| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
В предыдущей статье мы познакомились с основными концепциями измерения эффективности процессов информационной безопасности. Разумеется, для целостного подхода следует обратиться к международным лучшим практикам и стандартам, которые описывают рекомендованные подходы к количественному измерению качества процессов кибербезопасности. Такими рекомендациями являются публикация NIST SP 800-55 и стандарт ISO/IEC 27004:2016.
Документ NIST SP 800-55 "Performance Measurement Guide for Information Security" («Рекомендации по измерению эффективности информационной безопасности») был опубликован в 2008 году, в настоящее время готовится к выходу 2-ая редакция. В документе интересен концептуальный подход к измерению эффективности ИБ: вся терминология и требования логически взаимосвязаны с другими стандартами NIST 800-ой серии, а в данной публикации подчеркивается важность поддержки процессов измерения ИБ на всех уровнях управления компанией, что дает такие преимущества, как повышение прозрачности процессов, повышение эффективности ИБ, упрощение процедур комплаенса, предоставление измеримых входных данных для принятия информированных решений о выделении ресурсов, а также экономия бюджета за счет обработки киберинцидентов и повышение уровня репутации и доверия, достигнутое за счет сформированного уровня ИБ.
В документе указываются также и факторы, которые могут привести к сложностям в проекте внедрения корректных метрик процессов ИБ: недостаток ресурсов, недостаток обучения/квалификации, количество новых и обновленных информационных систем без внедренных защитных мер, совместимость ПО со средствами защиты, недостаток поддержки со стороны руководства компании, отсутствующие задокументированные политики и процедуры ИБ, уязвимости и недостатки в архитектуре систем, неэффективно выстроенные процессы планирования и внедрения, в том числе процессы коммуникации.
Для измерения эффективности процессов кибербезопасности выбраны такие метрики, как автоматизация сбора информации и сложность этого процесса, доступность данных для анализа, операционные ИБ-процедуры, а также процессы ИБ. Для оценки зрелости используются метрики достижения целей непосредственно подразделений информационной безопасности, оценка сложности внедрения процессов ИБ, метрики эффективности и экономичности, а также оценка влияния кибербезопасности на бизнес-процессы. Для оценки используется, как правило, количественный показатель, выраженный в процентном отношении текущего количества выполненных действий к максимальному значению количества реализованных мер.
Для внедрения метрик ИБ предлагается выполнить следующие шаги:
1. Подготовка к сбору данных для оценки эффективности ИБ, в том числе разработка и утверждение плана внедрения метрик ИБ с назначением ролей и ответственных, утверждением процесса сбора данных, инструментов оценки, коммуницирования и отчетности.
2. Сбор данных и анализ результатов, включая агрегацию собранных сведений, консолидацию в стандартном формате, проведение gap-анализа для оценки объема несобранных данных, идентификацию причин сложностей и путей улучшения.
3. Определение корректирующих действий, включая определение их объема, приоритизацию и выбор наиболее релевантных корректирующих шагов.
4. Предоставление экономического обоснования и выделение ресурсов.
5. Выполнение корректирующих действий.
В качестве примерного списка метрик информационной безопасности приведены следующие:
1. Процент ИТ-бюджета, выделенного на кибербезопасность (заметим, что данная метрика может считаться устаревшей, т.к. у ИБ-подразделений крупных компаний в настоящее время как правило существует самостоятельный бюджет)
2. Процент уязвимостей высокого уровня (по шкале CVSS), устраненных с момента обнаружения за установленный период времени
3. Процент точек удаленного подключения, которые можно использовать для несанкционированного доступа
4. Процент сотрудников, прошедших обучение по информационной безопасности
5. Средняя частота анализа журналов аудита для выявления несанкционированных операций
6. Процент согласованных и внедренных конфигурационных изменений (по отношению к общем числу внесенных изменений)
7. Процент информационных систем, которые прошли ежегодное тестирование на обеспечение непрерывности деятельности и восстановление работоспособности
8. Процент сотрудников с доступом к разделенным (shared) или неперсонализированным учетным записям
9. Процент инцидентов, обработанных за установленный для каждой категории период времени
10. Процент информационных систем, которые уходят на обслуживание в соответствии с задокументированным расписанием
11. Процент носителей информации, которые проходят процедуру очистки данных (санитизацию) перед утилизацией
12. Процент инцидентов несанкционированного физического доступа к помещениям с информационными системами
13. Процент сотрудников, которые получают доступ к информационным системам только после ознакомления под роспись с правилами работы с ними
14. Процент проверенных Службой Безопасности сотрудников, получающих доступ к корпоративным информационным системам
15. Процент контрактов на приобретение систем и сервисов, в которых были указаны требования/спецификации по информационной безопасности
16. Процент программных уязвимостей, которые были пропатчены.
В документе представлен также набор метрик, которые можно применить при разработке или поддержке информационных систем. Приведены такие меры, как:
1. Процент недостатков/дефектов в продукте, которые негативно влияют на состояние кибербезопасности информационной системы
2. Процент мер ИБ, заложенных при проектировании и разработке системы
3. Количество точек входа в систему, применимых для передачи потенциально вредоносных управляющих сигналов
4. Количество уязвимостей и места их обнаружения
5. Количество отклонений модели и итогового продукта от требований ИБ
6. Процент устраненных уязвимостей
7. Отклонение в планах и затратах на ИБ от заложенных в проекте внедрения/приобретения информационной системы
8. Процентное соотношение невыполненных требований по ИБ.
Кроме указанных метрик, можно использовать и другие показатели, например:
1. Процент нормально функционирующих свойств актива после кибератаки
2. Среднюю длину графа кибератаки (количество узлов сети до оцениваемого ИТ-актива)
3. Процент скомпрометированных хостов в сети в течение определенного периода времени
4. Вероятность эксплуатации уязвимости ИТ-актива (можно рассчитывать на основе CVSS-метрик)
5. Уровень негативного воздействия эксплойта после успешного запуска
6. Количество потенциальных векторов и путей кибератак в сети
7. Процент ИТ-активов, которые могут быть оперативно замещены альтернативными решениями или восстановлены из резервных копий
8. Есть ли избыточные/зарезервированные информационные ресурсы под критичные бизнес-процессы
9. Доступность информационных систем, поддерживающих бизнес-процессы
10. Кратчайший путь для компрометации ИТ-актива (на основе графов кибератаки)
11. Процент хостов в сети, для которых известны уязвимости.