3.3.1. Модель оценки информационной безопасности на основе оценки процессов
3.3.1. Модель оценки информационной безопасности на основе оценки процессов
При описании процесса оценки ИБ организации в разделе 3.2 не рассматривалось содержание модели оценки ИБ и критериев оценки ИБ. Эти компоненты процесса оценки ИБ связаны с целью оценки таким образом, что через цель оценки определяется критерий оценки ИБ, в рамках которых (цель, критерий) выбирается модель оценки ИБ организации.
Предположим, что целью оценки ИБ является оценка процессов обеспечения всей организации или объекта (ов) организации. Для достижения такой цели оценки в качестве критерия оценки ИБ должна использоваться эталонная модель процессов обеспечения ИБ, которая описывает в зависимости от объекта оценки совокупность из одного или более процессов в терминах назначения и ожидаемых результатов. Эталонная модель процессов может содержать более подробное описание процессов с выделением атрибутов по назначению и / или ключевых атрибутов — критических элементов процессов.
Модель оценки процесса включает сферу модели, показатели, отображение и преобразование модели оценки процесса.
Сфера модели оценки процесса может распространяться на подмножество процессов, определенных эталонной моделью процессов объекта оценки, а также охватывать дополнительные процессы, выходящие за рамки процессов объекта оценки. Сфера модели оценки может полностью соответствовать эталонной модели процессов объекта оценки.
Модель оценки процесса основывается на совокупности показателей, которые используются в качестве основы для сбора объективных данных для определения степени достижения атрибутов процессов, назначения и результатов процессов в рамках сферы модели оценки процесса. Показатели формализуют процесс оценки, дают возможность последовательно формировать суждения специалиста по оценке и повышать воспроизводимость результатов. Показатели позволяют оценить степень реализации процессов объекта оценки. Модели оценки процесса в целом обеспечивают различные степени анализа процесса на основе числа показателей оценки, предоставляемых моделью оценки процесса. Модель оценки процесса с 20 показателями оценки будет считаться обеспечивающей более глубокий анализ процесса, чем модель оценки процесса с 10 показателями оценки. Однако такой анализ требует более значительных усилий во время оценки по выявлению данных, касающихся показателей оценки, а затем обработки данных.
Модель оценки процесса должна позволять отображать атрибуты процессов объекта оценки на выбранной шкале. Такой шкалой может быть количественная шкала (например, абсолютная или шкала отношений), которая указывает степень реализации процесса или достижение заданного уровня атрибута процесса, или качественная шкала (например, порядковая), которая указывает на уровень качества процесса.
Показатели, отображая назначения, результаты и атрибуты процессов, формируют таким образом эталонные профили процессов.
Отображение модели оценки процесса должно обеспечивать формальный и поддающийся проверке механизм представления результатов оценки как совокупности параметров процесса для каждого процесса, выбранного из установленной модели (моделей) процесса.
Модель оценки процесса должна обеспечивать четкое преобразование из основных элементов модели в процессы выбранной модели процессов и в соответствующие параметры процесса в структуре измерений.
Преобразование должно быть полным, четким и однозначным. Преобразование показателей в модели оценки процесса должно производиться в:
— назначения и результаты процессов в установленной модели процесса;
— параметры процесса (включая все результаты достижения, перечисленные для каждого параметра процесса) в структуре измерений.
Международный стандарт ИСО/МЭК 15504 [29] определяет, что для оценки процесса могут использоваться модель, оценивающая функционирование процесса, и модель, оценивающая возможности процесса. Измерение функционирования процесса обеспечивается эталонной моделью процесса. Измерение возможности процесса состоит из структуры измерений, включающей шесть уровней возможностей процесса и соответствующие атрибуты процесса.
Разберем первую модель — модель оценки функционирования процесса, для чего рассмотрим измерение и оценивание атрибутов и формирование оценки процессов обеспечения ИБ с помощью этой модели.
Каждый процесс характеризуется назначением (вход), результатом (выход), управляющими воздействиями и ресурсами.
Состояние любого процесса отображается совокупностью атрибутов мероприятий процесса, входных атрибутов, атрибутов управления, атрибутов ресурсов и выходных атрибутов:
Для проведения оценки функционирования процессов каждый процесс должен быть представлен совокупностью атрибутов, требуемых для функционирования процессов в соответствии с их назначением:
В общем случае каждый вид атрибута описывается набором атрибутов, т. е
Для описания соответствия реальных атрибутов процесса требуемым атрибутам YTP формально введем числовую функцию на множестве атрибутов процесса ? = ? (Y(u), YTP), которая называется функцией соответствия. Каждый атрибут процесса измеряется с помощью функции соответствия. Конкретный вид функции зависит от метода измерения атрибута.
Для совокупности атрибутов функция соответствия ? (Y (u), YTP) показывает степень достижения требуемых атрибутов. Совокупность атрибутов Y может быть случайной переменной Y (и) (числовой или нечисловой), зависящей от стратегии и ? U. Стратегиями U могут быть следующие действия в отношении процессов обеспечения ИБ: применение базовой оценки рисков ИБ, использование определенного поставщика для реализации СОИБ, применение аутсорсинга для реализации некоторых процессов. Функция соответствия ? (Y (u), YTP) в этом случае также может быть случайной величиной. Тогда показатель функционирования определяется математическим ожиданием функции соответствия:
Если Y (u), и YTP — неслучайные переменные, то W (и) = ? (Y (u), YTP).
На рис. 60 показана модель оценки процессов обеспечения ИБ организации на основе измерения атрибутов процессов.
Данная модель оценки соответствия ИБ связывает потребности в оценке функционирования процессов обеспечения ИБ с соответствующими процессами и представляющими интерес атрибутами процессов. С помощью метода измерения атрибуты преобразовываются в основные меры (частные показатели), с помощью производных мер формируются групповые показатели.
Примеры метрик из [30] и [23] для измерения атрибутов представлены в приложении 3
Для оценивания функционирования (правильности реализации) любого процесса введем групповой (векторный) показатель функционирования
объединяющий частные показатели разных видов:
— частные показатели правильности реализации входных атрибутов
— частные показатели правильности реализации атрибутов управления
— частные показатели правильности реализации атрибутов ресурсов
— частные показатели правильности реализации атрибутов мероприятий
— частные показатели правильности реализации выходных атрибутов
Для каждого атрибута процесса, когда Y(u), и YTP — неслучайные (детерминированные) переменные, функция соответствия служит частным показателем функционирования:
где mk — число атрибутов определенного вида, k = 5.
Введение векторного показателя функционирования накладывает дополнительные требования: минимальность числа частных показателей и полнота. Требование минимальности числа частных показателей связано со стремлением к снижению трудоемкости оценивания, однако при сохранении полноты охвата атрибутов процесса.
В зависимости от вида функции соответствия можно получить различные значения частных показателей функционирования. Вид функции соответствия определяется преобразованиями, которые допустимы в выбранных для метода измерения шкалах.
Например, пусть событие А означает достижение атрибута процесса требуемого значения. Вероятность Ри (А) наступления этого события зависит от стратегии и ? U. Тогда функция соответствия р в этом случае вводится как переменная, которая может принять лишь два значения 0 или 1, т. е.
Частные показатели могут иметь различную размерность. Поэтому при формировании группового показателя необходимо оперировать с нормированными значениями показателей.
Характеристики и свойства процессов обеспечения ИБ, которые несут атрибуты, не равнозначные с точки зрения реализации этих процессов. Поэтому необходимо определить способ объединения частных показателей (рис. 60) при формировании групповых показателей из частных. Наиболее часто применяемой производной мерой является усреднение объединяемых основных мер, т. е. групповые показатели формируются путем усреднения частных показателей, предполагая их равную значимость:
где Wj — групповой показатель j-го процесса;
Wji — частный показатель i-го атрибута j-го процесса;
n — число показателей всех измеряемых атрибутов j-го процесса.
Вычисление среднего значения для количественных показателей или вычисление медианы для качественных показателей дают хорошие результаты с точки зрения понимания правильности реализации процессов, однако адекватность такой обобщенной оценки не столь высока ввиду различной значимости оцениваемых атрибутов. Повысить адекватность обобщенной оценки процессов позволяет использование коэффициентов значимости (весовых коэффициентов) частных показателей.
Под значимостью частного показателя будем понимать важность оцениваемых частным показателем атрибутов процессов обеспечения ИБ с точки зрения функционирования (правильности реализации) этих процессов.
Групповые показатели при различной значимости частных показателей вычисляются следующим образом:
где ?ji — коэффициент значимости частного показателя i-го атрибута j-го процесса.
Значимость атрибутов процессов обеспечения ИБ может быть определена с помощью экспертных методов (непосредственной численной оценки, балльного оценивания, относительных частот рангов), основанных на субъективной оценке значимости экспертами, и аналитических методов с использованием формализованных процедур, снижающих субъективность оценки. Экспертные методы просты, субъективны. Аналитические методы менее субъективны, но сложны. Кроме того, они не ориентированы на процессный подход к оценке.
