Метрики по COBIT5

Метрики по COBIT5
Я периодически перечитываю книги из библиотеки COBIT5, и каждый раз они являются для меня источником вдохновения. В этом посте я решил рассказать о подходе COBIT5 к измерениям, некоторые (но не все) идеи вполне можно использовать и для измерения ИБ...

1.Важные термины 
Из книги COBIT 5: Бизнес-модель по руководству и управлению ИТ на предприятии (русский перевод):
Метрика - поддающаяся количественному исчислению сущность, которая позволяет измерить степень достижения целей процесса. Метрика должна соответствовать принципам SMART (то есть быть конкретной, измеримой, достижимой, актуальной и привязанной к промежутку времени). Подход к определению метрик должен включать единицы измерения, частоту измерения, эталонное значение (если таковое применимо), а также процедуру измерения и процедуру интерпретации результатов измерения.
И еще несколько, которые пригодятся:
Цель - описание желаемого результата.
ИТ-цель - утверждение, которое описывает желаемый результат использования ИТ для реализации целей предприятии. Результат может быть артефактом, существенным изменением состояния или существенным усилением возможностей.
Цель процесса - утверждение, описывающее желаемый результат процесса. Результатом может быть артефакт, значительное изменение состояния или значительное совершенствование возможностей других процессов.
Процесс - обычно – набор практик, находящихся под влиянием политик и процедур предприятия, который получает на вход ресурсы (включая результаты других процессов), преобразует их и создает результат (выходы, то есть продукты и услуги).
Замечание по охвату: для существования процессу необходимо иметь ясную бизнес-причину, подотчетного владельца, четкое закрепление ролей и обязанностей за исполнение процесса и средства измерения производительности.

2.Каскад целей
В методологии COBIT5 все метрики (о них ниже) привязываются к конкртеным (ну, относительно) разноуровневым целям. Поэтому надо хотя бы в общих чертах представлять "каскад целей". Вот он:

COBIT5 определяет 17 универсальные целей предприятия (с учетом подходов и идей из модели BSC, Сбалансированная Система Показателей) и столько же ИТ-целей. Их стоит рассматривать в качестве примера, и рекомендуется адаптировать под особенности конкретной организации. А в приложении к документу есть еще и подробная карта соответствия между ИТ-целями и ИТ-процессами...

А цели факторов влияния (enablers) лучше смотреть в книге COBIT5 for Information Security.

Подытожу этот пункт цитатой:
"Важность каскада целей заключается в том, что он позволяет определить приоритеты внедрения, совершенствования и гарантировать наличие руководства ИТ на предприятии на основе понимания (стратегических) целей предприятия, а также связанных рисков. На практике каскад целей:
• Определяет важные и измеримые цели и задачи на различных уровнях ответственности.
• Позволяет извлечь из базы знаний COBIT 5 все данные об определённой цели предприятия, которые могут понадобиться в проектах внедрения, совершенствования или оценки качества.
• Ясно определяет и демонстрирует (в некоторых случаях очень подробно) то, каким образом факторы влияния помогают в достижении целей предприятия."
3.Собственно метрики 
Ну, во-первых, в книге COBIT5 Enabling Processes представлены метрики верхнеуровневых целей (уровень предприятия и ИТ в целом), к сожалению, перевода на русский язык этой книги еще нет:

На мой взгляд, большинство из них сложны для понимания, сбора и представления, а значит не будут применяться в реальной жизни. Ну, в России точно. Однако, как источник вдохновения их использовать можно.

Обратил также внимание, что много "бизнес-метрик" предлагают оценивать уровень "удовлетворенности" тех или иных заинтересованных лиц чем-либо. Например, персонала от работы, руководства от стоимости инициатив и так далее. Интересный подход...

Во-вторых, в книгах COBIT5 for Information Security и COBIT5 Enabling Processes представлены еще и метрики для оценки достижения низкоуровневых целей (целей отдельных факторов влияния (enablers)). Вот эти факторы влияния:
Самыми интересными для нас, конечно же, будут метрики процессов, причем из книги COBIT5 for Information Security. Вот, например, такие (к сожалению, тоже без перевода):

Но и метрики, связанные с целями других факторов влияния (например, с инфраструктурой) тоже посмотреть стоит. Так как документы довольно большие (220 и 230 страниц соответственно), то примеры метрик удобнее всего искать простым поиском по слову "metric".

Как вы могли уже заметить, даже "ИБ-метрики" отдельных процессов "в лоб" применить будет сложно, к сожалению авторы не дают рекомендаций (или хотя бы комментариев) по их сбору, обработке и интерпретации...

Что в итоге?
  1. К сожалению, COBIT5 не получится использовать в качестве "единой интегрированной методологии" при внедрении системы показателей работы ИТ и ИБ. В документах нет четких рекомендаций по выстраиванию процесса сбора, обработки и анализа метрик, по выбору их целевых и граничных значений. 
  2. Идея с привязкой метрик к разноуровненным целям довольно интересна, ее имеет смысл адаптировать под конкретные проекты. Но в существующим виде ее использовать не получится...
  3. COBIT5 представляет в качестве примера порядка трех сотен разноуровневых метрик. На мой взгляд, 2/3 из них для наших целей будут неприменимы... Но на них вполне можно ориентироваться, так сказать, "для вдохновения".

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь

Andrey Prozorov

Информационная безопасность в России и мире