вторник, 2 августа 2011 г.

Критерии работы службы ИБ

Согласно Wikipedia «Ключевые показатели эффективности (KPI) — система оценки, которая помогает организации определить достижение стратегических и тактических (операционных) целей. Использование KPI дает организации возможность оценить свое состояние и помочь в оценке реализации стратегии».

Службы информационной безопасности банков (СИБ) также нуждаются в подобных показателях, например для регулярной отчетности своему руководству, проверяющим организациям, а также ЦБ.
У меня получилось всего полтора десятка высокоуровневых показателей, по которым можно, например, ежегодно в достаточной степени судить об эффективности СИБ со стороны.
  • Охват серверов, на которых проводятся обновления (%)
  • Охват ПК, на которых проводятся обновления (%)
  • Отношение устраненных уязвимостей к общему выявленному количеству (%)
  • Охват пользователей, работающих без административных полномочий (%)
  • Охват ПК с установленным, включенным антивирусом и актуальной вирусной базой
  • Количество зарегистрированных инцидентов ИБ
  • Количество расследованных инцидентов ИБ
  • Количество выполненных заявок
  • Количество согласованных заявок
  • Количество проведенных инструктажей ИБ
  • Количество выпущенных ключей шифрования
  • Количество проведенных оценок рисков ИБ
  • Количество проведенных аудитов ИБ
  • Уровень ИБ банка по результатам самооценки в соответствии с СТО БР
  • Количество разработанных политик ИБ (ну это в совковом стиле, чем толще папка с правилами и инструкциями, тем якобы выше безопасность)

4 комментария:

  1. Наиболее проблемным мне кажется пункт «Количество зарегистрированных инцидентов ИБ». Тут многое уже зависит от качества ДЛП-системы банка. Даже если она установлена, могут возникать проблемы с ее настройкой или поддержкой русских словарей, что свойственно многим зарубежным системам, например Макафи http://infowatch.livejournal.com/235162.html?view=4155802#t4155802

    ОтветитьУдалить
  2. На мой взгляд показатели типа "количество чего-то" редко что показывают. Надо всегда делать величины относительные. Например, не количество инструтажей а % персонала, прошедшего инструктаж, не количество аудитов, а процент проведенных за определенный период аудитов по сравнению с запланированным и т.д.

    ОтветитьУдалить
  3. Да, конечно относительные меры лучше "смотрятся" в видепоказателей, но не всегда. Например, по аудитам и по рискам, качественные величины допустимы только на высоком уровне зрелости организации, когда уже аудит/риск представляет выстроенные процесс. А если уровень ниже, то количественные показатели более важны и значимы.

    ОтветитьУдалить
  4. По вопросу DLP: В сто крат важнее вначале _грамотно_ категоризовать информацию в организации, а уж потом внедрять DLP-систему. Если этого не сделать, то как ни измеряй, практическая ценность будет низкой.

    Я когда рассматривал критерии, не имел в виду DLP, я имел в виду самые разные показатели, включая конечно же утечки по техническим каналам.

    ОтветитьУдалить