Когда говорят про измерения в ИБ, то обычно подразумевают метрики отдельных процессов или уходят в рассуждения про экономику проектов ИБ и их влияние на бизнес. И то и другое вполне правильно, но на самом деле измерений несколько больше. Выделил основные из них.
- Уровень рисков ИБ.
- Метрики контролей (доменов ИБ)
- Метрики процессов ИБ
- Процент выполненных мер (compliance)
- Уровень ИБ (самооценка)
- Уровень зрелости процессов ИБ
- Уровень возможностей процессов ИБ
- Количество инцидентов ИБ
- Экономика проектов ИБ
- Показатели проектов ИБ
- Выгоды для бизнеса
И свел их в единую таблицу:
№ | Измерение ИБ | Глобальная цель | Методологии | Потребитель |
1. | Уровень рисков ИБ | Определить приоритеты ИБ | ISO 27005, БМУ ФСТЭК России, OCTAVE, РС БР ИББС 2.2, NIST SP 800-30 Rev.1, COBIT5 for Risk | CISO |
2. | Метрики контролей (доменов ИБ) | Выявить отклонения в нормальной работе ИБ, определить области ИБ для совершенствования | ISO 27004, ITU-T X.1208, NIST SP 800-55 Rev.1 | CISO |
3. | Метрики процессов ИБ | Выявить отклонения в нормальной работе процессов ИБ, определить приоритеты по их совершенствованию | COBIT5 Enabling Processes, COBIT5 for Information Security, ITIL | CISO, CIO |
4. | Процент выполненных мер (compliance) | Комплексно оценить состояние ИБ, отчитаться о выполнении требований | ISO 27001 (и 27002), СТО БР ИББС 1-0, NIST SP 800-53 Rev.4, PCI DSS, Приказы ФСТЭК России № 17, 21, 31 | CISO, Legal, Internal Auditor, Compliance officer, Regulators |
5. | Уровень ИБ (самооценка) | Понять текущее состояние ИБ, отчитаться | 382-П, СТО БР ИББС 1.2 | CISO, Compliance officer, Regulators |
6. | Уровень зрелости процессов ИБ | Оценить текущий уровень процессов ИБ, определить приоритеты по их совершенствованию | COBIT4.1, CMMI, РС БР ИББС 2.7. | CISO, CIO, CEO |
7. | Уровень возможностей процессов ИБ | Оценить текущий уровень процессов ИБ, определить приоритеты по их совершенствованию | COBIT5 Process Assessment Model, ISO 15504 | CISO, CIO, CEO |
8. | Количество инцидентов ИБ | Понять актуальность угроз ИБ и отчитаться об инцидентах | форма 0403203 (НПС) | CISO, Compliance officer, Regulators |
9. | Экономика проектов ИБ | Выбрать оптимальное решение | TCO, ROI, TEI | CISO, CIO, CFO, CEO |
10. | Показатели проектов ИБ | Контролировать реализацию проектов ИБ | PMBOK5, PRINCE2 | CISO, CIO, PM |
11. | Выгоды для бизнеса (оптимизация операционных рисков, оптимизация ресурсов, прочие выгоды) | Обосновать бюджеты ИБ | ROI, TEI, BSC, CAPEX и OPEX, EBITDA COBIT 5 for Risk | CISO, CFO, CEO, CTO, COO |
Это такая первая прикидка, может что-то упустил. Пишите комментарии.
