Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001, profile picture
Uploaded byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
PPTX, PDF7,892 views

пр зачем измерять информационную безопасность (прозоров)

Документ обсуждает важность измерения информационной безопасности для обоснования бюджета, выбора решений и подготовки отчетов для руководства. Он подчеркивает необходимость баланса между точностью информации и стоимостью ее получения, а также акцентирует внимание на важности адаптации метрик к целям компании. Основные рекомендации включают использование стандартов ISO и анализ инцидентов для оптимизации процессов управления информационной безопасностью.

Embed presentation

Downloaded 52 times
Прозоров Андрей Ведущий эксперт по информационной безопасности Зачем измерять информационную безопасность? Для DLP–Expert 08-2013
1. При обосновании бюджета ИТ и ИБ 2. При выборе решения ИТ и ИБ 3. При подготовке отчетов для руководства 4. Регулярно по рекомендациям стандартов ИБ 5. При анализе инцидентов 6. Просто от скуки… Когда мы начинаем измерять ИБ и все, что с ней связано Идеальный вариант: анализ для совершенствования процессов (анализ влияния изменений, аномалий). Но есть минус: процессный подход должен быть внедрен в компании (ISO 9001/20000/22301/27001, ITIL, COBIT, СТО БР ИББС…)
Покажите ценность бизнесу  Получение выгод  Оптимизация рисков  Оптимизация ресурсов 1.Обоснование бюджета !Покажите «бизнесу» деньги! Дополнительные аргументы  Инциденты  Требования (а лучше предписания) регуляторов  «Оценка рисков»/модель угроз  Аналог по отрасли  «Лучшие практики»  Соответствие стратегии ИТ  …
Выгоды Какие выгоды и преимущества для компании? Например, добровольная сертификация по ISO 27001 дает маркетинговое преимущество, которое обеспечивает рост выручки компании (посчитать сложно, но можно, например, проведя опрос потребителей) Риски Какова величина риска?  Вероятность (количество инцидентов в год)  Ущерб (Простой оборудования, процессов, персонала; Восстановление; Расследование инцидентов; Юридическое сопровождение; Штрафы и другие санкции регуляторов; Репутационные потери) Оптимизация ресурсов Сколько денег можно сэкономить? Например: Оптимизация стоимости СЗИ (новые дешевле), Автоматизация процессов, Консалтинг или Внутренний персонал (+обучение персонала), Аутсорсинг или Внутренний персонал… Как считать?
На стоимость влияют: отрасль, состав информации (например, сканы паспортов, номера кредитных карт, планы развития, БД клиентов, логины/пароли, информация о здоровье, личная переписка и пр.), количество записей, дальнейшее использование информации, реакция компании на инцидент Для разного состава информации возможны разные последствия / типы ущерба Самостоятельные идеи, которые плохо работают:  цена 1 записи (200$ США и 40$ Индия)*кол-во  отток клиентов 10-20% (Forrester)  последствия от ухода клиента CLV (Client Lifetime Value) * вероятность переманивания (~30%) А вероятность утечки? Смотрите отчеты… Пример. Сколько стоит утечка информации?
Цели и задачи - > Функционал решения Дополнительные критерии Дополнительный функционал Наличие сертификатов соответствия Рекомендации экспертов, отраслевые стандарты Язык интерфейса и документации Условия тех.поддержки … Стоимость владения:  ПО (лицензии) и АО  Внедрение и настройка  Трудозатраты персонала и его стоимость  Обучение персонала  Тех.поддержка и консультации  Методические документы  Утилизация  … 2.Выбор решения
Показатели может выбирать руководитель самостоятельно (отчет по форме) или на усмотрение исполнителя (в произвольной форме) Говорите с «бизнесом» на его языке, не используйте «технические» метрики Лучший показатель – предотвращенный ущерб… Большинство метрик не несет никакой информации без сравнения (с планом, с эталоном, с прошлым измерением) Многие СЗИ могут генерировать отчеты, содержащие показатели, диаграммы и графики Главное требование: отчет должен быть коротким и понятным (Executive Summery) Рекомендуется включить в отчет выводы и конкретные предложения 3.Отчеты для руководства
Измерения в ISO 27001: оценка рисков, мониторинг и анализ СУИБ со стороны руководства, управление инцидентами (извлечение уроков из инцидентов). Рекомендации: ISO 27005, ISO 27003, ISO 27004 (14 «конструктивных элементов измерений) Документы NIST и COBIT5 А еще есть СТО БР ИББС, требования по НПС… 4.Требования стандартов ISO NIST COBIT5
Основные показатели:  Ущерб  Количество инцидентов  Время обнаружения  Время восстановления  Стоимость восстановления  … 5.Анализ инцидентов Парадокс системного администратора: «Если админ спит на работе, это хороший админ или плохой?»
Можно измерять все, что угодно… Метрик может быть очень много… Не путайте показатели (метрики) и KPI KPI всегда привязаны к целям компании, KPI обычно не много (не более 20 на компанию, обычно до 10) Большинство метрик не несет никакой информации без сравнения (с планом, с эталоном, с прошлым измерением) Упрощайте и автоматизируйте Сохраняйте результаты измерений 6.Измерение ИБ от скуки
1. Определите цель измерения Для чего будет использоваться информация и кем? 2. Четко сформулируйте объект оценки 3. Найдите баланс между ценностью информации и стоимостью ее получения 4. Найдите баланс между точностью информации и стоимостью ее получения 5. 2 основных параметра, которые полезно уметь оценивать: ущерб и вероятность «Повышение безопасности означает снижение частоты определенных нежелательных событий и уменьшение ущерба от них» Общие рекомендации при проведении измерений
До тех пор пока Вы не начнете регулярно измерять ИБ, рано переходить к оценке эффективности ИБ 0.Incomplete 1.Performed 2.Managed 3.Established 4.Predictable 5.Optimising
http://www.infowatch.ru @InfoWatchNews http://dlp-expert.ru @DLP_Expert И контакты… http://80na20.blogspot.ru @3dwave
Number of records or files detected as compliance infractions Percentage of software applications tested Reduction in the frequency of denial of service attacks Reduction in regulatory actions and lawsuits Reduction in expired certificates (including SSL and SSH keys) Mean time to detect security incidents Reduction in the number of threats Reduction in the cost of cyber crime remediation Percentage of recurring incidents Percentage of incidents detected by automated control Performance of users on security training retention tests Time to contain data breaches and security exploits Reduction in the number or percentage of end user enforcement actions Reduction in loss of data-bearing devices (laptops, tablets, smartphones) Бонус: Лучшие метрики ИБ Reduction in the cost of security management activities Length of time to implement security patches Spending level relative to total budget Percentage of endpoints free of malware and viruses Number of end users receiving appropriate training Reduction in unplanned system downtime Reduction in number of access and authentication violations Reduction in the total cost of ownership (TCO) Return on security technology investments (ROI) Reduction in number of known vulnerabilities Reduction in number of data breach incidents Reduction in number of percentage of policy violations Reduction in audit findings and repeat findings Number of security personnel achieving certification «The State of Risk-Based Security 2013» (Tripwire) U.S. и U.K.

