пр зачем измерять информационную безопасность...

Прозоров АндрейВедущий эксперт по информационной безопасности

Зачем измерять информационную безопасность?

Для DLP–Expert 08-2013

1. При обосновании бюджета ИТ и ИБ

2. При выборе решения ИТ и ИБ

3. При подготовке отчетов для руководства

4. Регулярно по рекомендациям стандартов ИБ

5. При анализе инцидентов

6. Просто от скуки…

Когда мы начинаем измерять ИБ и все, что с ней связано

Идеальный вариант: анализ для совершенствования процессов (анализ влияния изменений, аномалий).

Но есть минус: процессный подход должен быть внедрен в компании(ISO 9001/20000/22301/27001, ITIL, COBIT, СТО БР ИББС…)

Покажите ценность бизнесу Получение выгод Оптимизация рисков Оптимизация ресурсов

1.Обоснование бюджета

!Покажите «бизнесу» деньги!

Дополнительные аргументы Инциденты Требования (а лучше предписания) регуляторов «Оценка рисков»/модель угроз Аналог по отрасли «Лучшие практики» Соответствие стратегии ИТ …

ВыгодыКакие выгоды и преимущества для компании?

Например, добровольная сертификация по ISO 27001 дает маркетинговое преимущество, которое обеспечивает рост выручки компании (посчитать сложно, но можно, например, проведя опрос потребителей)

РискиКакова величина риска? Вероятность (количество инцидентов в год) Ущерб (Простой оборудования, процессов, персонала;

Восстановление; Расследование инцидентов; Юридическое сопровождение; Штрафы и другие санкции регуляторов; Репутационные потери)

Оптимизация ресурсовСколько денег можно сэкономить? Например: Оптимизация стоимости СЗИ (новые дешевле), Автоматизация процессов, Консалтинг или Внутренний персонал (+обучение персонала), Аутсорсинг или Внутренний персонал…

Как считать?

На стоимость влияют: отрасль, состав информации (например, сканы паспортов, номера кредитных карт, планы развития, БД клиентов, логины/пароли, информация о здоровье, личная переписка и пр.), количество записей, дальнейшее использование информации, реакция компании на инцидент

Для разного состава информации возможныразные последствия / типы ущерба

Самостоятельные идеи, которые плохо работают: цена 1 записи (200$ США и 40$ Индия)*кол-во отток клиентов 10-20% (Forrester) последствия от ухода клиента CLV (Client Lifetime Value) *

вероятность переманивания (~30%)

А вероятность утечки? Смотрите отчеты…

Пример. Сколько стоит утечка информации?

Цели и задачи - > Функционал решения

Дополнительные критерииДополнительный функционал

Наличие сертификатов соответствия

Рекомендации экспертов, отраслевые стандарты

Язык интерфейса и документации

Условия тех.поддержки

…

Стоимость владения: ПО (лицензии) и АО Внедрение и настройка Трудозатраты персонала и его стоимость Обучение персонала Тех.поддержка и консультации Методические документы Утилизация …

2.Выбор решения

Показатели может выбирать руководитель самостоятельно (отчет по форме) или на усмотрение исполнителя (в произвольной форме)

Говорите с «бизнесом» на его языке, не используйте «технические» метрики

Лучший показатель – предотвращенный ущерб…

Большинство метрик не несет никакой информации без сравнения (с планом, с эталоном, с прошлым измерением)

Многие СЗИ могут генерировать отчеты, содержащие показатели, диаграммы и графики

Главное требование: отчет должен быть коротким и понятным (Executive Summery)

Рекомендуется включить в отчет выводы и конкретные предложения

3.Отчеты для руководства

Измерения в ISO 27001: оценка рисков, мониторинг и анализ СУИБ со стороны руководства, управление инцидентами (извлечение уроков из инцидентов).Рекомендации: ISO 27005, ISO 27003, ISO 27004 (14 «конструктивных элементов измерений)

Документы NIST и COBIT5

А еще есть СТО БР ИББС, требования по НПС…

4.Требования стандартов

ISO NIST COBIT5

Основные показатели: Ущерб Количество инцидентов Время обнаружения Время восстановления Стоимость восстановления …

5.Анализ инцидентов

Парадокс системного администратора:«Если админ спит на работе, это хороший админ

или плохой?»

Можно измерять все, что угодно…

Метрик может быть очень много…

Не путайте показатели (метрики) и KPIKPI всегда привязаны к целям компании, KPI обычно не много (не более 20 на компанию, обычно до 10)

Большинство метрик не несет никакой информации без сравнения (с планом, с эталоном, с прошлым измерением)

Упрощайте и автоматизируйте

Сохраняйте результаты измерений

6.Измерение ИБ от скуки

1. Определите цель измеренияДля чего будет использоваться информация и кем?

2. Четко сформулируйте объект оценки

3. Найдите баланс между ценностью информации и стоимостью ее получения

4. Найдите баланс между точностью информации и стоимостью ее получения

5. 2 основных параметра, которые полезно уметь оценивать: ущерб и вероятность

«Повышение безопасности означает снижение частоты определенных нежелательных событий

и уменьшение ущерба от них»

Общие рекомендации при проведении измерений

До тех пор пока Вы не начнете регулярно измерять ИБ, рано переходить к оценке эффективности ИБ

0.Incomplete

1.Performed 

2.Managed

3.Established 

4.Predictable

5.Optimising 

http://www.infowatch.ru

@InfoWatchNews

http://dlp-expert.ru

@DLP_Expert

И контакты…

http://80na20.blogspot.ru

@3dwave

Number of records or files detected as compliance infractions

Percentage of software applications tested

Reduction in the frequency of denial of service attacks

Reduction in regulatory actions and lawsuits

Reduction in expired certificates (including SSL and SSH keys)

Mean time to detect security incidents

Reduction in the number of threats

Reduction in the cost of cyber crime remediation

Percentage of recurring incidents

Percentage of incidents detected by automated control

Performance of users on security training retention tests

Time to contain data breaches and security exploits

Reduction in the number or percentage of end user enforcement actions

Reduction in loss of data-bearing devices (laptops, tablets, smartphones)

Бонус: Лучшие метрики ИБReduction in the cost of security management activities

Length of time to implement security patches

Spending level relative to total budget

Percentage of endpoints free of malware and viruses

Number of end users receiving appropriate training

Reduction in unplanned system downtime

Reduction in number of access and authentication violations

Reduction in the total cost of ownership (TCO)

Return on security technology investments (ROI)

Reduction in number of known vulnerabilities

Reduction in number of data breach incidents

Reduction in number of percentage of policy violations

Reduction in audit findings and repeat findings

Number of security personnel achieving certification

«The State of Risk-Based Security 2013» (Tripwire) U.S. и U.K.