Документ обсуждает оценку эффективности функции информационной безопасности (ИБ) и подчеркивает важность соответствия ожиданиям руководства и вовлеченности в бизнес-процессы. Основные критерии оценки включают компетентность, проактивность и рациональное распределение ресурсов, а также привязку метрик ИБ к бизнес-целям. Также акцентируется внимание на необходимости согласования критериев оценки с руководством и на быстром реагировании на изменения в отрасли ИБ.

1. Оценка эффективности функции ИБ:
как [не] надо это делать?
Михаил Маркевич, CISA, CISM, CISSP
Руководитель направления «Информационная безопасность», ЮЛМАРТ
III отраслевая конференция «ИТ в ритейле»
11-12 сентября 2014 года, Москва

2. Портрет эффективной функции ИБ
Основной критерий оценки – соответствие ожиданиям руководства
Компетентность
Оперативная
реакция
Проактивная
позиция
Рациональное
потребление
ресурсов
Готовность к
изменениям
Наличие
полномочий
Не замедляет
бизнес-процессы

3. Про факторы, влияющие на эффективность
20% усилий дают 80% результата
Динамика развития ИБ такова, что
проекты внедрения дольше трех
месяцев рискуют оказаться
неуспешными
Множество задач ИБ может быть
решено попутно с реализацией
других ИТ-проектов
Желаемый результат инвестиций
далеко не всегда оценивается в
прямом денежном выражении
Распространение сервисной модели
в ИТ позволяет быстро оценить
необходимое решение перед
внедрением
Наличие антивирусов, межсетевых
экранов, систем предотвращения
вторжений и т.п. не обязательно
повышает уровень защищенности

4. Про метрики эффективности
В соответствии с регламентом согласовано
12475 заявок на предоставление доступа!
А нельзя ли как-нибудь упростить
процедуру?
За месяц расследовано 64 инцидента,
выявлено 12 нарушителей!!!
Интересно, а сколько инцидентов
произошло на самом деле?
При внедрении DLP-системы мы
сэкономили 380 тысяч рублей!
Минимизирует ли это наши потери при
утечках конфиденциальных данных?

5. А как измерить и оценить лучше?
Критерии и основные показатели оценки деятельности функции ИБ должны
разрабатываться извне (руководством , заказчиком и т.п.) и содержать привязку к
бизнес-целям компании.
Метрики эффективности процедур ИБ должны быть взаимосвязаны с основными
показателями деятельности, заданными руководством.

6. Опросный лист
 Разграничены ли роли, обязанности и ответственность между
функцией ИБ и другими подразделениями компании?
 В какие операционные бизнес-процессы компании вовлечена
функция ИБ?
 Вовлечена ли функция ИБ в проектную деятельность компании и
процессы развития?
 Какое количество изменений бизнес-процессов (БП),
предложенных функцией ИБ, было реализовано за последний год?
Какова доля этих изменений относительно общего числа
изменений БП в компании?

7. Выводы
Отрасль ИБ развивается быстрее, чем некоторые наши планы. При этом, чтобы быть
эффективной, функция ИБ должна быть на шаг впереди :)
Руководство оценивает нас не только по качеству исполнения процедур, но и по
вовлеченности в основные бизнес-процессы и вкладе в общее дело
Представляется целесообразным увязать оценку эффективности функции ИБ с
общим процессом осуществления изменений в компании

8. Спасибо за внимание!