More Related Content

PDF
пр Принципы измерения ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Модель зрелости процесса (мониторинг и оценка ИБ)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Книга про измерения (ITSM)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Про интегральные метрики ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
пр все про Cobit5 для dlp expert 2013-12
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Добровольная система сертификации отрасли ИБ. 2012
byЕвгений Родыгин
 
PPTX
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
byLETA IT-company
 
PDF
Про аудиты ИБ для студентов фин.академии
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Принципы измерения ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель зрелости процесса (мониторинг и оценка ИБ)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Книга про измерения (ITSM)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про интегральные метрики ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр все про Cobit5 для dlp expert 2013-12
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Добровольная система сертификации отрасли ИБ. 2012
byЕвгений Родыгин
 
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
byLETA IT-company
 
Про аудиты ИБ для студентов фин.академии
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot

PPTX
пр прозоров для Info sec2012 cobit5 итог
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Управление инцидентами информационной безопасности от А до Я
byDialogueScience
 
PDF
About TM for CISO (rus)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
ИСО 27001 на практике, или будни внедренца
byAlexey Evmenkov
 
PPTX
Yalta_10 _ey-cio_forum
byVladimir Matviychuk
 
PDF
UEBA – поведенческий анализ, а не то, что Вы подумали
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPT
Iso 27001 01_dmytriyev_kiev_2010_july
byGlib Pakharenko
 
