Согласно Wikipedia «Ключевые показатели эффективности (KPI) — система оценки, которая помогает организации определить достижение стратегических и тактических (операционных) целей. Использование KPI дает организации возможность оценить свое состояние и помочь в оценке реализации стратегии».
Службы информационной безопасности банков (СИБ) также нуждаются в подобных показателях, например для регулярной отчетности своему руководству, проверяющим организациям, а также ЦБ.
У меня получилось всего полтора десятка высокоуровневых показателей, по которым можно, например, ежегодно в достаточной степени судить об эффективности СИБ со стороны.
- Охват серверов, на которых проводятся обновления (%)
- Охват ПК, на которых проводятся обновления (%)
- Отношение устраненных уязвимостей к общему выявленному количеству (%)
- Охват пользователей, работающих без административных полномочий (%)
- Охват ПК с установленным, включенным антивирусом и актуальной вирусной базой
- Количество зарегистрированных инцидентов ИБ
- Количество расследованных инцидентов ИБ
- Количество выполненных заявок
- Количество согласованных заявок
- Количество проведенных инструктажей ИБ
- Количество выпущенных ключей шифрования
- Количество проведенных оценок рисков ИБ
- Количество проведенных аудитов ИБ
- Уровень ИБ банка по результатам самооценки в соответствии с СТО БР
- Количество разработанных политик ИБ (ну это в совковом стиле, чем толще папка с правилами и инструкциями, тем якобы выше безопасность)
Наиболее проблемным мне кажется пункт «Количество зарегистрированных инцидентов ИБ». Тут многое уже зависит от качества ДЛП-системы банка. Даже если она установлена, могут возникать проблемы с ее настройкой или поддержкой русских словарей, что свойственно многим зарубежным системам, например Макафи http://infowatch.livejournal.com/235162.html?view=4155802#t4155802
ОтветитьУдалитьНа мой взгляд показатели типа "количество чего-то" редко что показывают. Надо всегда делать величины относительные. Например, не количество инструтажей а % персонала, прошедшего инструктаж, не количество аудитов, а процент проведенных за определенный период аудитов по сравнению с запланированным и т.д.
ОтветитьУдалитьДа, конечно относительные меры лучше "смотрятся" в видепоказателей, но не всегда. Например, по аудитам и по рискам, качественные величины допустимы только на высоком уровне зрелости организации, когда уже аудит/риск представляет выстроенные процесс. А если уровень ниже, то количественные показатели более важны и значимы.
ОтветитьУдалитьПо вопросу DLP: В сто крат важнее вначале _грамотно_ категоризовать информацию в организации, а уж потом внедрять DLP-систему. Если этого не сделать, то как ни измеряй, практическая ценность будет низкой.
ОтветитьУдалитьЯ когда рассматривал критерии, не имел в виду DLP, я имел в виду самые разные показатели, включая конечно же утечки по техническим каналам.