Security Lab

И снова про измерения ИБ. Что можно измерять?

И снова про измерения ИБ. Что можно измерять?
Когда говорят про измерения в ИБ, то обычно подразумевают метрики отдельных процессов или уходят в рассуждения про экономику проектов ИБ и их влияние на бизнес. И то и другое вполне правильно, но на самом деле измерений несколько больше. Выделил основные из них.
  1. Уровень рисков ИБ. 
  2. Метрики контролей (доменов ИБ)
  3. Метрики процессов ИБ 
  4. Процент выполненных мер (compliance)
  5. Уровень ИБ (самооценка)
  6. Уровень зрелости процессов ИБ
  7. Уровень возможностей процессов ИБ
  8. Количество инцидентов ИБ
  9. Экономика проектов ИБ
  10. Показатели проектов ИБ
  11. Выгоды для бизнеса

И свел их в единую таблицу:

Измерение ИБ
Глобальная цель
Методологии
Потребитель
1.      
Уровень рисков ИБ
Определить приоритеты ИБ
ISO 27005, БМУ ФСТЭК России, OCTAVE, РС БР ИББС 2.2, NIST SP 800-30 Rev.1, COBIT5 for Risk
CISO
2.      
Метрики контролей (доменов ИБ)
Выявить отклонения в нормальной работе ИБ, определить области ИБ для совершенствования
ISO 27004, ITU-T X.1208, NIST SP 800-55 Rev.1
CISO
3.      
Метрики процессов ИБ 
Выявить отклонения в нормальной работе процессов ИБ, определить приоритеты по их совершенствованию 
COBIT5 Enabling Processes, COBIT5 for Information Security, ITIL
CISO, CIO
4.      
Процент выполненных мер (compliance)
Комплексно оценить состояние ИБ, отчитаться о выполнении требований
ISO 27001 (и 27002), СТО БР ИББС 1-0, NIST SP 800-53 Rev.4, PCI DSS, Приказы ФСТЭК России № 17, 21, 31
CISO, Legal, Internal Auditor, Compliance officer, Regulators
5.      
Уровень ИБ (самооценка)
Понять текущее состояние ИБ, отчитаться
382-П, СТО БР ИББС 1.2
CISO, Compliance officer, Regulators
6.      
Уровень зрелости процессов ИБ
Оценить текущий уровень процессов ИБ, определить приоритеты по их совершенствованию
COBIT4.1, CMMI, РС БР ИББС 2.7.
CISO, CIO, CEO
7.      
Уровень возможностей процессов ИБ
Оценить текущий уровень процессов ИБ, определить приоритеты по их совершенствованию
COBIT5 Process Assessment Model, ISO 15504
CISO, CIO, CEO
8.      
Количество инцидентов ИБ
Понять актуальность угроз ИБ и отчитаться об инцидентах
форма 0403203 (НПС)
CISO, Compliance officer, Regulators
9.      
Экономика проектов ИБ
Выбрать оптимальное решение
TCO, ROI, TEI
CISO, CIO, CFO, CEO
10.   
Показатели проектов ИБ
Контролировать реализацию проектов ИБ
PMBOK5, PRINCE2 
CISO, CIO, PM
11.   
Выгоды для бизнеса
(оптимизация операционных рисков, оптимизация ресурсов, прочие выгоды)
Обосновать бюджеты ИБ
ROI, TEI,
BSC,
CAPEX и OPEX, EBITDA
COBIT 5 for Risk
CISO, CFO, CEO, CTO, COO

Это такая первая прикидка, может что-то упустил. Пишите комментарии.
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Andrey Prozorov

Информационная безопасность в России и мире