MForum.ru
Выдержка из книги "Обеспечение информационной безопасности бизнеса"
3.1 Способы оценки информационной безопасности
Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ (СОИБ). СОИБ представляет собой совокупность аппаратно-программных, технических и организационных защитных мер (ЗМ), функционирующих под управлением СМИБ и процессов осознания ИБ, инициирующих и поддерживающих деятельность по менеджменту ИБ.
Желание иметь СОИБ, адекватную целям ИБ организации по обеспечению доступности, целостности и конфиденциальности информационных активов, приводит к стремлению совершенствовать СОИБ. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учётом контекста оценки.
Критерии оценки – это всё то, что позволяет установить значения оценки для объекта оценки. В качестве критериев оценки ИБ могут использоваться требования ИБ, процедуры ИБ, сочетание требований и процедур ИБ, уровень инвестиций, затрат на ИБ.
К свидетельствам оценки ИБ относятся записи, изложение фактов или любая информация, которая имеет отношение к критериям оценки ИБ и может быть проверена. Такими свидетельствами оценки ИБ могут быть доказательства выполняемой и выполненной деятельности по обеспечению ИБ в виде отчётных, нормативных, распорядительных документов, результатов опросов, наблюдений.
Контекст оценки ИБ объединяет цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки и роли.
Модель оценки ИБ определяет сферу оценки, отражающую контекст оценки ИБ в рамках критерия оценки ИБ, отображение и преобразование оценки в параметры объекта оценки, а также устанавливает показатели, обеспечивающие оценку ИБ в сфере оценки.
В общем виде процесс проведения оценки ИБ (рисунок 53) представлен основными компонентами процесса: контекст, свидетельства, критерии и модель оценки, необходимыми для реализации процесса оценки.
Оценка ИБ заключается в выработке оценочного суждения относительно пригодности (зрелости) процессов обеспечения ИБ, адекватности используемых защитных мер или целесообразности (достаточности) инвестиций (затрат) для обеспечения необходимого уровня ИБ на основе измерения и оценивания критических элементов (факторов) объекта оценки.
Рисунок 53 – Общий вид процесса оценки ИБ организации
Наряду с важнейшим назначением оценки ИБ – создание информационной потребности для совершенствования ИБ, возможны и другие цели проведения оценки ИБ такие, как:
– определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;
– выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;
– сравнение зрелости различных процессов обеспечения ИБ и сравнение степени соответствия различных защитных мер установленным требованиям.
Результаты оценки ИБ организации могут также использоваться заинтересованной стороной для сравнения уровня ИБ организаций с одинаковым бизнесом и сопоставимым масштабом.
В зависимости от выбранного для оценки ИБ критерия можно разделить способы оценки ИБ организации (рисунок 54) на оценку по эталону, риск-ориентированную оценку и оценку по экономическим показателям.
Рисунок 54 – Способы оценки ИБ организации
Способ оценки ИБ по эталону сводится к сравнению деятельности и мер по обеспечению ИБ организации с требованиями, закрепленными в эталоне. По сути дела проводится оценка соответствия СОИБ организации установленному эталону. Под оценкой соответствия ИБ организации установленным критериям понимается деятельность, связанная с прямым или косвенным определением выполнения или невыполнения соответствующих требований ИБ в организации. С помощью оценки соответствия ИБ измеряется правильность реализации процессов системы обеспечения ИБ организации и идентифицируются недостатки такой реализации.
В результате проведения оценки ИБ должна быть сформирована оценка степени соответствия СОИБ эталону, в качестве которого могут быть приняты (в совокупности и отдельно):
– требования законодательства Российской Федерации в области ИБ;
– отраслевые требования по обеспечению ИБ;
– требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ;
– требования национальных и международных стандартов в области ИБ.
Основные этапы оценки информационной безопасности по эталону включают выбор эталона и формирование на его основе критериев оценки ИБ, сбор свидетельств оценки и измерение критических элементов (факторов) объекта оценки, формирование оценки ИБ.
Риск-ориентированная оценка ИБ организации представляет собой способ оценки, при котором рассматриваются риски ИБ, возникающие в информационной сфере организации, и сопоставляются существующие риски ИБ и принимаемые меры по их обработке. В результате должна быть сформирована оценка способности организации эффективно управлять рисками ИБ для достижения своих целей.
