19 сентября, среда 02:49
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Анализ эффективности СМИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Анализ эффективности СМИБ

    Определены ли в документах организации и выполняются
    ли процедуры по анализу эффективности СМИБ
    (полноте и адекватности процессов менеджмента ИБ)?

    Используются ли при анализе эффективности СМИБ
    результаты мониторинга ИБ и сведения относительно
    инцидентов ИБ?

    Используются ли результаты оценки рисков ИБ
    при анализе эффективности СМИБ, включая анализ
    уровней остаточного и приемлемого рисков ИБ?


    И как это реализовывать? Писать методику по анализу эффективности? Есть готовые велосипеды или надо изобретать?
    Чем больше связей, тем меньше степеней свободы.

  • #2
    Сообщение от Чернушка Посмотреть сообщение
    И как это реализовывать? Писать методику по анализу эффективности? Есть готовые велосипеды или надо изобретать?
    И вновь я буду немодным ;-) Эффективность СМИБ определяется только одним - достижение поставленных БИЗНЕС-целей. Связали с бизнес-целью, прописали метрики достижения, выбрали метод измерения и все.

    Частично по эффективности СМИБ можно почитать ISO 27004 (проект), NIST SP 800-80 (проект) и NIST SP 800-55. Это из публичных документов, за которые не надо платить. Ну и книг англоязычных полно по этой теме.

    Комментарий


    • #3
      to Алексей Лукацкий
      Связали с бизнес-целью, прописали метрики достижения, выбрали метод измерения и все - сбалансированная система показателей ?

      Комментарий


      • #4
        Сообщение от box_roller Посмотреть сообщение
        to Алексей Лукацкий
        Связали с бизнес-целью, прописали метрики достижения, выбрали метод измерения и все - сбалансированная система показателей ?
        Не обязательно. Я только две варианты трансляции BSC на ИТ видел. И они пока очень новые, чтобы говорить про эффективность. Кроме того, они достаточно сложны, т.к. требуют учета множества компонентов. Я же говорил про более простые варианты, когда проект по ИБ привязан к бизнес-цели конкретного подразделения, компании, проекта/инициативы или человека.

        Комментарий


        • #5
          Сообщение от Алексей Лукацкий Посмотреть сообщение
          Не обязательно. Я только две варианты трансляции BSC на ИТ видел. И они пока очень новые, чтобы говорить про эффективность. Кроме того, они достаточно сложны, т.к. требуют учета множества компонентов. Я же говорил про более простые варианты, когда проект по ИБ привязан к бизнес-цели конкретного подразделения, компании, проекта/инициативы или человека.
          Приведённый мной пример "сбалансированная система показателей " - достаточно простой метод. В основе данного подхода лежит выбор небольшого числа реально измеримых показателей, напрямую характеризующих эффективность бизнеса.
          Все что "требуют учета множества компонентов" трудно правильно реализовать... стоит ли усложнять?

          Комментарий


          • #6
            Сообщение от box_roller Посмотреть сообщение
            Приведённый мной пример "сбалансированная система показателей " - достаточно простой метод. В основе данного подхода лежит выбор небольшого числа реально измеримых показателей, напрямую характеризующих эффективность бизнеса.
            Все что "требуют учета множества компонентов" трудно правильно реализовать... стоит ли усложнять?
            Усложнять не надо для отдельных проектов, для которых можно выбрать "небольшое число реально измеримых показателей". А у СМИБ в целом таких проектов может быть больше, плюс эффект синергии. В итоге либо показателей становится много, что неправильно, либо показатели должны быть увязаны с основными бизнес-показателями компании. А это требует нехилой сбалансированности, чтобы не было перекосов. Поэтому проекты по использованию BSC пока не всегда увенчиваются успехом.

            Комментарий


            • #7
              box_roller
              В основе данного подхода лежит выбор небольшого числа реально измеримых показателей
              Судя по ГП, указанных выше, показателей нужно ровно 2
              1. Кол-во инцидентов ИБ должно быть меньше установленного кол-ва.
              2. Соотношение Приемлемого и остаточного уровня риска тоже должно чему-нибудь соответствовать
              Чем больше связей, тем меньше степеней свободы.

              Комментарий


              • #8
                Сообщение от Чернушка Посмотреть сообщение
                box_roller
                В основе данного подхода лежит выбор небольшого числа реально измеримых показателей
                Судя по ГП, указанных выше, показателей нужно ровно 2
                1. Кол-во инцидентов ИБ должно быть меньше установленного кол-ва.
                2. Соотношение Приемлемого и остаточного уровня риска тоже должно чему-нибудь соответствовать
                А кто установит это количество инцидентов, меньше которого должен быть результат работы? Очень это субъективно. Но дело даже не в этом. Динамикой количества инцидентов вы не можете показать реально ничего. Да, для руководителя, поверхностно смотрящего на этот вопрос, это может и сработает, но у думающего руководителя возникнут вопросы. Например, уменьшение числа инцидентов может быть результатом того, что у вас стало больше сотрудников, что у вас поменялось трактовка термина "инцидента", что вы инциденты стали пропускать, ну и т.д.

                А с точки зрения математика сам факт измерения конечного числа в бесконечном множестве меня малось смущает. У вас инцидентов по определению бесконечное число (как и атак или уязвимостей, например). Поэтому рапортовать о том, что вы справились с 100 инцидентами против 150 за прошлый аналогичный период не говорит ни о чем ;-(

                Да и вообще, количество инцидентов говорит скорее о внутренней эффективности работы СМИБ, а не о ее ценности для бизнеса. Не зря же все метрики ИБ принято делить на 3 уровня:
                - показывающие достижение цели ИБ (effective)
                - показывающие эффективность достижения цели ИБ (efficient)
                - показывающие достижение бизнес-целей.