Комплексный показатель оценки ИБ (рис. 60) формируется как производная мера, объединяющая групповые показатели. Модель объединения групповых показателей может быть такой же, как модель объединения частных показателей, но со своими коэффициентами значимости. Другим вариантом модели объединения может быть модель предпочтения, когда значение комплексного показателя определяется по самому низкому значению показателя среди наиболее значимых групповых показателей.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Модель оценки активов
Модель оценки активов Модель оценки активов позволяет определить требуемую доходность инвестиций с учетом несистемного и системного риска. Простая формула этой модели показывает, что требуемая доходность – это доходность безрисковых активов плюс надбавка за
1.3. Совершенствование методов оценки региональной продовольственной безопасности
1.3. Совершенствование методов оценки региональной продовольственной безопасности Как показал анализ, в настоящее время не существует единого подхода или метода оценки уровня продовольственной безопасности региона. В одних случаях обеспеченность продовольственной
4.2. Бухгалтерская модель как способ оценки финансовой устойчивости организации
4.2. Бухгалтерская модель как способ оценки финансовой устойчивости организации В МСФО 1 предусмотрено представление специальной аналитической информации о влиянии определенных фактов на финансовое положение и результаты деятельности организации. В российских
Глава 2. Виды оценки основных средств. Порядок изменения оценки основных средств
Глава 2. Виды оценки основных средств. Порядок изменения оценки основных средств Основные средства могут быть оценены по первоначальной, остаточной и восстановительной
Пример 7. Организациями применяется метод оценки стоимости выбывших материалов по средней скользящей себестоимости. В учетной политике способ оценки материально-производственных запасов при их выбытии не оговаривается, также отсутствуют расчеты по списанию стоимости материалов при их выбытии
Пример 7. Организациями применяется метод оценки стоимости выбывших материалов по средней скользящей себестоимости. В учетной политике способ оценки материально-производственных запасов при их выбытии не оговаривается, также отсутствуют расчеты по списанию стоимости
Модель оценки капитальных активов (CAPM)
Модель оценки капитальных активов (CAPM) Логика САРМ построена на сравнении рискованности акций компании с рынком. Более конкретно логика выглядит примерно так.• В мире существуют активы, риск по которым очень низкий (прежде всего, это государственные облигации США, хотя
1.1.4. Определение информационной безопасности
1.1.4. Определение информационной безопасности Постепенное осознание факта, что информационное воздействие на бизнес-процесс (на управление им) может быть эффективнее, чем материальное или финансовое воздействие, а также низкий ресурсный порог таких воздействий
1.3. Модель информационной безопасности бизнеса
1.3. Модель информационной безопасности бизнеса 1.3.1. Мотивация Российская и мировая практика регулирования информационной безопасности (ИБ) недавнего прошлого состояла из обязательных требований национальных уполномоченных органов, оформляемых в виде руководящих
3. Оценка информационной безопасности бизнеса. Проблема измерения и оценивания информационной безопасности бизнеса
3. Оценка информационной безопасности бизнеса. Проблема измерения и оценивания информационной безопасности бизнеса 3.1. Способы оценки информационной безопасности Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса
3.1. Способы оценки информационной безопасности
3.1. Способы оценки информационной безопасности Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ (СОИБ). СОИБ представляет собой совокупность
3.2. Процесс оценки информационной безопасности
3.2. Процесс оценки информационной безопасности 3.2.1. Основные элементы процесса оценки Процесс оценки ИБ включает следующие элементы проведения оценки:— контекст оценки, который определяет входные данные: цели и назначение оценки ИБ, вид оценки (независимая оценка,
3.2.2. Контекст оценки информационной безопасности организации
3.2.2. Контекст оценки информационной безопасности организации Контекст оценки ИБ включает цели и назначение оценки ИБ, вид оценки, объект и области оценки ИБ, ограничения оценки, роли и ресурсы.К ролям, участвующим в реализации процесса оценки, относятся организатор,
3.3.2. Оценка информационной безопасности на основе модели зрелости процессов
3.3.2. Оценка информационной безопасности на основе модели зрелости процессов Рассмотрим применение оценки возможности (оценки зрелости) процессов для оценки ИБ организации.В ISO/IEC 15504 [29] определена модель оценки зрелости, основу которой составляют идентифицированные
КАКОВЫ ОТЛИЧИЯ ПРОЦЕССОВ ОЦЕНКИ И МОНИТОРИНГА ПРОЕКТА?
КАКОВЫ ОТЛИЧИЯ ПРОЦЕССОВ ОЦЕНКИ И МОНИТОРИНГА ПРОЕКТА? Сначала поговорим об отличиях процессов мониторинга и оценки проекта. Оценка проекта чаще всего производится один раз, по итогам его реализации. Целью проведения оценки является проверка того, что произведенная
СОБЕСЕДОВАНИЯ, ПЛАНИРУЕМЫЕ НА ОСНОВЕ КРИТЕРИЕВ ОЦЕНКИ
СОБЕСЕДОВАНИЯ, ПЛАНИРУЕМЫЕ НА ОСНОВЕ КРИТЕРИЕВ ОЦЕНКИ Можно использовать критерии оценки, описанные в гл. 27. Они определяют ряд аспектов, по которым следует получить и оценить информацию. Но, как указывает Р. Эдинбороу (1994), они не дают сколько-нибудь ясного представления