BzBook.ru

Обеспечение информационной безопасности бизнеса

3.3.1. Модель оценки информационной безопасности на основе оценки процессов

При описании процесса оценки ИБ организации в разделе 3.2 не рассматривалось содержание модели оценки ИБ и критериев оценки ИБ. Эти компоненты процесса оценки ИБ связаны с целью оценки таким образом, что через цель оценки определяется критерий оценки ИБ, в рамках которых (цель, критерий) выбирается модель оценки ИБ организации.

Предположим, что целью оценки ИБ является оценка процессов обеспечения всей организации или объекта (ов) организации. Для достижения такой цели оценки в качестве критерия оценки ИБ должна использоваться эталонная модель процессов обеспечения ИБ, которая описывает в зависимости от объекта оценки совокупность из одного или более процессов в терминах назначения и ожидаемых результатов. Эталонная модель процессов может содержать более подробное описание процессов с выделением атрибутов по назначению и / или ключевых атрибутов — критических элементов процессов.

Модель оценки процесса включает сферу модели, показатели, отображение и преобразование модели оценки процесса.

Сфера модели оценки процесса может распространяться на подмножество процессов, определенных эталонной моделью процессов объекта оценки, а также охватывать дополнительные процессы, выходящие за рамки процессов объекта оценки. Сфера модели оценки может полностью соответствовать эталонной модели процессов объекта оценки.

Модель оценки процесса основывается на совокупности показателей, которые используются в качестве основы для сбора объективных данных для определения степени достижения атрибутов процессов, назначения и результатов процессов в рамках сферы модели оценки процесса. Показатели формализуют процесс оценки, дают возможность последовательно формировать суждения специалиста по оценке и повышать воспроизводимость результатов. Показатели позволяют оценить степень реализации процессов объекта оценки. Модели оценки процесса в целом обеспечивают различные степени анализа процесса на основе числа показателей оценки, предоставляемых моделью оценки процесса. Модель оценки процесса с 20 показателями оценки будет считаться обеспечивающей более глубокий анализ процесса, чем модель оценки процесса с 10 показателями оценки. Однако такой анализ требует более значительных усилий во время оценки по выявлению данных, касающихся показателей оценки, а затем обработки данных.

Модель оценки процесса должна позволять отображать атрибуты процессов объекта оценки на выбранной шкале. Такой шкалой может быть количественная шкала (например, абсолютная или шкала отношений), которая указывает степень реализации процесса или достижение заданного уровня атрибута процесса, или качественная шкала (например, порядковая), которая указывает на уровень качества процесса.

Показатели, отображая назначения, результаты и атрибуты процессов, формируют таким образом эталонные профили процессов.

Отображение модели оценки процесса должно обеспечивать формальный и поддающийся проверке механизм представления результатов оценки как совокупности параметров процесса для каждого процесса, выбранного из установленной модели (моделей) процесса.

Модель оценки процесса должна обеспечивать четкое преобразование из основных элементов модели в процессы выбранной модели процессов и в соответствующие параметры процесса в структуре измерений.

Преобразование должно быть полным, четким и однозначным. Преобразование показателей в модели оценки процесса должно производиться в:

— назначения и результаты процессов в установленной модели процесса;

— параметры процесса (включая все результаты достижения, перечисленные для каждого параметра процесса) в структуре измерений.


Международный стандарт ИСО/МЭК 15504 [29] определяет, что для оценки процесса могут использоваться модель, оценивающая функционирование процесса, и модель, оценивающая возможности процесса. Измерение функционирования процесса обеспечивается эталонной моделью процесса. Измерение возможности процесса состоит из структуры измерений, включающей шесть уровней возможностей процесса и соответствующие атрибуты процесса.

Разберем первую модель — модель оценки функционирования процесса, для чего рассмотрим измерение и оценивание атрибутов и формирование оценки процессов обеспечения ИБ с помощью этой модели.

Каждый процесс характеризуется назначением (вход), результатом (выход), управляющими воздействиями и ресурсами.

Состояние любого процесса отображается совокупностью атрибутов мероприятий процесса, входных атрибутов, атрибутов управления, атрибутов ресурсов и выходных атрибутов:

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

Для проведения оценки функционирования процессов каждый процесс должен быть представлен совокупностью атрибутов, требуемых для функционирования процессов в соответствии с их назначением:

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

В общем случае каждый вид атрибута описывается набором атрибутов, т. е.

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

Для описания соответствия реальных атрибутов процесса требуемым атрибутам УTP формально введем числовую функцию на множестве атрибутов процесса ρρ (У(и), УTP), которая называется функцией соответствия. Каждый атрибут процесса измеряется с помощью функции соответствия. Конкретный вид функции зависит от метода измерения атрибута.

