Embed Size (px)
DESCRIPTION
Citation preview
Прозоров АндрейВедущий эксперт по информационной безопасности
Зачем измерять информационную безопасность?
Для DLP–Expert 08-2013
1. При обосновании бюджета ИТ и ИБ
2. При выборе решения ИТ и ИБ
3. При подготовке отчетов для руководства
4. Регулярно по рекомендациям стандартов ИБ
5. При анализе инцидентов
6. Просто от скуки…
Когда мы начинаем измерять ИБ и все, что с ней связано
Идеальный вариант: анализ для совершенствования процессов (анализ влияния изменений, аномалий).
Но есть минус: процессный подход должен быть внедрен в компании(ISO 9001/20000/22301/27001, ITIL, COBIT, СТО БР ИББС…)
Покажите ценность бизнесу Получение выгод Оптимизация рисков Оптимизация ресурсов
1.Обоснование бюджета
!Покажите «бизнесу» деньги!
Дополнительные аргументы Инциденты Требования (а лучше предписания) регуляторов «Оценка рисков»/модель угроз Аналог по отрасли «Лучшие практики» Соответствие стратегии ИТ …
ВыгодыКакие выгоды и преимущества для компании?
Например, добровольная сертификация по ISO 27001 дает маркетинговое преимущество, которое обеспечивает рост выручки компании (посчитать сложно, но можно, например, проведя опрос потребителей)
РискиКакова величина риска? Вероятность (количество инцидентов в год) Ущерб (Простой оборудования, процессов, персонала;
Восстановление; Расследование инцидентов; Юридическое сопровождение; Штрафы и другие санкции регуляторов; Репутационные потери)
Оптимизация ресурсовСколько денег можно сэкономить? Например: Оптимизация стоимости СЗИ (новые дешевле), Автоматизация процессов, Консалтинг или Внутренний персонал (+обучение персонала), Аутсорсинг или Внутренний персонал…
Как считать?
На стоимость влияют: отрасль, состав информации (например, сканы паспортов, номера кредитных карт, планы развития, БД клиентов, логины/пароли, информация о здоровье, личная переписка и пр.), количество записей, дальнейшее использование информации, реакция компании на инцидент
Для разного состава информации возможныразные последствия / типы ущерба
Самостоятельные идеи, которые плохо работают: цена 1 записи (200$ США и 40$ Индия)*кол-во отток клиентов 10-20% (Forrester) последствия от ухода клиента CLV (Client Lifetime Value) *
вероятность переманивания (~30%)
А вероятность утечки? Смотрите отчеты…
Пример. Сколько стоит утечка информации?
Цели и задачи - > Функционал решения
Дополнительные критерииДополнительный функционал
Наличие сертификатов соответствия
Рекомендации экспертов, отраслевые стандарты
Язык интерфейса и документации
Условия тех.поддержки
…
Стоимость владения: ПО (лицензии) и АО Внедрение и настройка Трудозатраты персонала и его стоимость Обучение персонала Тех.поддержка и консультации Методические документы Утилизация …
2.Выбор решения
Показатели может выбирать руководитель самостоятельно (отчет по форме) или на усмотрение исполнителя (в произвольной форме)
Говорите с «бизнесом» на его языке, не используйте «технические» метрики
Лучший показатель – предотвращенный ущерб…
Большинство метрик не несет никакой информации без сравнения (с планом, с эталоном, с прошлым измерением)
Многие СЗИ могут генерировать отчеты, содержащие показатели, диаграммы и графики
Главное требование: отчет должен быть коротким и понятным (Executive Summery)
Рекомендуется включить в отчет выводы и конкретные предложения
3.Отчеты для руководства
Измерения в ISO 27001: оценка рисков, мониторинг и анализ СУИБ со стороны руководства, управление инцидентами (извлечение уроков из инцидентов).Рекомендации: ISO 27005, ISO 27003, ISO 27004 (14 «конструктивных элементов измерений)
Документы NIST и COBIT5
А еще есть СТО БР ИББС, требования по НПС…
4.Требования стандартов
ISO NIST COBIT5
Основные показатели: Ущерб Количество инцидентов Время обнаружения Время восстановления Стоимость восстановления …
5.Анализ инцидентов
Парадокс системного администратора:«Если админ спит на работе, это хороший админ
или плохой?»
Можно измерять все, что угодно…
Метрик может быть очень много…
Не путайте показатели (метрики) и KPIKPI всегда привязаны к целям компании, KPI обычно не много (не более 20 на компанию, обычно до 10)
Большинство метрик не несет никакой информации без сравнения (с планом, с эталоном, с прошлым измерением)
Упрощайте и автоматизируйте
Сохраняйте результаты измерений
6.Измерение ИБ от скуки
1. Определите цель измеренияДля чего будет использоваться информация и кем?
2. Четко сформулируйте объект оценки
3. Найдите баланс между ценностью информации и стоимостью ее получения
4. Найдите баланс между точностью информации и стоимостью ее получения
5. 2 основных параметра, которые полезно уметь оценивать: ущерб и вероятность
«Повышение безопасности означает снижение частоты определенных нежелательных событий
и уменьшение ущерба от них»
Общие рекомендации при проведении измерений
До тех пор пока Вы не начнете регулярно измерять ИБ, рано переходить к оценке эффективности ИБ
0.Incomplete
1.Performed
2.Managed
3.Established
4.Predictable
5.Optimising
http://www.infowatch.ru
@InfoWatchNews
http://dlp-expert.ru
@DLP_Expert
И контакты…
http://80na20.blogspot.ru
@3dwave
Number of records or files detected as compliance infractions
Percentage of software applications tested
Reduction in the frequency of denial of service attacks
Reduction in regulatory actions and lawsuits
Reduction in expired certificates (including SSL and SSH keys)
Mean time to detect security incidents
Reduction in the number of threats
Reduction in the cost of cyber crime remediation
Percentage of recurring incidents
Percentage of incidents detected by automated control
Performance of users on security training retention tests
Time to contain data breaches and security exploits
Reduction in the number or percentage of end user enforcement actions
Reduction in loss of data-bearing devices (laptops, tablets, smartphones)
Бонус: Лучшие метрики ИБReduction in the cost of security management activities
Length of time to implement security patches
Spending level relative to total budget
Percentage of endpoints free of malware and viruses
Number of end users receiving appropriate training
Reduction in unplanned system downtime
Reduction in number of access and authentication violations
Reduction in the total cost of ownership (TCO)
Return on security technology investments (ROI)
Reduction in number of known vulnerabilities
Reduction in number of data breach incidents
Reduction in number of percentage of policy violations
Reduction in audit findings and repeat findings
Number of security personnel achieving certification
«The State of Risk-Based Security 2013» (Tripwire) U.S. и U.K.
