиты
Время между обнаружением
квартал час
уязвимости и ее устранением
Число прикладных систем, для
которых реализовано требование
6 месяцев процент
разделения полномочий между
операциями А и Б
Число лэптопов с внедренной
подсистемой шифрования важных и квартал процент
конфиденциальных документов
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 23/63
- 24. Считать можно все!
Частота Единица
Метрика
измерения измерения
Число систем, для которых план
реагирования на инциденты был квартал процент
протестирован
Число задокументированных
6 месяцев процент
изменений ПО
Число систем с установленными
месяц процент
последними патчами
Число систем с автоматическим
6 месяцев процент
антивирусным обновлением
Число сотрудников, прошедших
через тренинги по повышению ежегодно процент
осведомленности
Число систем с разрешенными
6 месяцев процент
уязвимыми протоколами
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 24/63
- 25. Пример: индекс защищенности
Градация уровней Пример расчета
1 2 3 4 5 Значение Уровень Вес Рейтинг
Число
уязвимостей на
ПК (в среднем) 100 75 50 25 0 34 4 25 100
Число
инцидентов ИБ >5 5 3-4 1-2 0 2 4 25 100
Число
непропатченных 100% 75% 50% 25% 0% 65% 3 25 75
ПК
Объем спама >95% 95% 90% 80% <80% 24% 5 25 125
Совокупный рейтинг 400
Пример: в Verizon всего одна метрика для топ-
менеджмента – индекс риска активов
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 25/63
- 26. Результат любой
ценой?
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 26/63
- 27. Efficiency vs. Effectiveness
Результативность
Оптимальность
Сначала мы обычно оцениваем достижение цели как
таковой (результат)
Но интересно ли нам достижение цели любыми средствами?
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 27/63
- 28. Метрики на результат и процесс
Метрики, нацеленные на результат
Наиболее привычные для служб ИБ
Чаще всего выдаются системами защиты
Метрики, нацеленные на процесс
Сложнее оцениваются
Требуют взаимодействия с людьми
• Процент заблокированного спама
• Процент прошедшего спама через
Антиспам антиспам и о котором сообщили
сотрудники, прошедшие тренинг
повышения осведомленности
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 28/63
- 30. Достижение каких целей измеряем?
Цели топ- Операционные
менеджмента цели
Цели ИБ
Финансовые
Цели ИТ
цели
Цели ИБ в данной ситуации вторичны, т.к. их никто
не понимает кроме службы ИБ
Грустно это признавать, но это так
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 30/63
- 31. Бизнес-цель
«Бизнес-цели» - отталкиваемся не от того, ЧТО
защищаем, а КУДА стремимся
Бизнес-цели не всегда связаны с финансами
Нельзя искать только финансовую выгоду от решения
вопросов безопасности
Необходимо учитывать нефинансовые цели (например,
лояльность клиентов) и синергетический эффект
Бизнес-цель может быть
У всего предприятием
У отдельного подразделения
У отдельного проекта/инициативы
У отдельного «важного» человека («спонсора»)
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 31/63
- 32. Связь метрик и бизнес-цели
Наиболее эффективный путь – декомпозиция
бизнес-цели на части и выбор метрик для каждой
из них
Бизнес-цель
Подцель 1 Подцель 2 Подцель 3
Действие 1 Действие 2
Метрика 1 Метрика 2
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 32/63
- 33. Как выбирать
метрики ИБ
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 33/63
- 34. Принципы выбора метрик
SMART – Specific, Measurable, Achievable, Relevant, Timely
Характеристика Пример хорошей метрики Пример плохой метрики
Конкретная Число неудачных попыток Число неудачных попыток
входа в систему в неделю входа в систему
на одного сотрудника
Измеримая Уровень лояльности Доход от внедрения
внутренних клиентов системы защиты
Достижимая Число инцидентов в Отсутствие инцидентов ИБ
текущем квартале < 5 за текущий квартал
Релевантная Число проектов Число запущенных
завершенных в срок проектов
Актуальная Число пропатченных ПК в Число пропатченных ПК в
этом году прошлом году
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 34/63
- 35. Как выбирают метрики?
