Актуальность данной публикации вызвана постоянным вниманием к вопросам анализа и интерпретации результатов внедрения систем менеджмента информационной безопасности (СМИБ). При анализе таких проектов, как правило, в расчет берется только минимум требований, исходя из известной методической базы — международных стандартов ISO серии 27000. Однако применения для анализа результативности СМИБ только "сертификационного" стандарта ISO 27001 объективно недостаточно, дополнительно необходим специальный стандарт ISO 27004, содержащий правила работы с метриками ИБ. В данном исследовании, во-первых, рассмотрена современная нормативная база ISO серии 27001, во-вторых, показано практическое применение метрик ИБ, существенно расширяющих возможности оценки результативности СМИБ, а также даны рекомендации по формированию
2. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
№ 2/2015
ИНФОРМАЦИЯ ОБ ИЗДАНИЯХ ИНСТИТУТА РАЗМЕЩЕНА НА САЙТЕ ФГУП "ВИМИ" WWW.VIMI.RU
4
менены и в интегрированных системах менедж-
мента (ИСМ) [6—8]. Также широко известны
примеры формирования простых метрик ИБ
[9—13], которые могут обеспечить формирова-
ние количественных оценок (метрик) как дока-
зательства "полезности" для бизнеса. Здесь пред-
ставляется особенно важным сразу сделать
сопоставление с механизмами внутреннего ауди-
та, которые как раз и предназначены для пред-
ставления "объективных доказательств" для
высшего руководства с целью принятия эффек-
тивных управленческих решений [1, 7]. В ука-
занных публикациях [9—13] предлагаются раз-
личные виды метрик для целей обеспечения ИБ,
которые представляется целесообразным сгруп-
пировать следующим образом:
1. Для оценки основного бизнеса, например:
– доля на рынке;
– стоимость репутации;
– уровень лояльности (оттока) клиентов.
2. Для управления издержками, например:
– ТСО (совокупная стоимость владения);
– ROI (оценка возврата инвестиций);
– IRR (внутренняя норма рентабельности
проекта).
3. Для оптимизации текущей деятельности,
например:
– снижение бизнес-рисков (методика "4Т");
– оптимизация затрат (прямых и косвенных);
– оптимизация процессов (основных, вспо-
могательных и обеспечивающих).
С целью снижения издержек (это одна из
приоритетных задач любого бизнеса и наиболее
"презентабельная" форма оценки результативно-
сти службы ИБ) могут быть применены метри-
ки, показывающие степень достижения возмож-
ного максимума (плана продаж, выполнения в
срок проектов и пр.) [6, 9, 11]. Соответственно,
могут быть предложены различные типы метрик:
– простые метрики (например, количество
выявленных инцидентов ИБ, предотвра-
щенных утечек, блокированных вирусных
атак);
– сложные метрики (например, отношение
стоимости мер защиты к стоимости ИТ ак-
тивов);
– комплексные метрики (например, число
произошедших инцидентов ИБ, приведших
к ущербу (вынужденному простою) на
непропатченных в установленный срок хо-
стах).
Отметим, что именно метрики, применяемые
сообразно иерархии уровня управления в орга-
низации, позволяют предоставить бизнесу-
оценку достигнутого уровня обеспечения ИБ.
Из приведенного анализа следует логичный вы-
вод, что цели ИБ, как правило, точно соответ-
ствуют "первичной" иерархии управления орга-
низации (рис. 1).
Иерархия управления организации
Иерархия управления ИБ
Цели бизнеса организации
Цели ИБ
Рис. 1. Сопоставление иерархии управления по целям
В представленной схеме (см. рис. 1), очевид-
но, заложен определенный порок, а именно —
предложение бизнеса формировать цели ИБ
"в лоб", слепо копируя организационную струк-
туру. Отчасти мнение Натальи Касперской, про-
цитированное выше, отражает именно такой
взгляд бизнеса, при котором не видно преиму-
ществ внедрения СМИБ, ибо затраты на внедре-
ние, действительно, с большой долей вероятности
совпадают с организационными издержками на
деятельность конкретной компании. Для реше-
ния данной нестыковки представляется целесо-
образным воспользоваться методикой СМИБ,
основанной на требованиях стандарта ISO 27001
[3], и предложить формировать цели ИБ (равно
как и метрики ИБ) через приоритет управления
жизненно важными активами. Данный подход
"разрывает" простое копирование иерархической
структуры формирование целей ИБ и вводит,
как и требуется в СМИБ, инвентаризацию и
учет активов, которые организации необходимо
защищать (рис. 2).
