Ключевые метрики информационной безопасности. Подборка от R-Vision

Измерения – важный аспект информационной безопасности, с которым рано или поздно сталкиваются все специалисты в данной области. Отслеживание значений метрик позволяет вовремя выявлять проблемы и принимать меры по их устранению.

Вместе с тем составление каталога метрик – индивидуальный процесс для каждой организации. При правильном подходе каждая метрика служит определённой цели, зависящей от ситуации, и позволяет получить ответы на конкретные вопросы. Можно сказать, что если организация не знает, какие метрики в области ИБ ей необходимы, она не нуждается в них, так как ещё не готова к проведению измерений.

Специалисты R-Vision решили поделиться собственным списком метрик, который сформировался на основе своего опыта, а также из практики измерения ИБ клиентами. В список вошли наиболее часто используемые метрики, подходящие для широкого круга целей измерения и не требующие больших усилий при сборе информации и расчетах.

Мы разделили все метрики на следующие разделы информационной безопасности:

  • управление инцидентами,
  • управление активами,
  • управление рисками,
  • управление уязвимостями,
  • аудит ИБ,
  • управление ИБ и работа с пользователями.

Для представленных метрик организациям следует определить периодичность измерения, допустимый и критичный уровни, которые позволят интерпретировать получаемые значения, а также целевую динамику. В зависимости от смысла, вкладываемого в метрику, её целевая динамика может быть положительной (допустимое значение выше критичного) или отрицательной (допустимое значение ниже критичного).

Метрики по направлению Управление инцидентами

1. Доля инцидентов по типам

Отношение числа инцидентов определенного типа, выявленных за период времени, к общему числу выявленных за это время инцидентов.

Целевая динамика: отрицательная.

Практическая ценность: оперативное выявление проблемных областей ИБ, требующих внимания.

Пример сводки по выбранным типам инцидентов
Пример сводки по выбранным типам инцидентов

Рост числа инцидентов определенного типа может указать на возникновение проблемы, требующей срочного внимания: отказ в работе СЗИ, осуществление атаки на организацию и т.д. Отсутствие инцидентов некоторых типов на определенных объектах может свидетельствовать о некорректной настройке SIEM-системы. Кроме того, результаты расчета данной метрики могут быть использованы при обосновании руководству организации необходимости внедрения определенного СЗИ.

Доля инцидентов типа "Внедрение вредоносного кода"
Доля инцидентов типа «Внедрение вредоносного кода»

2. Доля инцидентов с соблюдением сроков реагирования

Отношение числа инцидентов, закрытых за период времени в установленные сроки, к общему числу закрытых за это время инцидентов.

Целевая динамика: положительная.

Практическая ценность: оценка эффективности процесса реагирования на инциденты, выявление проблемных мест.

Увеличение числа не устраненных в срок инцидентов может свидетельствовать о слишком большой загрузке группы по реагированию на инциденты, нарушениях в коммуникации между её членами, задержках на этапе расследования инцидента.

Доля инцидентов с соблюдением сроков реагирования
Доля инцидентов с соблюдением сроков реагирования

3. Среднее время реагирования на инциденты (по уровням критичности)

Среднее время (в часах), за которое инцидент проходит весь установленный в организации цикл обработки – от выявления до закрытия. Данную метрику рекомендуется рассчитывать отдельно для каждого уровня критичности.

Целевая динамика: отрицательная.

Практическая ценность: оценка эффективности процесса реагирования на инциденты, определение путей его оптимизации.

Среднее время реагирования на инциденты (за выбранный период)
Среднее время реагирования на инциденты (за выбранный период)
Среднее время реагирования на инциденты высокого уровня критичности в динамике
Среднее время реагирования на инциденты высокого уровня критичности в динамике

Основные метрики в рамках направления Управление активами

1. Доля узлов сети, в отношении которых не назначен владелец

Отношение узлов сети, не имеющих назначенного владельца, к общему числу узлов в сети.

Целевая динамика: отрицательная.

Практическая ценность: своевременное выявление уязвимостей в сети.

Доля узлов сети, в отношении которых не назначен владелец
Доля узлов сети, в отношении которых не назначен владелец

«Брошенное» оборудование нередко появляется в организациях с крупной или слишком сложной ИТ-инфраструктурой. Подобные узлы представляют собой серьёзную угрозу безопасности, поскольку отсутствие владельца с большой вероятностью свидетельствует о том, что его состояние не контролируется.

2. Доля непроклассифицированных информационных систем

Отношение количества проклассифицированных информационных систем к общему количеству информационных систем организации.

Целевая динамика: отрицательная.

Практическая ценность: контроль процесса инвентаризации, повышение осознанности в принятии решений.