1. Метрики обычно выбираются исходя из
корпоративных целей (в 65% случаев)
2. Анализ существующих отчетов, из которых
вычленяются чаще всего используемые для оценки
деятельности показатели
3. Индивидуальные интервью
4. Карты бизнес-процессов
5. Специальные сессии определения KPI
6. Групповые интервью
7. Стратегические карты
8. Опросы (в 23% случаев)
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 35/63
- 36. Пример: значимость метрик
Измерение числа спам-сообщений в общем объеме
почты
Как это важно для предприятия и для бизнеса?
Что изменится, если спама будет 70%, а не 50%
Обнаружение шпионского ПО
Обнаружение 50% всех spyware, встречающихся в диком виде
Обнаружение 95% spyware, которые могут встретиться в
компании (даже если это будет 10% от всех spyware)
Число вирусов, а следовательно и атак, бесконечно.
Поэтому бессмысленно опираться на конечное число
обнаруженных вирусов и уязвимостей
Что такое тысяча или даже миллион по сравнению с
бесконечностью
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 36/63
- 37. Пример: число звонков в Service Desk
Задача: оценить время реагирования на звонок об
инциденте
Поощрение за снижение времени реагирования
Сотрудники могут класть трубку сразу после звонка!
Поощрение за число разрешенных инцидентов
Сотрудники будут самостоятельно пытаться закрыть
инцидент, не эскалируя его правильному специалисту
Увеличение длительности звонков и ожидания клиентов на
линии
Меньше доступных специалистов – ниже удовлетворенность
Комбинируйте метрики
Время реагирования на звонок + длительность звонка
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 37/63
- 38. Пример: контроль доступа в Интернет
Задача: оценить эффективность системы контроля
доступа
Видимая оценка Скрытая оценка
• 1,5 часа в день на • Блокирование доступа
«одноклассниках» не значит, что
• 200 сотрудников сотрудники будут
• 6600 часов экономии – работать
825 чел/дней • Работа «от» и «до» и не
• $18750 в месяц (при больше
зарплате $500) • Ухудшение псих.климата
• $225000 в год экономии • Потери $150000 в год
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 38/63
- 39. Что обычно считают?
Какие данные собирает ваша организация? %
Обнаруженных вирусов в файлах 92,30%
Обнаруженных вирусов в почте 92,30%
Неудачный пароль при входе в систему 84,60%
Попытка проникновения/атаки 84,60%
Обнаруженный/отраженный спам 76,90%
Доступ к вредоносным сайтам 69,20%
Неудачное имя при входе в систему 69,20%
Обнаруженных вирусов на сайтах 61,50%
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 39/63
- 40. Что обычно считают?
Какие данные собирает ваша организация? %
Внутренняя попытка НСД 61,50%
Нарушение со стороны администратора 61,50%
Удачное проникновение 53,80%
Раскрытие информации 38,50%
Пропущенный спам 38,50%
Ложное обнаружение спама 30,80%
Другое 23,10%
Источник: http://www.csoonline.com/analyst/report2412.html
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 40/63
- 41. Пример бизнес-
ориентированных
метрик ИБ
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 41/63
- 42. Транзакция
Транзакция – это ключевое понятие на современном
предприятии
Обычно оно выпадает из поля деятельность служб
ИБ, т.к. транзакция является обычным и легитимным
событием
Это не только финансовое понятие
Сетевые потоки (flow)
Сессии
Сообщения
Операции приложений (немного выпадает из традиционного
восприятия транзакций, но относится к ним же. Правда, и
измеряется сложнее)
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 42/63
- 43. Бизнес-метрики ИБ
Метрика Формула Комментарий
Transaction Совокупная цена Снижение данного показателя
Cost средств ИБ / число может войти в конфликт с
транзакций минимально необходимым
уровнем защиты
Controls per Число технических Интересна в совокупности с
transaction защитных мер / число другими метриками.
(CPT) транзакций Например, при одинаковом
количестве инцидентов для
разных приложений больший
CPT говорит о переборе
защитных мер. Транзакции
можно поменять на
подразделения или филиалы
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 43/63
- 44. Бизнес-метрики ИБ (продолжение)
Метрика Формула Комментарий
Security to IT Цена ИБ / цена ИТ Показывает соотношение
Cost Ratio затрат на ИБ от ИТ бюджета.
(STC) При оценке в совокупности с
метриками по инцидентам
позволит оценить
оптимальный уровень затрат
на ИБ от ИТ-бюджета. Если
STC снижается, а инциденты
растут, то защита
неэффективна. Cost можно
заменить на Value - STV (если
можно оценить не просто
стоимость, сколько ценность)
Transaction Total Security Value /
Value Total Transaction
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 44/63
- 45. Бизнес-метрики ИБ (продолжение)
Метрика Формула Комментарий
Cost per Цена технических мер Снижение CPC может
Control защиты / число привести к росту CPT
(CPC) контролируемых
средством защиты
элементов (число
соединений для МСЭ,
число сканируемых
узлов для сканера…)
Loss to Value Совокупные потери / Чем меньше, тем лучше.
Ratio (LTV) ценность ИБ Однако при падении LTV и
росте STV/STC это уже не
очень хорошо
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 45/63
- 46. Бизнес-метрики ИБ (продолжение)
Метрика Формула Комментарий
Control (100% хорошие Выше CER – эффективнее система
Effectiveness /пропущенные/ защиты. Однако надо понимать, что данная
Ratio (CER) события + 100% метрика должна рассматриваться в
плохие контексте предприятия, а не оторвано от
/блокированные/ него. Просто измерять CER можно для
события) / общее сравнения различных продуктов, но сама
число событий по себе данная метрика не говорит,
снижает ли риски данная защитная мера.
Иными словами, данная метрика
оценивает, насколько защитная мера
делает то, что должна делать, а не то, как
она это делает в конкретной ситуации.
Если CER высок, а число инцидентов не
уменьшается или растет, то выбрана
неадекватная защитная мера (которая
сама по себе может быть очень
эффективной)
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 46/63
- 47. Бизнес-метрики ИБ (продолжение)
Метрика Формула Комментарий
Incident per Число инцидентов / Важно определить, что такое
Million (IPM) число транзакций * инцидент. Вместо миллиона
миллион – частота можно взять более реальный для
инцидентов бизнеса порядок транзакций.
Инцидент может произойти по
причине неэффективной
защитной меры, пропустившей
инцидент, или по причине
отсутствия защитной меры. Чем
ниже, тем лучше. Необходимо
учитывать, что в ряде случаев
этот показатель может быть
достаточно высоким, т.к. в ряде
случаев экономически невыгодно
защищать транзакции
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 47/63
- 48. Бизнес-метрики ИБ (окончание)
Метрика Формула Комментарий
Incident 1 – (число CER – важная метрика, но
Prevention инцидентов / (100% гораздо важнее число
Rate (IPR) предотвращенные пропущенных инцидентов. Чем
инциденты + число выше, тем лучше
инцидентов))
Risk Aversion Хорошие Показывает насколько
Ratio (RAR) отброшенные / число организация готова бороться с
инцидентов реальными инцидентами. RAR –
уровень терпимости организации
к риску. Он ни плох, ни хорош
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 48/63
- 49. Пример: оценка системы защиты e-mail
Технические метрики
% обнаруженного спама от общего числа писем
% писем с вредоносными программами или
фишингом от общего числа писем
% необнаруженного спама/вредоносных
программ/фишинга
% ложного обнаружения спама/вредоносных
программ/фишинга
Число предотвращенных утечек информации
Число/стоимость/длительность звонков в службу
поддержки по поводу недошедших писем
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 49/63
- 50. Пример: оценка системы защиты e-mail
Псевдотехнические метрики
Цена/длительность лечения зараженной почты
Число вирусов/спама/утечек в исходящей почте
% пользователей, прошедших тренинг по
использованию и защите электронной почты
% пользователей, сообщивших о пропущенном
спаме/вредоносной программе/фишинге
Рейтинг успешности повышения осведомленности в
области использования и защиты электронной почты
% внутренних нарушителей, отправивших
спам/вредоносную программу/конфиденциальную
информацию
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 50/63
- 51. Пример: оценка системы защиты e-mail
Псевдотехнические метрики
Наличие политики использования и защиты
электронной почты
Число зашифрованных сообщений
Потери от вирусов/спама/утечек/фишинга
Сэкономленное время сотрудников
Затраты на Интернет-трафик для удаленных
офисов/мобильных работников
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 51/63
- 52. Пример: оценка системы защиты e-mail
Бизнес-метрики
Исходные данные Значение Метрика Значение
Ценность (value) 1.000.000 Transaction Value 0,0025
Цена решения 250.000 Transaction Cost 0,000625
Цена средств защиты 20.000
Потери на инцидент 300 Cost per Control 0,000023529
Число транзакций 400.000.000
Control per Transaction 2.13
Проверенных IP 300.000.000
Антиспам 400.000.000 Security to Value Ratio 2%
Антивирус 150.000.000 Loss to Value Ratio 15%
Хороших писем разрешено 80.000.000 Control Effectiveness Ratio 95%
Плохих писем запрещено 300.000.000 Incident per Million 1,25
Хороших писем запрещено 200.000 Incident Prevention Rate 99,9998%
Плохих писем разрешено 500 Risk Aversion Ratio 400
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 52/63
- 53. Сколько нужно
времени и
метрик?
