Как измерять ИБ в рамках государства?

Как измерять ИБ в рамках государства?
В 2012-м году в СовБезе шла работа над основными направлениями государственной политики в области формирования культуры информационной безопасности. В процессе этой работы возникла тема о том, что достижение этих направлений должно как-то измеряться, но... к сожалению в итоговый проект документа ни одной метрики, ни одного показателя эффективности, ни одного индикатора не попало и причина тому была одна - никто не хотел брать на себя непростую задачу измерения результативности (как минимум) и оптимальности (как максимум) основных направлений.

В рамках федерального проекта " Информационная безопасность " нацпрограммы "Цифровая экономика" этот недостаток учли и добавили 6 индикаторов, которые должны олицетворять достижение (то есть измерять результативность, а не оптимальность) проекта:
  • Объем затрат на продукты и услуги в области ИБ. На первом месте именно размер денег, которые потрачены на защиту информации :-( 
  • Средний срок простоя ГИС в результате компьютерных атак. На мой взгляд, это хороший дифференциальный показатель, который отражает эффективность реализации мероприятий из 17-го приказа ФСТЭК. Правда, не совсем понятно, как измеряется этот показатель? Статистики же по времени простоя ни ФСТЭК, ни даже ФСБ в рамках ГосСОПКИ не собирают. Возможно, в скором времени планируется принятие какого-либо нормативного акта в этой сфере... Но ФСТЭК про него не упоминала на своей недавней конференции. Так что измерение этого индикатора пока находится под вопросом. Но цель в 1 час простоя к 2024-му году выглядит заманчиво.
  • Доля населения, использующего отечественные средства защиты информации (в процентах от численности Интернет-пользователей). Цель - 97% через 5 лет. Учитывая грядущее принятие нормы по установке на каждый смартфон или компьютер отечественного антивируса, этот показатель будет достигнут. Правда, к реальной ИБ он никакого отношения не имеет. 
  • Количество подготовленных специалистов по программам в области ИБ на базе отечественных средств защиты информации. Если бы речь шла о специалистах ИБ, то цифра в 21 тысячу человек к 2024-му году выглядит вполне себе неплохо. Но если речь о специалистах вообще, то это маловато. Особенно в условиях звучащих цифр в 500 тысяч айтишников, которые должны быть подготовлены.
  • Стоимостная доля закупленного или арендованного госорганами и госкорпорациями отечественного ПО (именно ПО, а не средств защиты). К реальной ИБ этот индикатор тоже никакого отношения не имеет.
Когда еще только шла подготовка ко второму заходу в "Цифровой экономике" в Кластере ИБ в РАЭК тоже готовились свои предложения по тому, что должно входить в направление ИБ и как измерять его успех. У нас тогда родился следующий перечень показателей:

  • Объем экспорта товаров и услуг в области информационной безопасности. Это тоже денежный показатель, но в отличие от затрат на покупку, он говорит о доходах от продажи и не внутри страны, а за ее пределами. Иными словами, речь идет о том, чтобы не пытаться законодательно заставить купить убогие поделки, ориентированные только на закрытые требования регуляторов, а предложить мировому рынку конкурентные решения и получать за это деньги.
  • Количество преступлений в сфере компьютерной информации. Понятно, что при палочной системе в МВД это не самый лучший показатель, но все-таки.
  • Количество компаний малого и среднего бизнеса в области информационной безопасности. Понятно, что можно измерять число лицензиатов ФСТЭК - это более простой и легко вычислимый показатель, но учитывая закрытое распоряжение Президента об ужесточении требований к лицензиатам, ждать роста этого индикатора не приходилось бы. А вот рост числа ИБ-стартапов гораздо больше говорит о благоприятном климате для бизнеса, чем все остальное.
  • Уровень грамотности населения в сфере информационной безопасности. Учитывая проникновение ИТ во все сферы нашей жизни, у каждого человека - от школьника до пенсионера должны быть навыки компьютерной гигиены.
  • Количество выпускников по направлению "Информационная безопасность". Ну тут все просто.
  • Количество Центров информационного обмена в области информационной безопасности. Вроде и эта метрика тоже очевидна.
  • Размеры инвестиций в научные исследования в области информационной безопасности. Какое нафиг импортозамещение без R&D? И вот тут как раз можно говорить о затратах. Хотя нет, не о затратах, а об инвестициях, которые вернутся; в отличие от затрат.
  • Ущерб по объектам критической информационной инфраструктуры. Эта метрика должна компенсировать слабость подсчета количества преступлений. Иначе может получиться ситуация, как в опросе Ральфа Лангнера (хотя он и не очень репрезентативен), когда инциденты (читай, преступления) есть, а ущерба нет.

Правда, если бы сейчас меня спросили, чтобы еще я включил в список индикаторов, то я бы добавил еще число международных стандартов по ИБ (ISO, ITU, IEC и т.п.), в разработке которых принимали участие российские специалисты.
Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться