Продолжаю разбирать и анализировать документ РС БР ИББС-2.7-2015 " Ресурсное обеспечение информационной безопасности ".
В прошлый раз (см. заметку " Разбор РС БР ИББС 2.7 "Ресурсное обеспечение ИБ." Часть 1 ") я обратил внимание на "Базовые термины", "Перечень процессов ИБ" и "Модель зрелости". В этой заметке я расскажу про блоки "Оценка рисков и бюджет", "Оценка необходимости в персонале", "Контроль эффективности инвестирования" и подведу общие итоги.
4. Оценка рисков и бюджет
Про оценку необходимых бюджетов написано не много, но хотя бы есть пример расчета в приложении. Для удобства я прописал процедуру в майндкарте, условно выделив несколько шагов:
Шаг 1. Получение базовых данных.
Тут у нас сразу же появляются сложности. Смотрим пример: "предполагается, что организацией БС РФ определена степень тяжести последствий от реализации угроз ИБ, связанных с несанкционированным доступом, выраженная в количественной (денежной) форме, величина которой составляет P.". Причем это именно пример, по сути, в компании должны быть посчитаны последствия от реализации угроз ИБ, причем связанные с управляемым процессом. Причем не просто прикинуты, а посчитаны в денежном эквиваленте (количественная оценка рисков). В качестве рекомендаций РС 2.7 нас отсылает к РС 2.2 (методика оценки рисков), в котором, кстати, про количественную оценку тоже написано не много (всего 1 страница, п.6). Многие пользователи РС 2.7 просто оне смогут посчитать этот важный параметр, и дальнейшую оценку инвестиций можно и не делать.
Кстати, обратил внимание, что коэффициенты СВР очень сильно отличаются в РС 2.7 и РС 2.2:
Едем дальше. Если у пользователя получилось оценить возможный ущерб, то уже выбрать целевое значение СВР (в примере "0,05", можно просто взять его) и посчитать допустимый остаточный риск, а также оценить актуальность угроз, будет относительно не сложно. Хотя рекомендации бы не помешали...
Шаг 2. Расчет уровня зрелости подконтрольного процесса
Первая сложность на этом шаге будет в выборе процессов СМИБ, влияющих на управляемый процесс. Рекомендации по их исключению и добавлению не приводятся, но в большинстве случаев можно просто брать все.
Следующий сложный этап - оценка весовых коэффициентов для каждого процесса СМИБ Их можно бездумно взять из примера, но, на мой взгляд, они немного "странные". Судите сами: почему "Определение/коррекция области действия подконтрольного процесса" в 2 раза важнее процессов "Планирование реализации подконтрольного процесса" и "Включение подконтрольного процесса в область самооценки и аудита ИБ" ? Почему "Реализация автоматизации выполнения подконтрольного процесса" является самым "важным" (коэффициент 0.25)? Авторы не комментируют свою позицию.
Ну, а про определение уровня зрелости я писал в прошлый раз .
Кстати, в примере в расчете есть небольшая описка, которая не повлияла на итоговые значения из-за округления:
Шаг 3. Оценка риска и фин.средств
С расчетами все просто: смотрим формулы, читаем пример, заносим числа в exel (я попробовал посчитать в уме и на бумаже и допустил ошибку, лучше сразу в exel). Вуаля! Получили денежный эквивалент "финансовых средств, которые могут быть затрачены организацией БС РФ на повышение уровня зрелости выполнения подконтрольного процесса".
Но что это такое? Вроде как, это те деньги, которые можно просить у руководства. Но просим-то мы их на что? Просим на повышение зрелости! А следующий уровень достигнем? А точно достигнем? А что для этого надо? А на что конкретно пойдут деньги? "По классике", если мы говорим про повышение зрелости процессов, то имеем ввиду не закупку новых СЗИ, а регламентацию и документирование существующих процессов, создание рабочих групп, обучение причастных и автоматизацию процессов (привет, "бумажная безопасность"). А руководству это надо? Уверены? Ну-ну... А повысить общий уровень ИБ можно и другими, более эффективными, способами.
5. Оценка необходимости в персонале
С оценкой количества необходимого персонала творится истинная алхимия.
