И снова про измерения ИБ. Что можно измерять?

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Когда говорят про измерения в ИБ, то обычно подразумевают метрики отдельных процессов или уходят в рассуждения про экономику проектов ИБ и их влияние на бизнес. И то и другое вполне правильно, но на самом деле измерений несколько больше. Выделил основные из них.
  1. Уровень рисков ИБ. 
  2. Метрики контролей (доменов ИБ)
  3. Метрики процессов ИБ 
  4. Процент выполненных мер (compliance)
  5. Уровень ИБ (самооценка)
  6. Уровень зрелости процессов ИБ
  7. Уровень возможностей процессов ИБ
  8. Количество инцидентов ИБ
  9. Экономика проектов ИБ
  10. Показатели проектов ИБ
  11. Выгоды для бизнеса

И свел их в единую таблицу:

Измерение ИБ

Глобальная цель

Методологии

Потребитель

1.    

 

Уровень рисков ИБ

Определить приоритеты ИБ

ISO 27005, БМУ ФСТЭК России, OCTAVE, РС БР ИББС 2.2, NIST SP 800-30 Rev.1, COBIT5 for Risk

CISO

2.    

 

Метрики контролей (доменов ИБ)

Выявить отклонения в нормальной работе ИБ, определить области ИБ для совершенствования

ISO 27004, ITU-T X.1208, NIST SP 800-55 Rev.1

CISO

3.      
Метрики процессов ИБ 

Выявить отклонения в нормальной работе процессов ИБ, определить приоритеты по их совершенствованию 

COBIT5 Enabling Processes, COBIT5 for Information Security, ITIL

CISO, CIO

4.    

 

Процент выполненных мер (compliance)

Комплексно оценить состояние ИБ, отчитаться о выполнении требований

ISO 27001 (и 27002), СТО БР ИББС 1-0, NIST SP 800-53 Rev.4, PCI DSS, Приказы ФСТЭК России № 17, 21, 31

CISO, Legal, Internal Auditor, Compliance officer, Regulators

5.      
Уровень ИБ (самооценка)

Понять текущее состояние ИБ, отчитаться

382-П, СТО БР ИББС 1.2

CISO, Compliance officer, Regulators

6.    

 

Уровень зрелости процессов ИБ

Оценить текущий уровень процессов ИБ, определить приоритеты по их совершенствованию

COBIT4.1, CMMI, РС БР ИББС 2.7.

CISO, CIO, CEO

7.    

 

Уровень возможностей процессов ИБ

Оценить текущий уровень процессов ИБ, определить приоритеты по их совершенствованию

COBIT5 Process Assessment Model, ISO 15504

CISO, CIO, CEO

8.      
Количество инцидентов ИБ

Понять актуальность угроз ИБ и отчитаться об инцидентах

форма 0403203 (НПС)

CISO, Compliance officer, Regulators

9.      
Экономика проектов ИБ

Выбрать оптимальное решение

TCO, ROI, TEI

CISO, CIO, CFO, CEO

10.   
Показатели проектов ИБ

Контролировать реализацию проектов ИБ

PMBOK5, PRINCE2 

CISO, CIO, PM

11.   
Выгоды для бизнеса

(оптимизация операционных рисков, оптимизация ресурсов, прочие выгоды)

Обосновать бюджеты ИБ

ROI, TEI,
BSC,

CAPEX и OPEX, EBITDA

COBIT 5 for Risk

CISO, CFO, CEO, CTO, COO


Это такая первая прикидка, может что-то упустил. Пишите комментарии.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.