PPTX
Построение СУИБ на основе ISO 27k
bySergey Chuchaev
 
PDF
Мониторинг своими руками
bySergey Soldatov
 
PDF
Комплект документов по ISO 27001-2013
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPT
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
byUISGCON
 
PPTX
СУИБ - проблемы внедрения v4
bya_a_a
 
PPTX
пр стандарты и «лучшие практики» в иб (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Расследование инцидентов в ОС Windows - Владимир Безмалый
byRISClubSPb
 
PDF
Брошюра о технологии "Активы при риске"
byYuri Bubnov
 
PDF
пр стандарты иб. Itsm
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Разработка средств защиты в России и на Западе: разность подходов
byAleksey Lukatskiy
 
PDF
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
byDialogueScience
 
PDF
Security Metrics.pdf
byAleksey Lukatskiy
 
PDF
EDR investment guide for Enterprise 2017-2018
byOleg Glebov
 
пр прозоров для Info sec2012 cobit5 итог
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление инцидентами информационной безопасности от А до Я
byDialogueScience
 
About TM for CISO (rus)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 на практике, или будни внедренца
byAlexey Evmenkov
 
Yalta_10 _ey-cio_forum
byVladimir Matviychuk
 
UEBA – поведенческий анализ, а не то, что Вы подумали
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Iso 27001 01_dmytriyev_kiev_2010_july
byGlib Pakharenko
 
Построение СУИБ на основе ISO 27k
bySergey Chuchaev
 
Мониторинг своими руками
bySergey Soldatov
 
Комплект документов по ISO 27001-2013
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
byUISGCON
 
СУИБ - проблемы внедрения v4
bya_a_a
 
пр стандарты и «лучшие практики» в иб (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
byRISClubSPb
 
Брошюра о технологии "Активы при риске"
byYuri Bubnov
 
пр стандарты иб. Itsm
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Разработка средств защиты в России и на Западе: разность подходов
byAleksey Lukatskiy
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
byDialogueScience
 
Security Metrics.pdf
byAleksey Lukatskiy
 
EDR investment guide for Enterprise 2017-2018
byOleg Glebov
 

Similar to пр зачем измерять информационную безопасность (прозоров)

PDF
Программа курса "Измерение эффективности ИБ"
byAleksey Lukatskiy
 
PDF
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
byИлья Лившиц
 
PDF
Бизнес-метрики ИБ для руководства финансовой организации
byAleksey Lukatskiy
 
PPTX
Принципы защиты информации и метрики ИБ
byАлександр Лысяк
 
PDF
Определение бюджета для реализации проекта системы менеджмента информационной...
byИлья Лившиц
 
PPT
Security Metrix
byguest430c97
 
PPT
Security Metrix
byqqlan
 
PDF
Security Effectivness and Efficiency
byAleksey Lukatskiy
 
PPT
Security Metrics for PCI Compliance
byqqlan
 
PDF
Про DLP (Баку) 2014 11
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Презентация по ИБ для руководства компании
byAleksey Lukatskiy
 
PDF
Как обосновать затраты на ИБ?
byAleksey Lukatskiy
 
PDF
пр стоимость утечки информации Iw для idc
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
byExpolink
 
PDF
Measurement of security efficiency
byAleksey Lukatskiy
 
PDF
Аудит ИБ как инструмент повышения эффективности вашего бизнеса
byIvan Piskunov
 
PPTX
Метрики информационной безопасности
byАлександр Лысяк
 
PPTX
Простая ИБ для обычных организаций
byAlexey Evmenkov
 
PDF
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
byVsevolod Shabad
 
PDF
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
byDialogueScience
 
Программа курса "Измерение эффективности ИБ"
byAleksey Lukatskiy
 
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
byИлья Лившиц
 
Бизнес-метрики ИБ для руководства финансовой организации
byAleksey Lukatskiy
 
Принципы защиты информации и метрики ИБ
byАлександр Лысяк
 
Определение бюджета для реализации проекта системы менеджмента информационной...
byИлья Лившиц
 
Security Metrix
byguest430c97
 
Security Metrix
byqqlan
 
Security Effectivness and Efficiency
byAleksey Lukatskiy
 
Security Metrics for PCI Compliance
byqqlan
 
Про DLP (Баку) 2014 11
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Презентация по ИБ для руководства компании
byAleksey Lukatskiy
 