Иерархия управления организации
Иерархия управления ИБ
Цели бизнеса организации
Цели ИБ (активы)
Актив
ы
Рис. 2. Сопоставление иерархии управления по целям
с учетом защищаемых активов
При оценке результатов измерений должны
задаваться целевые требования по результатив-
ности (на уровне организации), которые имеют
непосредственное отношение к целям в области
ИБ, в частности: цели СМИБ, цели применения
мер и средств обеспечения ИБ, которые должны
быть выбраны (п. 5.4.5 стандарта [5]). Таким об-
разом, предлагаемая схема (см. рис. 2) соответ-
ствует стандартам ISO серии 27000 [3—5] и в
тоже время позволяет избежать "разрывов" в от-
ражении целей бизнеса на цели ИБ.
Необходимо, чтобы были определены соот-
ветствующие заинтересованные стороны, кото-
рым следует принимать участие в определении
области применения измерений. Специфические
результаты измерений результативности отдель-
ных мер и средств обеспечения ИБ и их групп
3. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
№ 2/2015
ИНФОРМАЦИЯ ОБ ИЗДАНИЯХ ИНСТИТУТА РАЗМЕЩЕНА НА САЙТЕ ФГУП "ВИМИ" WWW.VIMI.RU
5
следует определять и доводить до сведения заин-
тересованных сторон. Соответствующие заинте-
ресованные стороны могут быть внутренними
или внешними по отношению к подразделениям
организации (п. 7.2 стандарта [5]), и требуется
механизм контроля передачи информации на
разные интерфейсы, модель такой системы
представлена в публикации [8]. Для оценки сте-
пени достижения целей ИБ (т. е. оценки резуль-
тативности) рекомендуется применять метрики
ИБ, к которым должны предъявляться хорошо
известные 5 правил SMART: Specific, Measurable,
Achievable, Relevant, Time-bound.
Принятие системы метрик ИБ поможет под-
держать принятие решений высшего руководства
на соответствующих уровнях иерархии примени-
тельно к защищаемым активам [10—12]:
определение результативности основных
видов деятельности;
определение целей (равно как и соответ-
ствующих метрик);
набор (увольнение) персонала;
определение необходимых компетенций;
выделение (перемещение) ресурсов.
С учетом ожидаемых оценок бизнеса проект
внедрения и постоянной оценки СМИБ необхо-
димо рассматривать с приоритетом выгод —
экономической и неэкономической природы.
В этих условиях постановка задачи формулиру-
ется следующим образом: разработка методоло-
гии формирования численных (количественных)
метрик ИБ, соответствующих в целом иерархи-
ческой системе бизнес-целей организации, для
оценки результативности СМИБ и обеспечения
безопасности жизненно значимых активов орга-
низации.
Базовые требования
к формированию метрик ИБ
ISO 27001 требует от организации "проводить
регулярные проверки результативности СМИБ", а
также определять, "каким образом проводить из-
мерение результативности выбранных мер и
средств контроля и управления и их групп" [3].
В ISO 27004 рекомендуется, чтобы на СМИБ не
выделялись чрезмерные ресурсы в ущерб другой
(основной) деятельности, и, в идеальном случае,
текущая деятельность, связанная с постоянными
измерениями, была интегрирована в обычную
(плановую) деятельность организации с привле-
чением минимальных дополнительных ресурсов
(п. 8.2 стандарта [5]). Дополнительно требуется
обеспечить интеграцию анализа (сообщения)
данных в соответствующие процессы для обес-
печения регулярного функционирования этих
процессов, следовательно, возрастает роль внут-
реннего аудита в масштабе всей организации.
