3.2.4. Способы измерения атрибутов объекта оценки
3.2.4. Способы измерения атрибутов объекта оценки
Атрибуты, выделенные для измерения как критические элементы процесса, процедуры, защитной меры или объекта оценки, должны быть представлены в удобном для анализа виде с целью адекватного преобразования атрибута в основную меру. Оценщик получает больше возможностей для адекватного представления атрибута основной мерой, если измеряемый атрибут будет дополнен элементами, отражающими контекст оценки.
В настоящее время используются две формы описания измеряемого атрибута: анкеты и метрики.
Для подготовки процесса измерения атрибутов с помощью анкет требуется (см. рис. 58):
— выделить среди атрибутов критические, т. е. те атрибуты, которые позволят достичь цели оценки, и сформировать вопросы анкеты;
— определить с помощью модели оценки способ измерения.
Это позволит оценщику преобразовать измеряемые атрибуты в основные меры при наличии необходимых для измерения источников свидетельств и свидетельств оценки. Отражение контекста оценки в анкете минимально: описание атрибута в виде вопроса. Элементы контекста оценки могут присутствовать в дополнительных методических и распорядительных документах, обеспечивающих процесс оценки ИБ. В этих документах, как правило, указываются источники свидетельств оценки, а также персонал, ответственный за заполнение анкет. Анкеты могут быть созданы не только для получения основной меры атрибута, но и для формирования производной меры. В этом случае в анкете должна быть определена модель объединения основных мер в производную меру.
Примеры анкет, предназначенных для измерения атрибутов, связанных с информационной безопасностью, рассмотрены, например, в NIST Special Publication 800-26 «Security Self-Assessment Guide for Information Technology Systems» и в BSI PAS 56 [28]. Фрагмент анкеты BSI PAS 56, содержащей атрибуты в виде вопросов, шкалу для измерения атрибутов и модель для объединения основных мер в производную меру, представлен в таблице 7.
Другой подход к измерению атрибутов опирается на применение метрик при измерении атрибутов. Для подготовки процесса измерения атрибутов с помощью метрик требуется (см. рис. 59):
— выделить среди атрибутов критические, т. е. те атрибуты, которые позволят достичь цели оценки;
— определить с помощью модели оценки способ измерения;
— сформировать перечень источников свидетельств оценки и свидетельств оценки, необходимых для измерения атрибутов;
— установить роли и их функции при проведении измерения;
— определить условия функционирования процесса, процедуры, защитной меры или объекта оценки, включающие период сбора, анализа данных, отчетности.
Таблица 7
При разработке метрик и реализации метрик ИБ должны выполняться следующие условия:
— метрики должны давать результат в количественно измеримой форме (в процентах, в усредненных и абсолютных значениях), например: «процент систем, для которых имеется план работы в чрезвычайной ситуации», «процент уникальных идентификаторов пользователей», «процент систем, в которых применяются запрещенные к использованию протоколы», «процент систем, для которых существуют документированные отчеты об оценке рисков» и т. п.;
— данные для поддержки метрик должны быть доступными;
— значения метрик должны быть достижимы и иметь смысл для бизнеса;
— не следует измерять атрибуты, которые не требуется совершенствовать.
Пример формирования метрик в соответствии со стандартом NIST 800-55 «NIST Special Publication 800-55 «Security Metrics Guide for Information Technology Systems» показан в таблице 8.
Таблица 8
Окончание табл. 8
Форма метрик, показанная в таблице 9, подробно описывает объект измерения и атрибут, основную и производную меры, роли и функции ролей при измерении, метод измерения, процедуры сбора и анализа данных.
Таблица 9
Продолжение табл. 9
Окончание табл. 9
Данный текст является ознакомительным фрагментом.