Как обосновать затраты на ИБ?
byAleksey Lukatskiy
 
пр стоимость утечки информации Iw для idc
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
byExpolink
 
Measurement of security efficiency
byAleksey Lukatskiy
 
Аудит ИБ как инструмент повышения эффективности вашего бизнеса
byIvan Piskunov
 
Метрики информационной безопасности
byАлександр Лысяк
 
Простая ИБ для обычных организаций
byAlexey Evmenkov
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
byVsevolod Shabad
 
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
byDialogueScience
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

PDF
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
pr ISMS Documented Information (lite).pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO Survey 2022: ISO 27001 certificates (ISMS)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
12 Best Privacy Frameworks
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Cybersecurity Frameworks for DMZCON23 230905.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
From NIST CSF 1.1 to 2.0.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001 How to accelerate the implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
How to use ChatGPT for an ISMS implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
pr Privacy Principles 230405 small.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001:2022 Introduction
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27005:2022 Overview 221028.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001:2022 What has changed.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO Survey 2021: ISO 27001.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Supply management 1.1.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Employee Monitoring and Privacy.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
GDPR RACI.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
pr ISMS Documented Information (lite).pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
12 Best Privacy Frameworks
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
From NIST CSF 1.1 to 2.0.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 How to accelerate the implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
How to use ChatGPT for an ISMS implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
pr Privacy Principles 230405 small.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001:2022 Introduction
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27005:2022 Overview 221028.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001:2022 What has changed.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO Survey 2021: ISO 27001.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Supply management 1.1.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Employee Monitoring and Privacy.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR RACI.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

пр зачем измерять информационную безопасность (прозоров)

