Документ описывает модель зрелости процесса мониторинга и оценки информационной безопасности, акцентируя внимание на необходимости систематического контроля и анализа результатов для достижения целей организации. Он содержит уровни зрелости, от несуществующего до оптимизированного, а также рекомендации по внедрению эффективных механизмов мониторинга и управления информационной безопасностью. Целью данного процесса является обеспечение прозрачности и результативности работы подразделения информационной безопасности.

1. © Solar Security
info@solarsecurity.ru
+7 (499) 755-0770
МОДЕЛЬ ЗРЕЛОСТИ
ПРОЦЕСС «МОНИТОРИНГ И
ОЦЕНКА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ»
22.08.2016 V.1.0
«Вы не можете управлять тем, что не можете контролировать.
Вы не можете контролировать то, что не можете измерить.
Вы не может измерять то, что не можете определить».
Прозоров Андрей, CISM, руководитель экспертного направления в компании Solar Security.
Мониторинг и оценка информационной безопасности (далее – ИБ) являются важным процессом,
необходимым для управления ИБ организации. Данный процесс включает в себя определение индикаторов
результативности и эффективности ИБ, своевременную подготовку отчетов, а также готовность принимать
решения по совершенствованию системы ИБ по результатам их анализа.
Цель процесса: обеспечение прозрачности работы подразделения ИБ и контроля достижения им необходимых
результатов и целей.
Процесс сосредоточен на мониторинге и подготовке отчетов по метрикам и показателям процессов и проектов
ИБ, а также на выявлении и реализации действий по повышению результативности и эффективности ИБ.
Это достигается с помощью:
• составления и преобразования отчетов о результативности и эффективности процессов и проектов ИБ в
управленческую отчетность;
• анализа результативности и эффективности в соответствии с поставленными целями и приоритетами
организации, а также инициирования корректирующих действий (совершенствование ИБ).
Представленная модель зрелости может быть использована для выстраивания системного видения и
понимания процесса мониторинга и оценки ИБ в целом, оценки его текущего уровня и определения
дальнейших шагов по его совершенствованию.
Стоит отметить, что не все организации должны стремиться к достижению наивысшего уровня зрелости.
Переход с уровня на уровень требует дополнительных ресурсов и не всегда может быть целесообразен.
Исполнитель
01
Общая информация

2. © Solar Security
info@solarsecurity.ru
+7 (499) 755-0770 02
За основу методики взят подход, используемый для оценки зрелости процессов в рамках методологии
COBIT4.1 (ISACA), и в частности, процессов «ME 1. Мониторинг и оценка эффективности ИТ» и «МЕ 2.
Мониторинг и оценка системы внутреннего контроля».
В рамках модели используются следующие уровни зрелости процесса:
0 Несуществующий (Non-existent). Процесс отсутствует, организация даже не осознает наличие
проблем, которые надо решать.
1 Начальный / Повторяющийся эпизодически и бессистемно (Initial / Ad hoc). Стандартизованные
процессы отсутствуют, однако существуют подходы, применяемые в отдельных случаях.
2 Повторяющийся, но интуитивный (Repeatable but intuitive). Процессы повторяются по образцу,
разные сотрудники, выполняющие одну и ту же задачу, используют сходные процедуры.
3 Определенный (Defined). Процессы и требования документально оформлены и доведены до
сведения заинтересованных лиц. Существуют формальные требования следовать описанному
процессу, однако маловероятно, что отклонения будут обнаружены. Сами процедуры представляют
собой формализованный вариант существующей практики.
4 Управляемый и измеряемый (Managed and measurable). Ведется мониторинг процессов в
измеряемых показателях. Процессы постоянно совершенствуются и соответствуют общепринятой
практике.
5 Оптимизированный (Optimised). Лучшие практики внедрены и автоматизированы. Процессы
оптимизированы до уровня лучших практик, они базируются на результатах непрерывного
совершенствования и сравнения с другими организациями.
Модель зрелости процесса представлена далее.
P.S. Дополнительно в Приложении А представлена выписка (и неофициальный перевод) положений стандарта
ISO/IEC 27001:2013 «Information technology -- Security techniques -- Information security management systems –
Requirements», посвященные измерениям ИБ и анализу ИБ со стороны руководства.

3. © Solar Security
info@solarsecurity.ru
+7 (499) 755-0770 03
0 Несуществующий (Non-existent).
• В организации отсутствует процесс мониторинга и оценки ИБ.
• Руководству не предоставляется отчетность о деятельности подразделения ИБ.
• Организация не осознает необходимость в процессе мониторинга и оценки ИБ, этот вопрос даже не
обсуждается.
• Руководители и сотрудники проявляют общую неосведомленность в вопросах измерения
результативности и эффективности ИБ.
• Затраты на управление и обеспечение ИБ в явном виде не определены.
1 Начальный / Повторяющийся эпизодически и бессистемно (Initial / Ad hoc).
• Цели ИБ и измеримые результаты деятельности подразделения ИБ не определены.
• Организация осознает необходимость в мониторинге и оценке ИБ, однако степень этого осознания
зависит от конкретных сотрудников и не поддерживается (или слабо поддерживается) руководством.
• Мониторинг и оценка ИБ производятся от случая к случаю применительно к нуждам отдельных ИБ-
проектов или процессов.
• Мониторинг внедряется в основном как реакция на инцидент, который привел к потерям или создал
проблему для организации (например, заражение ИС вредоносным кодом, утечки конфиденциальной
информации и пр.).
• Отчетность руководству обычно предоставляется по запросу, а не на регулярной основе.
• Организация в большой степени зависит от знаний отдельных лиц, вследствие чего велика вероятность
ошибок.
• Бухгалтерская служба отслеживает основные финансовые показатели, относящиеся к подразделению
ИБ.
2 Повторяющийся, но интуитивный (Repeatable but intuitive).
• Определены основные метрики и показатели, подлежащие мониторингу, однако они не выровнены с
целями ИБ и бизнеса в целом.
• Мониторинг и оценка ИБ производятся регулярно, однако результаты используются исключительно
подразделением ИБ и не передаются руководству организации.
• Интерпретация результатов мониторинга основана на личном опыте ответственных сотрудников,
вследствие чего возможны ошибки.
• Выбраны и применяются отдельные, ограниченные по своим возможностям, инструментальные
средства для сбора информации (например, формы Excel).
• Процедуры и методики не документированы (или лишь частично), отчетность не формализована.
МОДЕЛЬ ЗРЕЛОСТИ ПРОЦЕССА
«МОНИТОРИНГ И ОЦЕНКА ИБ»

4. © Solar Security
info@solarsecurity.ru
+7 (499) 755-0770 04
3 Определенный (Defined).
• Определены и документированы цели ИБ и измеримые результаты деятельности подразделения ИБ.
• Определен перечень заинтересованных лиц (внутренних и внешних) и их требования (и пожелания) к
отчетам со стороны подразделения ИБ.
• Определены и документированы цели измерения и мониторинга ИБ.
• Документированы и утверждены руководством процессы мониторинга и оценки ИБ (включая
требования по подготовке необходимых отчетов), они доведены до ответственных сотрудников.
• Определены методики оценки результативности и эффективности ИБ, документирован перечень
метрик и показателей ИБ. Установлены показатели для определения вклада подразделения ИБ в
общую работу организации с использованием финансовых и операционных критериев (управленческая
отчетность).
• Создана формализованная база знаний по метрикам и показателям ИБ за прошедшие периоды.
• Оценка все еще выполняется на уровне отдельных процессов и проектов ИБ.
• Определены инструментальные средства проведения мониторинга ИБ (сбор и агрегация метрик и
показателей).
4 Управляемый и измеряемый (Managed and measurable).
• Существует единая система метрик и показателей для всех ИБ-проектов и процессов. Определены
целевые показатели и допустимые отклонения для всех процессов ИБ.
• Показатели работы подразделения ИБ согласованы с общекорпоративными целями.
• Формализована система управленческой отчетности подразделения ИБ.
• Установлены стандарты и нормы для отчетности по результатам мониторинга и оценки ИБ, их
подготовка автоматизирована.
• Автоматизированные инструментальные средства интегрированы и используются в масштабах всей
организации.
5 Оптимизированный (Optimised).
• Все процессы мониторинга и оценки оптимизированы и поддерживают цели всей организации.
• Показатели результативности и эффективности ИБ взаимосвязаны с системой стратегических оценок,
например, с системой сбалансированных показателей.
• Происходит непрерывное совершенствование системы мониторинга и оценки ИБ с учетом лучших
мировых и отраслевых практик. В этот процесс вовлечены сотрудники и руководство организации.
• Мониторинг процессов и их пересмотр согласуется с планами совершенствования бизнес-процессов в
масштабах всей организации.
• Формализован сравнительный анализ показателей организации с показателями отрасли и основных
конкурентов на основе чётких критериев.