В примере из документа абсолютно не понятно, почему взяты именно такие величины трудочасов. Вот, например, почему простой процесс "определение/коррекция области действия" в головном офисе занимает !!! 900 часов в год, а трудоемкий процесс "инициирование и подготовка программ по обучению и повышению осведомленности" всего 180 часов?
Кстати, если мы разделим кол-во часов в год на кол-во человек, а также на кол-во рабочих дней (~250 минус ~20 отпускных), то увидим, что, например, "методологам" из головного офиса придется работать по 9 часов в день без перерывов и обеда, а из филиала даже почти 10. Жалко ребят... А вдруг на них еще какие-то задачи будут возложены? Например, отчетность для ЦБ, про которую авторы документа не упоминали.
Вообще, проблема с расчетом общих трудозатрат базируется на странном и ошибочном выборе процессов и необоснованном выборе трудозатрат для конкретных процессов. Если поправить первое, то можно будет и пересмотреть второе. Базовая идея, заложенная в расчете количества необходимого персонала, на мой взгляд, вполне здравая.
6. Контроль эффективности инвестирования
П.9 РС 2.7 "Рекомендации к проведению контроля эффективности инвестирования в обеспечение процессов СОИБ", на мой взгляд, является самым общим и неконкретным. И если вы до него дойдете при внедрении рекомендаций стандарта, то вы будете задумываться над тем, как посчитать такие замечательные показатели эффективности как: "срок получения ожидаемых результатов по повышению уровня зрелости выполнения процессов СОИБ", "согласованность со стратегией ИТ-развития организации БС РФ", и мой любимый, "соотношение фактического ущерба (финансового эквивалента понесенных потерь)от инцидентов ИБ, в том числе непосредственных финансовых потерь от инцидентов ИБ, финансовых потерь от нарушения непрерывности деятельности организации БС РФ, финансовых потерь от негативного влияния инцидентов ИБ на деловую репутацию, финансовые средства, затраченные для ликвидации последствий инцидентов ИБ, по отношению к предполагаемой на этапе планирования величине возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ"... Рекомендаций по их расчету авторы не приводят.
Подведем итоги
Сейчас мы получили очень странную ситуацию: документ утвержден и опубликован, но его качество низкое. По сути, то что должно было стать рекомендациями, так и осталось набором идей (часто непроверенных) и общих мыслей.
Однако, в этом есть и плюс! Если руководство кредитной организации не слишком сильно проверяет бюджеты на ИБ, то ушлый руководитель службы ИБ может "подогнать" под эту РС 2.7 любые денежные значения, просто "играя" с коэффициентами, и оправдаться тем, что "считал по методике, утвержденной ЦБ РФ".
Как следует пересмотреть документ? Править придется много! Я бы пошел по такому пути:
- Пересмотреть перечень процессов (примерный перечень я дал в прошлом посте ) и дать хотя бы краткое их описание.
- Расширить описание модели зрелости, добавить атрибуты уровней и примеры их выбора. Оказаться от странной идеи расчета зрелости управляемого процесса СОИБ через сумму произведений весовых коэффициентов и уровней зрелости процессов СМИБ. Процессы СИБ и СМИБ оценивать по единой логике модели зрелости. Пересмотреть и расширить перечень терминов.
- С учетом перечня процессов поправить часть с расчетом численности персонала. Общая идея вполне нормальна.
- Полностью исключить части про оценку бюджетов и, соответственно, контроль эффективности инвестирования. Идея с привязкой модели зрелости к рискам и возможному ущербу считаю несостоятельной. Ну, или ее надо существенно доработать. Хотите считать риски - пользуйтесь РС 2.2, но не надо смешивать разные сущности...
- Если хочется позаморачиваться, то можно добавить в документ положения про метрики и KPI. Это будет полезно и по сути документа, и в качестве рекомендаций по 4 и 5 уровням зрелости процессов (для них наличие метрик является обязательным атрибутом).
Вот как-то так!
Знаю, что коллеги из ЦБ РФ читают мой блог , и надеюсь, что они воспримут мои замечания и предложения в качестве полезной обратной связи. Тем более, что я готов помочь в подготовке новой редакции этого документа общими рекомендациями и конкретными наработками по теме.