Очевидно, что экономия ресурсов на обеспе-
чение измерений СМИБ должна приводить к
выполнению целей измерений, связанных с ИБ,
и получению (подчеркивается одна из важней-
ших целей) оценки результативности реализо-
ванной СМИБ (п. 5.1., b) стандарта [5]). Меры и
средства обеспечения ИБ ("controls"), выбранные
в рамках программы измерений, следует непо-
средственно связывать с функционированием
СМИБ, другими мерами, а также процессами
основной деятельности организации (например,
по схеме на рис. 2). Измерения могут быть инте-
грированы в обычные процессы функциониро-
вания организации, что обеспечивает решение
поставленной задачи. В аспекте постановки за-
дачи важно, что в стандарте ISO 27004 определе-
ны требования к программе измерений (п. 5.2), в
частности — предоставление результатов изме-
рений соответствующим заинтересованным сто-
ронам для определения потребности в совер-
шенствовании СМИБ. Это требование крайне
важно и для бизнеса (обратим внимание на ци-
тату Натальи Касперской [2]), а также для оцен-
ки любых проектов внедрения систем менедж-
мента [8].
В стандарте ISO 27004 определены факторы
успеха, способствующие успеху программы из-
мерений в содействии непрерывному совершен-
ствованию СМИБ, среди которых отметим:
количественную оценку мер безопасности;
оценку результативности программы изме-
рений;
использование результатов измерений со-
ответствующими заинтересованными сторонами;
получение ответной реакции на результаты
измерений от заинтересованных сторон;
оценивание полезности результатов изме-
рений.
Это требование, по сути, представляет собой
явный "мини-цикл" PDCA, который реализуется
в СМИБ на соответствующем иерархическом
уровне управления и "снабжает" высшее руко-
водство организации данными для принятия
эффективных управляющих решений. Методика
выбора конкретных метрик ИБ, как было пока-
зано в предыдущем разделе, должна ориентиро-
ваться на количественное измерение уровня ИБ,
применительно к конкретным защищаемым ак-
тивам [3, 5, 7, 8].
4. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
№ 2/2015
ИНФОРМАЦИЯ ОБ ИЗДАНИЯХ ИНСТИТУТА РАЗМЕЩЕНА НА САЙТЕ ФГУП "ВИМИ" WWW.VIMI.RU
6
Походы к формированию системы
метрик ИБ
Методология формирования системы числен-
ных (количественных) метрик ИБ, соответству-
ющих иерархической системе бизнес-целей ор-
ганизации и формируемых для оценки
результативности СМИБ и обеспечения без-
опасности жизненно значимых активов органи-
зации, должна учитывать следующие важные с
позиции требований бизнеса параметры: вход-
ные величины экономической природы, выбор
активов, анализ соответствующих данных и рас-
пространение отчетов. В качестве входных вели-
чин для формирования системы метрик ИБ на
основании поставленных бизнесом целей на
разных уровнях иерархии управления организа-
ции могут рассматриваться следующие экономи-
ческие показатели [3, 5]:
объем затрат на обеспечение бизнеса
(служба аудита, управленческий персонал);
период окупаемости проектов (в том числе
связанных с безопасностью);
объем продаж (целевой, текущий);
размер допустимых потерь (прямых или
косвенных);
длительность допустимых простоев для
бизнеса (в том числе основных информацион-
ных активов).
Соответственно, рационально говорить как о
статических измерениях ("здесь и сейчас"), так и
создавать прогнозную модель, т. е. формировать
динамические оценки с определенным "горизон-
том планирования". Применительно к СМИБ
это означает, что заинтересованные стороны
("stakeholders") определяют те активы, которые
жизненно необходимы для достижения установ-
ленных выше экономических показателей биз-
неса и ставят целью обеспечения "триады без-
опасности": конфиденциальности, целостности и
доступности. Анализ данных должен определять
расхождение между результатами измерения в
реализованной СМИБ (например, анализ
"план/факт" по целям ИБ). Следует определять
такие метрики ИБ, которые объективно отража-
ют несоответствия (в терминах применимых
стандартов ISO), например [5]:
– несостоятельность плана по обработке рис-
ка (например, угрозы могут обходить существу-
ющие меры и средства обеспечения ИБ);
– несостоятельность оценки риска (напри-
мер, меры и средства обеспечения недостаточны
для противостояния новым угрозам).
Отметим, что отчеты с результатами измере-
ний, подлежащие распространению на "внешнем
интерфейсе", должны содержать только данные
для внешнего использования и должны утвер-
ждаться соответствующими заинтересованными
лицами перед выпуском (п. 9.3 стандарта [5]).
Дополнительно рекомендуется организовать до-
полнительную проверку утечки данных в кон-
кретном "мини-цикле" PDCA применительно к
процессу передачи и получения обратной связи
от заинтересованных сторон.
