Согласно Wikipedia «Ключевые показатели эффективности (KPI) — система оценки, которая помогает организации определить достижение стратегических и тактических (операционных) целей. Использование KPIдает организации возможность оценить свое состояние и помочь в оценке реализации стратегии».
Службы информационной безопасности банков (СИБ) также нуждаются в подобных показателях, например для регулярной отчетности своему руководству, проверяющим организациям, а также ЦБ.
У меня получилось всего полтора десятка высокоуровневых показателей, по которым можно, например, ежегодно в достаточной степени судить об эффективности СИБ со стороны.
- Охват серверов, на которых проводятся обновления (%)
- Охват ПК, на которых проводятся обновления (%)
- Отношение устраненных уязвимостей к общему выявленному количеству (%)
- Охват пользователей, работающих без административных полномочий (%)
- Охват ПК с установленным, включенным антивирусом и актуальной вирусной базой
- Количество зарегистрированных инцидентов ИБ
- Количество расследованных инцидентов ИБ
- Количество выполненных заявок
- Количество согласованных заявок
- Количество проведенных инструктажей ИБ
- Количество выпущенных ключей шифрования
- Количество проведенных оценок рисков ИБ
- Количество проведенных аудитов ИБ
- Уровень ИБ банка по результатам самооценки в соответствии с СТО БР
- Количество разработанных политик ИБ (ну это в совковом стиле, чем толще папка с правилами и инструкциями, тем якобы выше безопасность)