Для совокупности атрибутов функция соответствия ρ (У (и), УTP) показывает степень достижения требуемых атрибутов. Совокупность атрибутов У может быть случайной переменной У (и) (числовой или нечисловой), зависящей от стратегии и ∈ И. Стратегиями И могут быть следующие действия в отношении процессов обеспечения ИБ: применение базовой оценки рисков ИБ, использование определенного поставщика для реализации СОИБ, применение аутсорсинга для реализации некоторых процессов. Функция соответствия ρ (У (и), УTP) в этом случае также может быть случайной величиной. Тогда показатель функционирования определяется математическим ожиданием функции соответствия:

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

Если У (и), и УTP — неслучайные переменные, то W (и)ρ (У (и), УTP).

На рис. 60 показана модель оценки процессов обеспечения ИБ организации на основе измерения атрибутов процессов.

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

Данная модель оценки соответствия ИБ связывает потребности в оценке функционирования процессов обеспечения ИБ с соответствующими процессами и представляющими интерес атрибутами процессов. С помощью метода измерения атрибуты преобразовываются в основные меры (частные показатели), с помощью производных мер формируются групповые показатели.

Примеры метрик из [30] и [23] для измерения атрибутов представлены в приложении 3.

Для оценивания функционирования (правильности реализации) любого процесса введем групповой (векторный) показатель функционирования.

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

объединяющий частные показатели разных видов:

— частные показатели правильности реализации входных атрибутов.

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

— частные показатели правильности реализации атрибутов управления.

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

— частные показатели правильности реализации атрибутов ресурсов.

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

— частные показатели правильности реализации атрибутов мероприятий.

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

— частные показатели правильности реализации выходных атрибутов.

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

Для каждого атрибута процесса, когда У(и), и УTP — неслучайные (детерминированные) переменные, функция соответствия служит частным показателем функционирования:

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

где мк — число атрибутов определенного вида, к = 5.

Введение векторного показателя функционирования накладывает дополнительные требования: минимальность числа частных показателей и полнота. Требование минимальности числа частных показателей связано со стремлением к снижению трудоемкости оценивания, однако при сохранении полноты охвата атрибутов процесса.

В зависимости от вида функции соответствия можно получить различные значения частных показателей функционирования. Вид функции соответствия определяется преобразованиями, которые допустимы в выбранных для метода измерения шкалах.

Например, пусть событие А означает достижение атрибута процесса требуемого значения. Вероятность Ри (А) наступления этого события зависит от стратегии и ∈ И. Тогда функция соответствия р в этом случае вводится как переменная, которая может принять лишь два значения 0 или 1, т. е.

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

Частные показатели могут иметь различную размерность. Поэтому при формировании группового показателя необходимо оперировать с нормированными значениями показателей.

Характеристики и свойства процессов обеспечения ИБ, которые несут атрибуты, не равнозначные с точки зрения реализации этих процессов. Поэтому необходимо определить способ объединения частных показателей (рис. 60) при формировании групповых показателей из частных. Наиболее часто применяемой производной мерой является усреднение объединяемых основных мер, т. е. групповые показатели формируются путем усреднения частных показателей, предполагая их равную значимость:

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

где Wj — групповой показатель j-го процесса;

Wji — частный показатель i-го атрибута j-го процесса;

n — число показателей всех измеряемых атрибутов j-го процесса.

Вычисление среднего значения для количественных показателей или вычисление медианы для качественных показателей дают хорошие результаты с точки зрения понимания правильности реализации процессов, однако адекватность такой обобщенной оценки не столь высока ввиду различной значимости оцениваемых атрибутов. Повысить адекватность обобщенной оценки процессов позволяет использование коэффициентов значимости (весовых коэффициентов) частных показателей.

Под значимостью частного показателя будем понимать важность оцениваемых частным показателем атрибутов процессов обеспечения ИБ с точки зрения функционирования (правильности реализации) этих процессов.

Групповые показатели при различной значимости частных показателей вычисляются следующим образом:

Обеспечение информационной безопасности бизнеса 3.3.1. Модель оценки информационной безопасности на основе оценки процессов.

где αji — коэффициент значимости частного показателя i-го атрибута j-го процесса.

Значимость атрибутов процессов обеспечения ИБ может быть определена с помощью экспертных методов (непосредственной численной оценки, балльного оценивания, относительных частот рангов), основанных на субъективной оценке значимости экспертами, и аналитических методов с использованием формализованных процедур, снижающих субъективность оценки. Экспертные методы просты, субъективны. Аналитические методы менее субъективны, но сложны. Кроме того, они не ориентированы на процессный подход к оценке.

Комплексный показатель оценки ИБ (рис. 60) формируется как производная мера, объединяющая групповые показатели. Модель объединения групповых показателей может быть такой же, как модель объединения частных показателей, но со своими коэффициентами значимости. Другим вариантом модели объединения может быть модель предпочтения, когда значение комплексного показателя определяется по самому низкому значению показателя среди наиболее значимых групповых показателей.