Методика оценки результативности СМИБ
Метод измерений должен основываться на
атрибутах выбранных объектов измерений
(п. 5.4.2. стандарта [5]). Примерами объектов
измерений могут служить:
результативность мер и средств обеспече-
ния ИБ, реализованных в СМИБ;
состояние информационных активов, за-
щищенных мерами и средствами обеспечения
ИБ;
результативность процессов ИБ (в
том числе реализованных в СМИБ);
результативность подразделений организа-
ции, ответственных за обеспечение ИБ;
степень удовлетворенности уровнем ИБ за-
интересованных сторон.
Метод измерений может использовать объек-
ты измерений и атрибуты из разнообразных ис-
точников, например:
результаты анализа риска, оценки риска и
обработки рисков ИБ;
отчеты о внутренних и/или внешних ауди-
тах;
сообщения об инцидентах, особенно о тех,
вследствие которых был причинен ущерб;
результаты тестирования, например, полу-
ченные в результате тестирования на проникно-
вение.
Для примера выберем ряд мер и средств
обеспечения ИБ в соответствии с требованиями
стандарта ISO 27001 [3]. Выбор именно этого
множества обоснован, во-первых, акцентирова-
нием на контроле жизненно важных для органи-
зации активов, во-вторых, применением практи-
чески в любой СМИБ с малой вероятностью
исключения и, в-третьих, достаточностью для
объективного и подробного рассмотрения при-
мера системы метрик ИБ. Результаты представ-
лены в табл. 1.
5. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
№ 2/2015
ИНФОРМАЦИЯ ОБ ИЗДАНИЯХ ИНСТИТУТА РАЗМЕЩЕНА НА САЙТЕ ФГУП "ВИМИ" WWW.VIMI.RU
7
Таблица 1
№
п.п.
Мера и средство контроля и управления Пункт
стандарта
Назначение
1 Должны проводиться проверки всех кандидатов на работу, согласу-
ющиеся с соответствующими законами, предписаниями и правилами
этики и адекватными требованиям бизнеса, классификации инфор-
мации, к которой будет осуществляться доступ, и осознаваемым рис-
кам
А.7.1.1 Предварительная
проверка
2 Учтенные активы должны иметь своих владельцев А.8.1.2 Владение активами
3 Доступ к информации и функциям прикладных систем должен огра-
ничиваться в соответствии с политикой управления доступом
А.9.4.1 Ограничение доступа
к информации
4 Должны быть разработаны и применены процедуры для работы в
зонах безопасности
А.11.1.5 Работа в зонах без-
опасности
В дополнение к требованиям ISO 27004 пред-
ставленная методология включает набор этапов
(табл. 2: этапы 1—4), непосредственно связан-
ных с обеспечением "связи" целей бизнеса и
целей ИБ посредством перечня идентифициро-
ванных активов, подлежащих защите в органи-
зации. Описание шагов представленной методи-
ки отражено в табл. 2.
Пример расчета метрик ИБ для 4 выбранных
мер (средств) обеспечения ИБ в соответствии с
требованиями современных стандартов ISO
[3, 5] серии 27000 показан далее на рис. 3.
Таблица 2
№
п.п.
Шаг методологии Префикс по
ISO 27004
1 Определение области сертификации СМИБ —
2 Определение перечня защищаемых активов —
3 Определение мер (средств) обеспечения ИБ (из "Заявления о применимости") —
4 Определение реализации меры (средства) обеспечения ИБ —
5 Определение объектов измерения (префикс "О") О
6 Определение атрибутов А
7 Определение метода измерения МИ
8 Определение основной меры ОМ
9 Определение функции измерения Ф
10 Определение производной меры измерения Пр
11 Определение аналитической модели АМ
12 Определение показателей П
13 Определение критериев принятия решения Кр
14 Определение результатов измерений РИ
6. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
№ 2/2015
ИНФОРМАЦИЯ ОБ ИЗДАНИЯХ ИНСТИТУТА РАЗМЕЩЕНА НА САЙТЕ ФГУП "ВИМИ" WWW.VIMI.RU
8
Рис. 3. Пример расчета метрик ИБ
Выводы
1. Представленная методология на основе
стандарта ISO 27004 позволяет получать оценки
результативности внедрения СМИБ, пригодные
для анализа и принятия управленческих реше-
ний высшим руководством, используя систему
метрик как "рабочий элемент" в существующей
системе управления организации.