5. 9. Оценка результативности
9.1. Мониторинг, измерение, анализ и оценка
Организация должна оценивать состояние информационной безопасности и результативность системы
управления информационной безопасности.
Организация должна определить:
a) что необходимо отслеживать и измерять, в том числе процессы информационной безопасности и
элементы управления;
b) методы мониторинга, измерения, анализа и оценки в зависимости от обстоятельств, в целях
обеспечения достоверных результатов;
ПРИМЕЧАНИЕ. Выбранные методы должны производить сопоставимые и воспроизводимые результаты,
которые будут достоверными.
a) когда будет осуществляться мониторинг и измерения;
b) кто должен осуществлять мониторинг и измерения;
c) когда результаты мониторинга и измерений должны быть проанализированы и оценены;
d) кто должен анализировать и оценивать эти результаты.
Организация должна сохранять соответствующую документированную информацию в качестве
свидетельства (подтверждения) результатов мониторинга и измерений.
9.2. Внутренний аудит
Организация должна проводить внутренние аудиты через запланированные промежутки времени для
предоставления информации о состоянии системы управления информационной безопасности:
a) на предмет соответствия
1) собственным требованиям организации для своей системы управления информационной
безопасности;
2) требованиям настоящего международного стандарта;
b) с целью оценки результативности внедрения и поддержки.
Организация должна:
c) планировать, разработать, внедрить и поддерживать программу(ы) аудита, включая методы,
ответственность, требования к планированию и отчетности. Программа(ы) аудита должна учитывать
важность процессов и результаты предыдущих аудитов;
d) определить критерии аудита и область применения для каждого аудита;
e) выбирать аудиторов и проводить аудиты, обеспечивая объективность и беспристрастность
процесса аудита;
f) обеспечить, чтобы результаты аудитов направлялись руководству соответствующего уровня;
g) сохранять документированную информацию в качестве свидетельства о программе(ах) аудита и
результатах аудита.
© Solar Security
info@solarsecurity.ru
+7 (499) 755-0770 05
ПРИЛОЖЕНИЕ А. ВЫПИСКА ИЗ
ISO 27001-2013
(НЕОФИЦИАЛЬНЫЙ ПЕРЕВОД)

6. © Solar Security
info@solarsecurity.ru
+7 (499) 755-0770 06
9.3. Анализ со стороны руководства
Высшее руководство должно анализировать систему управления информационной безопасности
организации через запланированные интервалы времени для обеспечения ее постоянной пригодности,
адекватности и результативности.
Анализ со стороны руководства должен включать:
a) статус действий по результатам предыдущих анализов со стороны руководства;
b) изменения внешних и внутренних аспектов, которые имеют отношение к системе управления
информационной безопасности;
c) обратную связь о состоянии информационной безопасности, включая:
1) несоответствия и корректирующие действия;
2) результаты мониторинга и измерений;
3) результаты аудита;
4) результат достижения целей информационной безопасности;
d) обратную связь со стороны заинтересованных сторон;
e) результаты оценки рисков и статус выполнения плана обработки рисков;
f) возможности для постоянного улучшения.
Выводы, завершающие анализ со стороны руководства, должны включать решения, связанные с
реализацией возможностей постоянного улучшения, и любые необходимые изменения в системе
управления информационной безопасности.
Организация должна сохранять документированную информацию в качестве свидетельства
(подтверждения) результатов анализа со стороны руководства.