                Вот уменьшение количества инцидентов - это пример первой категории. Если мы например, возьмем метрику - стоимость одного инцидента. То это уже пример метрики второй категории. Но никак не третьей, хотя и привязана к деньгам.

                Ну про риски я уже высказывался ;-)

                Комментарий


                • #9
                  Сообщение от Чернушка Посмотреть сообщение
                  box_roller
                  В основе данного подхода лежит выбор небольшого числа реально измеримых показателей
                  Судя по ГП, указанных выше, показателей нужно ровно 2
                  1. Кол-во инцидентов ИБ должно быть меньше установленного кол-ва.
                  2. Соотношение Приемлемого и остаточного уровня риска тоже должно чему-нибудь соответствовать
                  Хм.. упоминая о сбалансированных показателях я имел ввиду несколько другое. Да и то, чисто гипотетически и продолжая написанное Алексеем : "Эффективность СМИБ определяется только одним - достижение поставленных БИЗНЕС-целей".
                  Эта система (и показатели) оценивает бизнес в целом. ИБ в них фигурировать не будет. Но после внедрения СУИБ можно косвенно по изменению показателей судить о пользе СУИБ для бизнеса.

                  Комментарий


                  • #10
                    Сообщение от box_roller Посмотреть сообщение
                    Эта система (и показатели) оценивает бизнес в целом. ИБ в них фигурировать не будет. Но после внедрения СУИБ можно косвенно по изменению показателей судить о пользе СУИБ для бизнеса.

                    Это если мы берем BSC в неизменно Каплановском варианте. А я как раз имел ввиду, что уже есть варианты, когда BSC перекладывается либо на ИТ, либо на ИБ. Мы Каплановскую исходную версию берем за основу и модифицируем под свои нужды.

                    Комментарий


                    • #11
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Это если мы берем BSC в неизменно Каплановском варианте. А я как раз имел ввиду, что уже есть варианты, когда BSC перекладывается либо на ИТ, либо на ИБ. Мы Каплановскую исходную версию берем за основу и модифицируем под свои нужды.
                      Правильно ли я понимаю: Показатели BSC по бизнесу в целом, транслируются неким образом на ИТ и ИБ ?
                      Или введение BSC в ИТ и ИБ не предусматривает обязательного существования BSC для бизнеса в целом.

                      Комментарий


                      • #12
                        Сообщение от box_roller Посмотреть сообщение
                        Правильно ли я понимаю: Показатели BSC по бизнесу в целом, транслируются неким образом на ИТ и ИБ ?
                        Или введение BSC в ИТ и ИБ не предусматривает обязательного существования BSC для бизнеса в целом.
                        Транслируется

                        Комментарий


                        • #13
                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                          Транслируется
                          Если транслируются, то это предполагает что в компании уже внедрена BSC на уровне всего бизнеса. То есть ТОПы уже доросли до определенного уровня. Много ли таких организаций?
                          А если BSC в компании нет, то и методики будут на полке пылиться.
                          По сути речь идет о методиках, применить которые на практике маловероятно?

                          Комментарий


                          • #14
                            box_roller
                            Но после внедрения СУИБ можно косвенно по изменению показателей судить о пользе СУИБ для бизнеса.
                            Здорово. Здесь думаешь - как бы не навредить(не сильно помешать).
                            Хорошо Вам 8)
                            Я словно лист на ветру, посмотри как я лечу...

                            Комментарий


                            • #15
                              Сообщение от Mc`Sim Посмотреть сообщение
                              box_roller
                              Но после внедрения СУИБ можно косвенно по изменению показателей судить о пользе СУИБ для бизнеса.
                              Здорово. Здесь думаешь - как бы не навредить(не сильно помешать).
                              Хорошо Вам 8)
                              Да. Мне хорошо

                              Во всех моментах из серии "не сильно помешать" есть и положительные стороны. Найдя их и пропиарив, решение легче внедрить. Ну а к временным неудобствам люди привыкнут и перестанут их таковыми считать. По крайней мере, следующие поколение сотрудников будет воспринимать их как норму.

                              Комментарий


                              • #16
                                Сообщение от box_roller Посмотреть сообщение
                                Если транслируются, то это предполагает что в компании уже внедрена BSC на уровне всего бизнеса. То есть ТОПы уже доросли до определенного уровня. Много ли таких организаций?
                                А если BSC в компании нет, то и методики будут на полке пылиться.
                                По сути речь идет о методиках, применить которые на практике маловероятно?
                                Ну и так, и так. В одном случае требуется внедрение BSC во всей компании, в другом предлагается ограничиться только одним департаментом.

                                Комментарий


                                • #17
                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  Ну и так, и так. В одном случае требуется внедрение BSC во всей компании, в другом предлагается ограничиться только одним департаментом.
                                  Алексей Лукацкий, а где можно ознакомится с упомянутыми вами методиками?

                                  Комментарий


                                  • #18
                                    Сообщение от box_roller Посмотреть сообщение
                                    Алексей Лукацкий, а где можно ознакомится с упомянутыми вами методиками?
                                    Я их получал по подписке Forrester и Gartner.

                                    Комментарий

                                    Пользователи, просматривающие эту тему

                                    Свернуть

                                    Присутствует 1. Участников: 0, гостей: 1.

                                    Обработка...
                                    X