2. Полученные оценки могут рассматриваться
применительно к СМИБ (или ИСМ). Для фор-
мирования оценки уровня безопасности органи-
зации необходимо формировать "сквозную"
систему метрик ИБ, образуя оптимальную
(иерархическую) структуру (по процессам, под-
разделениям или продуктам/услугам) с обяза-
тельным учетом жизненно важных активов.
3. Представляется рациональным при выпол-
нении анализа СМИБ (или ИСМ) со стороны
руководства оперировать метриками бизнеса,
выбранных таким образом, чтобы демонстриро-
вать добавленную стоимость внедренных систем
менеджмента и отражения общего вклада в по-
вышение конкурентоспособности организации.
Необходимо обеспечивать постоянный замкну-
тый цикл управления (PDCA), а также стре-
миться реализовывать и контролировать "мини-
циклы" PDCA на соответствующих уровнях
иерархии управления.
ЛИТЕРАТУРА
1. The ISO Survey of Management System Standard Certifications — 2013.
2. Касперская Н. Когда спадет маркетинговая пена // Безопасность Деловой Информации. 2014. ¹ 7.
3. ISO/IEC 27001:2013 Information technology — Security techniques — Information security manage-
ment systems — Requirements.
4. ISO/IEC 27000:2014 Information technology — Security techniques — Information security manage-
ment systems — Overview and vocabulary.
7. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
№ 2/2015
ИНФОРМАЦИЯ ОБ ИЗДАНИЯХ ИНСТИТУТА РАЗМЕЩЕНА НА САЙТЕ ФГУП "ВИМИ" WWW.VIMI.RU
9
5. ISO/IEC 27004:2014 Information technology — Security techniques — Information security manage-
ment — Measurement.
6. Лившиц И. И. Подходы к решению проблемы учета потерь в интегрированных системах менедж-
мента // Информатизация и Связь. 2013. ¹ 1.
7. Лившиц И. И. Ценность внутренних аудитов интегрированной системы менеджмента для прове-
дения результативного анализа со стороны руководства // Стандарты и Качество. 2014. ¹ 8.
8. Лившиц И. И. Подходы к применению модели интегрированной системы менеджмента для про-
ведения аудитов сложных промышленных объектов // Труды СПИИРАН. 2014. ¹ 6.
9. John Johnson, Using Metrics to Determine Real Value in an Enterprise Security Program;
http://www.slideshare.net/nullsession/meaningful-security-metrics?related=7.
10. Chris Mullins, Practical measures for measuring security; http://www.slideshare.net/cmullins70/s360-
2012-room7-tues345?related=1.
11. Vicente Aceituno, Security Management Metrics; http://www.slideshare.net/vaceituno/security-
metrics-madrid?related=2.
12. Bernard Marr, 25 Key Performance Indicators; http://www.slideshare.net/BernardMarr/25-ntk-key-
performance-indicators?related=4.
13. Cydney Davis, Security Metrics; http://www.slideshare.net/MCydD/security-metrics-
program?related=4.
EFFECTIVENESS ASSESSMENT OF AN IMPLEMENTATION OF INFORMATION
SECURITY MANAGEMENT SYSTEMS
I. I. Livshitz
LLC "GasInformService", St.-Petersburg, Russia
The relevance of this issue due to constant attention to the analysis and interpreta-
tion of the implementation results of Information Security Management Systems (ISMS).
In the analysis of such projects is usually taken into account only the minimum require-
ments, based on the well-known methodological framework — a series of international
standards ISO 27000. However, the application for the analysis of the effectiveness of
the ISMS only "certification" of ISO 27001 objectively insufficient, further requires a
special ISO standard 27004, containing the rules for dealing with IT-security metrics. In
this issue, first, review the current regulatory framework ISO 27001 series, secondly,
show the practical application of IT-security metrics, significantly expanding the possibil-
ities for assessing the effectiveness of the ISMS, as well as recommendations for the
formation of a system of metrics IT-security directly related to the business require-
ments.
Keywords: information Security (IS), Information Security Management System (ISMS), management of risks, audit,
metrics of IT-Security, effectiveness assessment.
Bibliography — 13 references. Received February 4, 2015