1. Прозоров Андрей
Ведущий эксперт по информационной безопасности
Зачем измерять
информационную
безопасность?
Для DLP–Expert 08-2013
2. 1. При обосновании бюджета ИТ и ИБ
2. При выборе решения ИТ и ИБ
3. При подготовке отчетов для руководства
4. Регулярно по рекомендациям стандартов ИБ
5. При анализе инцидентов
6. Просто от скуки…
Когда мы начинаем измерять ИБ
и все, что с ней связано
Идеальный вариант: анализ для совершенствования процессов
(анализ влияния изменений, аномалий).
Но есть минус: процессный подход должен быть внедрен в компании
(ISO 9001/20000/22301/27001, ITIL, COBIT, СТО БР ИББС…)
3. Покажите ценность бизнесу
Получение выгод
Оптимизация рисков
Оптимизация ресурсов
1.Обоснование бюджета
!Покажите «бизнесу» деньги!
Дополнительные аргументы
Инциденты
Требования (а лучше предписания) регуляторов
«Оценка рисков»/модель угроз
Аналог по отрасли
«Лучшие практики»
Соответствие стратегии ИТ
…
4. Выгоды
Какие выгоды и преимущества для компании?
Например, добровольная сертификация по ISO 27001 дает маркетинговое
преимущество, которое обеспечивает рост выручки компании (посчитать
сложно, но можно, например, проведя опрос потребителей)
Риски
Какова величина риска?
Вероятность (количество инцидентов в год)
Ущерб (Простой оборудования, процессов, персонала;
Восстановление; Расследование инцидентов; Юридическое
сопровождение; Штрафы и другие санкции регуляторов;
Репутационные потери)
Оптимизация ресурсов
Сколько денег можно сэкономить?
Например: Оптимизация стоимости СЗИ (новые дешевле), Автоматизация
процессов, Консалтинг или Внутренний персонал (+обучение персонала),
Аутсорсинг или Внутренний персонал…
Как считать?
5. На стоимость влияют: отрасль, состав информации
(например, сканы паспортов, номера кредитных карт, планы
развития, БД клиентов, логины/пароли, информация о
здоровье, личная переписка и пр.), количество записей,
дальнейшее использование информации, реакция компании
на инцидент
Для разного состава информации возможны
разные последствия / типы ущерба
Самостоятельные идеи, которые плохо работают:
цена 1 записи (200$ США и 40$ Индия)*кол-во
отток клиентов 10-20% (Forrester)
последствия от ухода клиента CLV (Client Lifetime Value) *
вероятность переманивания (~30%)
А вероятность утечки? Смотрите отчеты…
Пример. Сколько стоит утечка
информации?
6. Цели и задачи - > Функционал решения
Дополнительные критерии
Дополнительный функционал
Наличие сертификатов соответствия
Рекомендации экспертов, отраслевые стандарты
Язык интерфейса и документации
Условия тех.поддержки
…
Стоимость владения:
ПО (лицензии) и АО
Внедрение и настройка
Трудозатраты персонала и его стоимость
Обучение персонала
Тех.поддержка и консультации
Методические документы
Утилизация
…
2.Выбор решения
7. Показатели может выбирать руководитель самостоятельно
(отчет по форме) или на усмотрение исполнителя (в
произвольной форме)
Говорите с «бизнесом» на его языке, не используйте
«технические» метрики
Лучший показатель – предотвращенный ущерб…
Большинство метрик не несет никакой информации без
сравнения (с планом, с эталоном, с прошлым измерением)
Многие СЗИ могут генерировать отчеты, содержащие
показатели, диаграммы и графики
Главное требование: отчет должен быть коротким и понятным
(Executive Summery)
Рекомендуется включить в отчет выводы и конкретные
предложения
3.Отчеты для руководства
8. Измерения в ISO 27001: оценка рисков, мониторинг и анализ
СУИБ со стороны руководства, управление инцидентами
(извлечение уроков из инцидентов).
Рекомендации: ISO 27005, ISO 27003, ISO 27004 (14
«конструктивных элементов измерений)
Документы NIST и COBIT5
А еще есть СТО БР ИББС, требования по НПС…
4.Требования стандартов
ISO NIST COBIT5
9. Основные показатели:
Ущерб
Количество инцидентов
Время обнаружения
Время восстановления
Стоимость восстановления
…
5.Анализ инцидентов
Парадокс системного администратора:
«Если админ спит на работе, это хороший админ
или плохой?»
10. Можно измерять все, что угодно…
Метрик может быть очень много…
Не путайте показатели (метрики) и KPI
KPI всегда привязаны к целям компании, KPI обычно не много (не более 20 на
компанию, обычно до 10)
Большинство метрик не несет никакой информации без
сравнения (с планом, с эталоном, с прошлым измерением)
Упрощайте и автоматизируйте
Сохраняйте результаты измерений
6.Измерение ИБ от скуки
11. 1. Определите цель измерения
Для чего будет использоваться информация и кем?
2. Четко сформулируйте объект оценки
3. Найдите баланс между ценностью информации и
стоимостью ее получения
4. Найдите баланс между точностью информации и
стоимостью ее получения
5. 2 основных параметра, которые полезно уметь
оценивать: ущерб и вероятность
«Повышение безопасности означает снижение частоты
определенных нежелательных событий
и уменьшение ущерба от них»
Общие рекомендации при
проведении измерений
12. До тех пор пока Вы не
начнете регулярно измерять
ИБ, рано переходить к оценке
эффективности ИБ
0.Incomplete
1.Performed
2.Managed
3.Established
4.Predictable
5.Optimising
14. Number of records or files detected as
compliance infractions
Percentage of software applications tested
Reduction in the frequency of denial of service
attacks
Reduction in regulatory actions and lawsuits
Reduction in expired certificates (including SSL
and SSH keys)
Mean time to detect security incidents
Reduction in the number of threats
Reduction in the cost of cyber crime
remediation
Percentage of recurring incidents
Percentage of incidents detected by
automated control
Performance of users on security training
retention tests
Time to contain data breaches and security
exploits
Reduction in the number or percentage of end
user enforcement actions
Reduction in loss of data-bearing devices
(laptops, tablets, smartphones)
Бонус: Лучшие метрики ИБ
Reduction in the cost of security management
activities
Length of time to implement security patches
Spending level relative to total budget
Percentage of endpoints free of malware and
viruses
Number of end users receiving appropriate
training
Reduction in unplanned system downtime
Reduction in number of access and
authentication violations
Reduction in the total cost of ownership (TCO)
Return on security technology investments
(ROI)
Reduction in number of known vulnerabilities
Reduction in number of data breach incidents
Reduction in number of percentage of policy
violations
Reduction in audit findings and repeat findings
Number of security personnel achieving
certification
«The State of Risk-Based Security 2013» (Tripwire) U.S. и U.K.