Для того чтобы «закрутить» процесс, то есть направить процесс на постоянное повышение его эффективности в соответствии с циклом Деминга, для стадии «Check» можно использовать ключевые показатели эффективности процесса (KPI, они же метрики).
Я решил перевести фрагмент NIST 800-55 Revision1 о пользе использования метрик ИБ и собственно сами метрики ИБ.
Польза от использования метрик
Программа измерения показателей ИБ предоставляет ряд организационных и финансовых преимуществ. Главные преимущества заключаются в следующем: усилении подотчетности для повышения производительности процессов ИБ; увеличении эффективности процессов ИБ; демонстрации соответствия требованиям законодательства, правилам и нормативным документам; предоставлении количественных входных данных для принятия решений.
Усиление подотчетности. Измерение показателей ИБ может усилить подотчетность процессов ИБ, путем нахождения того, что внедрено некорректно, не внедрено или работает неэффективно. Сбор данных или анализ процессов может способствовать выявлению персонала, ответственного за внедрение контролей ИБ в специфические компоненты или в специфические информационные системы организации.
Увеличение эффективности ИБ. Программа измерения показателей ИБ позволит организации количественно улучшить показатели ИБ и продемонстрировать количественную динамику приближения к стратегическим целям. Это также позволяет определять эффективность внедренных ИБ процессов и процедур, основываясь на результатах действий и событий ИБ (данных об инцидентах, потерянном доходе от кибер-атак и т.д.) до контролирования ИБ, и определять необходимые инвестиции в ИБ.
Демонстрация соответствия. Путем внедрения и поддержания программы измерения показателей ИБ, организация может демонстрировать соответствие требованиям законодательства, правилам и нормативным документам. Измерение показателей ИБ помогает ежегодно подтверждать соответствие требованиям FISMA (Federal Information Security Management Act of 2002 - Закон США), путем измерения метрик производительности для прошлого и текущего финансового года. Дополнительно эта информация может использоваться в качестве входных данных для GAO (Government Accountability Office – агентство в Конгрессе США) и IG (Inspector General – офис расследований в США). Это помогает демонстрировать проверяющим компаниям проактивный подход к ИБ и уменьшает время, затрачиваемое на сбор данных, необходимых для направления в GAO и IG, как во время проведения аудита, так и во время подтверждения статуса.
Предоставление количественных данных для принятия решений. Финансовые ограничения и рыночные условия вынуждают правительство и отрасль обходиться уменьшенными бюджетами. В таком положении трудно оправдать большие инвестиции в ИБ-инфраструктуру. Инвестиции в ИБ должны выделяться по результатам всесторонней программы оценки рисков. Использование мер ИБ поддерживает основанные на рисках решения и способствует сбору количественной информации для процесса управления рисками. Это позволяет организациям измерять успехи и неудачи в зависимости от прошлых и настоящих инвестиций в ИБ и предоставляет количественные данные для принятия решений по будущим инвестициям. Используя результаты анализа измерений, менеджеры и владельцы систем могут локализовать проблемы, использовать собранные данные для обоснования требуемых инвестиций и затем целенаправленно направлять инвестиции в нуждающиеся области. Такие целевые инвестиции помогают организациям получить большую отдачу от своих доступных ресурсов.
Предлагаемые метрики
- Процент бюджета на ИБ от общего бюджета ИТ;
- Процент уменьшенных до приемлемого уровня уязвимостей высокого уровня критичности от общего числа уязвимостей за определенное время;
- Процент удаленных точек доступа, используемых для неавторизованного доступа от их общего числа;
- Процент сотрудников ИБ, которые прошли обучение по ИБ от их общего числа;
- Средняя частота неразрешенных действий, обнаруженных в результате анализа логов;
- Процент новых систем, которые прошли сертификацию в центрах аккредитации до начала их эксплуатации по отношению к общему количеству.
- Процент одобренных и примененных изменений по отношению к их количеству до того как оно (железо, софт, документация) стало считаться базовой конфигурацией (версией).
- Процент информационных систем, которые были протестированы в соответствии с ежегодным планом непрерывности бизнеса от их общего количества.
- Процент пользователей, имеющих общие учетные записи от их общего количества.
- Процент зарегистрированных инцидентов по категориям за определенный промежуток времени от их общего количества.
- Процент компонентов системы, которые проходили обслуживание в соответствии с графиком от их общего количества.
- Процент носителей информации, которые были очищены гарантированным способом от их общего количества.
- Процент инцидентов с использованием неразрешенного физического доступа в помещения, где расположены информационные системы, от общего числа инцидентов физического типа.
- Процент сотрудников, вначале подписавших правила ИБ и только потом получивших доступ к информационной системе, по отношению к общему числу сотрудников, получивших доступ.
- Процент проверенных лиц до предоставления им прав доступа к информации организации к общему числу лиц.
- Процент устраненных уязвимостей за определенный интервал времени по отношению к выявленному в результате сканирования общему количеству уязвимостей.
- Процент систем или сервисов, контракты на покупку которых, содержат требования ИБ, по отношению к общему количеству таковых.
- Процент мобильных компьютеров и устройств, на которых проводятся криптографические операции с использованием модулей шифрования, соответствующие требованиям стандарта FIPS 140-2, от их общего числа.
- Процент уязвимостей ОС, на которых сканеры безопасности продолжали сообщать о наличии уязвимостей после применения патчей или же после уменьшения уровня риска иным путем до приемлемого уровня, по отношению к общему количеству уязвимостей, выявленных сканером безопасности.