В последнее время я что-то опять увлекся тематикой измерений в ИБ. Смотрю старые наработки, изучаю современные стандарты и "лучшие практики", общаюсь с коллегами, читаю проектные документы на Solar InView... Обратил внимание, что происходит некоторая путаница при использовании разными специалистами типовых терминов "метрика", "показатель" и "индикатор". Четкое понимание этих терминов, а точнее границ их применения, требуется если мы начинаем выстраивать систему интегрированных показателей ИБ, но об этом я напишу отдельно... Задумался, стал "копать" глубже.
Российские документы по теме измерения ИБ смотреть практически бесполезно, поэтому пойдем сразу в "лучшие практики". Самыми полезными и толковыми по теме я бы назвал следующие:
- ISO/IEC 27004:2009 «Information technology -- Security techniques -- Information security management – Measurement» (+ГОСТ Р ИСО/МЭК 27004-2011)
- NIST Special Publication 800-55 Revision 1 «Performance Measurement Guide for Information Security» (2008)
- The Center for Internet Security «CIS Security Metrics v1.1.0» (2010)
- ITU-T X.1208 «A cybersecurity indicator of risk to enhance confidence and security in the use of telecommunication / information and communication technologies» (2014)
- книги COBIT 5 Enabling Processes и COBIT 5 for Information Security (2012)
- гайд "Measuring Cyber Security and Information Assurance" от IATAC (2009)
- а также подборка материалов SANS по теме
В них во всех говорится про результаты измерений, что логично. Однако их можно условно разделить на 2 группы:
- Первичные результаты измерений. Например, "количество сотрудников, прошедших обучение", "количество инцидентов за период", "количество АРМ с обновленными базами сигнатур АВЗ" и пр.
- "Обработанные" результаты измерений. Результаты, полученные в результате математических преобразований "первичных результатов измерений". Например, "% сотрудников, успешно сдавших тесты по ИБ", "доля компьютеров с актуальными базами сигнатур АВЗ", "доля утечек информации среди всех выявленных инцидентов" и пр.
Самые толковые определения у ITU-T:
Metric: A system of related measuring enabling quantification of some characteristic of a system, component or process. A metric is composed of two or more measures.и COBIT5:
Indicator: It is interchangeable with metric.
Метрика: Поддающаяся количественному исчислению сущность, которая позволяет измерить степень достижения целей процесса. Метрика должна соответствовать принципам SMART (то есть быть конкретной, измеримой, достижимой, актуальной и привязанной к промежутку времени). Подход к определению метрик должен включать единицы измерения, частоту измерения, эталонное значение (если таковое применимо), а также процедуру измерения и процедуру интерпретации результатов измерения.Самое запутанное у ISO 27004:
Показатель (Indicator): Мера измерения, дающая качественную или количественную оценку определения атрибутов, выведенную на основе аналитической модели, разработанной для определения информационных потребностей.
Мера [измерения] (measure): Переменная, которой присваивается некоторое значение, полученное в результате измерения.А хитрые ребята из NIST говорят, что для своего стандарта они используют понятие
“Measures”: the results of data collection, analysis, and reporting.
Вот, уже есть отличия в трактовке.
И с переводом на русский язык у нас еще появляются 2 сложности:
Примерно вот с такими определениям:
И с переводом на русский язык у нас еще появляются 2 сложности:
- "Measure" в качестве "меры","меры измерения" или даже "результата измерения" звучит как-то странно.
- "Metric" так и хочется перевести как "метрика", это привычно звучит, и многие используют этот термин. Но в русском языке этот термин не определен (точнее определен, но совсем в другом значении, смотрите словари). Переводить его, как "мера", "мера измерения" или "результат измерения" тоже не очень удобно...
Метрики ("сырые" данные) -> Показатели ("обработанные" данные) -> Интегральные показатели ("обработанная" совокупность показателей и метрик)
Примерно вот с такими определениям:
Метрика– технически или процедурно измеряемая величина, характеризующая объект управления (процедура, СЗИ, исполнитель и пр.)Я бы не называл это истинной в последней инстанции, но подход довольно удобный, однозначный и ничему, вроде как, особо не противоречащий...
Показатель – значение, получаемое посредством математического преобразования результатов измерений (метрик) и служащее индикатором состояния объекта управления. Для показателей обязательно наличие целевого значения и установленных границ допустимых отклонений. Часто встречающееся значение - % от общего количества.
Интегральный показатель– значение, наглядно отображающее прогресс в достижении установленных целей, характеризуемых набором определённых метрик и показателей.