  • 1.
    Прозоров Андрей Ведущий экспертпо информационной безопасности Зачем измерять информационную безопасность? Для DLP–Expert 08-2013
  • 2.
    1. При обоснованиибюджета ИТ и ИБ 2. При выборе решения ИТ и ИБ 3. При подготовке отчетов для руководства 4. Регулярно по рекомендациям стандартов ИБ 5. При анализе инцидентов 6. Просто от скуки… Когда мы начинаем измерять ИБ и все, что с ней связано Идеальный вариант: анализ для совершенствования процессов (анализ влияния изменений, аномалий). Но есть минус: процессный подход должен быть внедрен в компании (ISO 9001/20000/22301/27001, ITIL, COBIT, СТО БР ИББС…)
  • 3.
    Покажите ценность бизнесу Получение выгод  Оптимизация рисков  Оптимизация ресурсов 1.Обоснование бюджета !Покажите «бизнесу» деньги! Дополнительные аргументы  Инциденты  Требования (а лучше предписания) регуляторов  «Оценка рисков»/модель угроз  Аналог по отрасли  «Лучшие практики»  Соответствие стратегии ИТ  …
  • 4.
    Выгоды Какие выгоды ипреимущества для компании? Например, добровольная сертификация по ISO 27001 дает маркетинговое преимущество, которое обеспечивает рост выручки компании (посчитать сложно, но можно, например, проведя опрос потребителей) Риски Какова величина риска?  Вероятность (количество инцидентов в год)  Ущерб (Простой оборудования, процессов, персонала; Восстановление; Расследование инцидентов; Юридическое сопровождение; Штрафы и другие санкции регуляторов; Репутационные потери) Оптимизация ресурсов Сколько денег можно сэкономить? Например: Оптимизация стоимости СЗИ (новые дешевле), Автоматизация процессов, Консалтинг или Внутренний персонал (+обучение персонала), Аутсорсинг или Внутренний персонал… Как считать?
  • 5.
    На стоимость влияют:отрасль, состав информации (например, сканы паспортов, номера кредитных карт, планы развития, БД клиентов, логины/пароли, информация о здоровье, личная переписка и пр.), количество записей, дальнейшее использование информации, реакция компании на инцидент Для разного состава информации возможны разные последствия / типы ущерба Самостоятельные идеи, которые плохо работают:  цена 1 записи (200$ США и 40$ Индия)*кол-во  отток клиентов 10-20% (Forrester)  последствия от ухода клиента CLV (Client Lifetime Value) * вероятность переманивания (~30%) А вероятность утечки? Смотрите отчеты… Пример. Сколько стоит утечка информации?
  • 6.
    Цели и задачи- > Функционал решения Дополнительные критерии Дополнительный функционал Наличие сертификатов соответствия Рекомендации экспертов, отраслевые стандарты Язык интерфейса и документации Условия тех.поддержки … Стоимость владения:  ПО (лицензии) и АО  Внедрение и настройка  Трудозатраты персонала и его стоимость  Обучение персонала  Тех.поддержка и консультации  Методические документы  Утилизация  … 2.Выбор решения
  • 7.
    Показатели может выбиратьруководитель самостоятельно (отчет по форме) или на усмотрение исполнителя (в произвольной форме) Говорите с «бизнесом» на его языке, не используйте «технические» метрики Лучший показатель – предотвращенный ущерб… Большинство метрик не несет никакой информации без сравнения (с планом, с эталоном, с прошлым измерением) Многие СЗИ могут генерировать отчеты, содержащие показатели, диаграммы и графики Главное требование: отчет должен быть коротким и понятным (Executive Summery) Рекомендуется включить в отчет выводы и конкретные предложения 3.Отчеты для руководства
  • 8.
    Измерения в ISO27001: оценка рисков, мониторинг и анализ СУИБ со стороны руководства, управление инцидентами (извлечение уроков из инцидентов). Рекомендации: ISO 27005, ISO 27003, ISO 27004 (14 «конструктивных элементов измерений) Документы NIST и COBIT5 А еще есть СТО БР ИББС, требования по НПС… 4.Требования стандартов ISO NIST COBIT5
  • 9.
    Основные показатели:  Ущерб Количество инцидентов  Время обнаружения  Время восстановления  Стоимость восстановления  … 5.Анализ инцидентов Парадокс системного администратора: «Если админ спит на работе, это хороший админ или плохой?»
  • 10.
    Можно измерять все,что угодно… Метрик может быть очень много… Не путайте показатели (метрики) и KPI KPI всегда привязаны к целям компании, KPI обычно не много (не более 20 на компанию, обычно до 10) Большинство метрик не несет никакой информации без сравнения (с планом, с эталоном, с прошлым измерением) Упрощайте и автоматизируйте Сохраняйте результаты измерений 6.Измерение ИБ от скуки
  • 11.
    1. Определите цельизмерения Для чего будет использоваться информация и кем? 2. Четко сформулируйте объект оценки 3. Найдите баланс между ценностью информации и стоимостью ее получения 4. Найдите баланс между точностью информации и стоимостью ее получения 5. 2 основных параметра, которые полезно уметь оценивать: ущерб и вероятность «Повышение безопасности означает снижение частоты определенных нежелательных событий и уменьшение ущерба от них» Общие рекомендации при проведении измерений
  • 12.
    До тех порпока Вы не начнете регулярно измерять ИБ, рано переходить к оценке эффективности ИБ 0.Incomplete 1.Performed 2.Managed 3.Established 4.Predictable 5.Optimising
  • 13.
  • 14.
    Number of recordsor files detected as compliance infractions Percentage of software applications tested Reduction in the frequency of denial of service attacks Reduction in regulatory actions and lawsuits Reduction in expired certificates (including SSL and SSH keys) Mean time to detect security incidents Reduction in the number of threats Reduction in the cost of cyber crime remediation Percentage of recurring incidents Percentage of incidents detected by automated control Performance of users on security training retention tests Time to contain data breaches and security exploits Reduction in the number or percentage of end user enforcement actions Reduction in loss of data-bearing devices (laptops, tablets, smartphones) Бонус: Лучшие метрики ИБ Reduction in the cost of security management activities Length of time to implement security patches Spending level relative to total budget Percentage of endpoints free of malware and viruses Number of end users receiving appropriate training Reduction in unplanned system downtime Reduction in number of access and authentication violations Reduction in the total cost of ownership (TCO) Return on security technology investments (ROI) Reduction in number of known vulnerabilities Reduction in number of data breach incidents Reduction in number of percentage of policy violations Reduction in audit findings and repeat findings Number of security personnel achieving certification «The State of Risk-Based Security 2013» (Tripwire) U.S. и U.K.