Основные этапы риск-ориентированной оценки информационной безопасности включают идентификацию рисков ИБ, определение адекватных процессов менеджмента рисков и ключевых индикаторов рисков ИБ, формирование на их основе критериев оценки ИБ, сбор свидетельств оценки и измерение риск-факторов, формирование оценки ИБ.
Способ оценки ИБ на основе экономических показателей оперирует понятными для бизнеса аргументами о необходимости обеспечения и совершенствования ИБ. Для проведения оценки в качестве критериев эффективности СОИБ используются, например, [24], показатели совокупной стоимости владения (Total Cost of Ownership – ТСО).
Под показателем TCO понимается сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение СОИБ. Под прямыми затратами понимаются все материальные затраты, такие как покупка оборудования и программного обеспечения, трудозатраты соответствующих категорий сотрудников. Косвенными являются все затраты на обслуживание СОИБ, а также потери от произошедших инцидентов. Сбор и анализ статистики по структуре прямых и косвенных затрат проводится, как правило, в течение года. Полученные данные оцениваются по ряду критериев с показателями ТСО аналогичных организаций отрасли.
Оценка на основе показателя TCO позволяет оценить затраты на информационную безопасность и сравнить ИБ организации с типовым профилем защиты, а также управлять затратами для достижения требуемого уровня защищенности.
Основные этапы оценки эффективности СОИБ на основе модели TCO включают сбор данных о текущем уровне ТСО, анализ областей обеспечения ИБ, выбор сравнимой модели ТСО в качестве критерия оценки, сравнение показателей с критерием оценки, формирование оценки ИБ.
Однако этот способ оценки требует создания общей информационной базы данных об эффективности СОИБ организаций схожего бизнеса и постоянной поддержки базы данных в актуальном состоянии. Такое информационное взаимодействие организаций, как правило, не соответствует целям бизнеса. Поэтому оценка ИБ на основе показателя TCO практически не применяется.
Вернуться к разделу "Информационная безопасность бизнеса"
12.03. [Новинки] Анонсы: Honor 600 Lite – металл, AMOLED и батарея на 6520 мАч за €300 / MForum.ru
12.03. [Новинки] Анонсы: В Китае стартовали продажи Honor Magic V6 с рекордной батареей / MForum.ru
12.03. [Новинки] Анонсы: OPPO K14x 5G – новая базовая версия за 12 999 рупий / MForum.ru
11.03. [Новинки] Анонсы: Vivo V70 FE – 200 мегапикселей и 7000 мАч / MForum.ru
11.03. [Новинки] Анонсы: Realme Note 80 – ультрабюджетник с батареей на 6300 мАч / MForum.ru
11.03. [Новинки] Анонсы: Poco C85x - емкая батарея за 120 долларов / MForum.ru
10.03. [Новинки] Анонсы: Представлен Vivo Y37+ с батареей на 6000 мАч / MForum.ru
10.03. [Новинки] Анонсы: Realme C83 5G – крепкий бюджетник с батареей на 7000 мАч / MForum.ru
09.03. [Новинки] Анонсы: Oppo представит новый складной смартфон OPPO Find N6 с "невидимой складкой" экрана / MForum.ru
09.03. [Новинки] Анонсы: Honor MagicPad 4 – самый тонкий в мире планшет добрался до Европы / MForum.ru
09.03. [Новинки] Анонсы: itel Zeno 100 – смартфон за 70 долларов с военным стандартом MIL-STD-810H / MForum.ru
09.03. [Новинки] MWC 2026: TCL показала первый AMOLED NxtPaper / MForum.ru
06.03. [Новинки] Анонсы: Realme Narzo Power – гигантская батарея под новым именем / MForum.ru
06.03. [Новинки] Анонсы: Nothing Headphone (a) обеспечат до 135 часов работы / MForum.ru
05.03. [Новинки] Анонсы: Nothing Phone (4a) и (4a) Pro получил новые огни, старый чип и перископ / MForum.ru
05.03. [Новинки] Анонсы: Tecno Pop X – бюджетник с рацией и экраном 120 Гц за $93 / MForum.ru
05.03. [Новинки] Слухи: Цены на Samsung Galaxy A37 и A57 «утекли» в сеть / MForum.ru
05.03. [Новинки] Анонсы: Nubia представила смартфоны серии Neo 5 / MForum.ru
04.03. [Новинки] Слухи: Honor 600 Lite полностью раскрыт до анонса / MForum.ru
04.03. [Новинки] MWC 2026: TECNO представляет OneLeap, MEGAPAD 2, Watch GT 1S и FreeHear 2 / MForum.ru