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 53/63
- 54. Сколько нужно времени?
Стратегические
(3-5 лет)
Тактические
(1-1.5 года)
Оперативные
(1-2 квартала)
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 54/63
- 55. Количество метрик
Надо понимать разницу между KPI и PI
Обычно для измеряемого процесса / приложения /
подразделения не должно быть больше 7-ми ключевых
метрик
Низкоуровневых метрик может быть больше, но их число не
должно быть самоцелью
На уровень топ-менеджмента также не должно выноситься
более 7-ми метрик по всей службе ИБ
Verizon использует всего одну метрику для топ-
менеджмента - индекс риска актива
Опирается на данные анализа защищенности,
транслированные в бизнес-язык
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 55/63
- 57. Что дальше?
Метрики не нужны сами по себе
Метрики нужны для принятия решений
Не готовы к действиям – не внедряйте программу
управления метриками
Пример
Метрика - число уязвимых ПК в финансовом департаменте за
прошедший квартал
Готовы ли мы внедрить процесс управления патчами для этих
ПК?
Готовы ли мы регулярно оценивать уязвимости и ставить
новые патчи?
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 57/63
- 58. А что после выбора метрик?
Цель Метрика Целевое значение Инициатива
Улучшить управление # инцидентов < 7 в квартал Обучение
рисками безопасности пользователей
% систем защиты, 43% Заключение SLA на
отданных на аутсорсинг аутсорсинг ИБ
Улучшение управления % проектов, 95% Увеличить число
проектами завершенных в срок сертифицированных
специалистов по
управлению проектами
% проектов, 95% Внедрение PMO в
выполненных в рамках отделе
бюджета
Повысить уровень % сотрудников, 25% Обучение MBA
бизнес-знаний в службе прошедших MBA
ИБ Количество Business 1 Изменение оргштатной
Relations Manager (BRM) структуры отдела
Compliance Соответствие ISO 27001 Получение сертификата Обучение по ISO 27001
через год Внедрение compliance-
решения
Улучшение операций % сбоев в системе < 5 в квартал Внедрение системы
защиты контроля качества
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 58/63
- 60. Модель зрелости программы ИБ
Использование метрик.
5-ый Оптимально подобранные
уровень процедуры
4-ый Обратная связь существует, что
позволяет управлять постоянно
уровень
изменяющимися рисками
3-ий Программа ИБ учитывается для всех
уровень новых проектов. Все документировано.
Обратной связи и метрик нет
2-ой
Достигнута повторяемость позитивного
уровень
результата для аналогичных процессов
1-ый Определено несколько процессов.
уровень Удача зависит от индивидуальных
талантов и героических усилий
0-ой
уровень Хаотичное применение продуктов защиты
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 60/63
- 61. Панацеи нет
Не бывает универсальных подходов к измерению
метрик
Выбирайте в каждом конкретном случае свой
подход
Выбор зависит
От организации и ее бизнеса (включая цели)
От «спонсоров», перед которыми требуется защита
проектов по ИБ
От опыта CISO
Наличия инструментария сбора информации для
вычисления метрик
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 61/63
- 62. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Security Measurement © 2006 Cisco Systems, Inc. All rights reserved. 62/63