Классификация информационных систем – один из ключевых этапов инвентаризации с точки зрения информационной безопасности. В отношении непроклассифицированных ИС невозможно провести корректную оценку рисков или определить ущерб от произошедших инцидентов. Кроме того, наличие подобных ИС, как и отсутствие владельца узлов, может указывать на недостаточность мониторинга состояния активов.

3. Эффективность применения СЗИ

Эффективность применения СЗИ — пример более сложной метрики, учитывающей ряд факторов. Эта метрика представляет собой шаблон, который может быть применен к различным видам СЗИ – средствам антивирусной защиты, резервного копирования и др.

Целевая динамика: положительная.

Практическая ценность: комплексная оценка эффективности работы средства защиты

Для получения итогового значения следует рассчитать следующие метрики:

  • Охват. Доля активов, в отношении которых применяется СЗИ. Метрика не показывает эффективность сама по себе, поскольку факт установки/внедрения говорит только об охвате средства
  • Контроль. Доля активов, в отношении которых СЗИ было недавно применено/ протестировано/ обновлено. Метрика не показывает эффективность сама по себе, поскольку отражает не реальную работу СЗИ, а степень контроля за его состоянием
  • Реализация. Доля критичных инцидентов, связанных с областью применения СЗИ. Метрика отражает реальные результаты работы СЗИ, но в отрыве от других факторов не позволяет судить об эффективности средства (при низком охвате или отсутствии обновлений риск атаки по-прежнему велик)

Итоговое значение рассчитывается по формуле взвешенного произведения:

где Е – итоговый показатель, Ri – оценка i-й метрики, Wi – вес i-й метрики, max(W) – максимальный вес метрики. По умолчанию вес Охвата, Контроля и Реализации предлагается принять за единицу.

Стоит заметить, что оценка R должна учитывать динамику метрики. Для метрик с положительной целевой динамикой R вычисляется по формуле:

где: K – фактическое значение метрики, T – целевое значение, M – граничное значение.

Для метрик с отрицательной целевой динамикой R вычисляется по формуле:

где: K – фактическое значение метрики, T – целевое значение, M – граничное значение.

Пример визуализации метрики "Эффективность применения СЗИ"
Пример визуализации метрики «Эффективность применения СЗИ»

Основные метрики в рамках направления Управление уязвимостями

1. Доля уязвимостей, устраненных в установленные сроки

Отношение числа уязвимостей, устраненных за период времени в установленные сроки, к общему числу устраненных за это время уязвимостей.

Целевая динамика: положительная.

Практическая ценность: оценка эффективности процесса устранения уязвимостей, выявление проблемных мест.

Своевременное устранение уязвимостей является важным шагом по предотвращению инцидентов информационной безопасности.

Доля уязвимостей, устраненных в установленные сроки
Доля уязвимостей, устраненных в установленные сроки

2. Среднее время устранения уязвимостей (по уровням критичности)

Среднее время (в часах), прошедшее с момента выявления уязвимости до её закрытия.

Целевая динамика: отрицательная.

Практическая ценность: оценка эффективности процесса устранения уязвимостей, выявление путей его оптимизации.

Данную метрику рекомендуется рассчитывать отдельно для каждого уровня критичности.

Среднее время устранения уязвимостей высокого уровня критичности (за выбранный период)
Среднее время устранения уязвимостей высокого уровня критичности (за выбранный период)

3. Доля устраненных уязвимостей (по уровням критичности)

Отношение количества устраненных уязвимостей определенного уровня критичности к общему числу выявленных уязвимостей этого уровня.

Целевая динамика: положительная.

Практическая ценность: контроль темпа устранение уязвимостей, предотвращение нарушения сроков устранения.

Доля устраненных уязвимостей
Доля устраненных уязвимостей

Особое внимание следует уделить высоким уровням критичности. Снижение значения метрики может указывать на высокую загруженность персонала, неправильное распределение нагрузки, а также на общее нарушение процесса управления уязвимостями.

Другие метрики по данному направлению, которые могут понадобиться специалистам: доля уязвимостей, по которым было принято решение о неустранении, доля ложных срабатываний, доля хостов, на которых обнаружено вредоносное/запрещенное ПО.


Основные метрики в рамках направления Управление рисками

1. Доля рисков недопустимого уровня для актива

Отношение числа рисков недопустимого уровня для определенного актива к общему числу идентифицированных в отношении него рисков.

Целевая динамика: отрицательная.

Практическая ценность: оценка эффективности плана обработки рисков. Расчет данной метрики не зависит от схемы оценки рисков, используемой в организации.

Доля рисков недопустимого уровня для актива
Доля рисков недопустимого уровня для актива

2. Доля рисков ИБ, для которых были реализованы меры обработки

Отношение количества рисков, для которых реализованы меры по обработке, к количеству рисков, для которых выбраны меры по обработке.

Целевая динамика: положительная.

Практическая ценность: контроль реализации плана обработки рисков.

Метрика, позволяющая отслеживать темп обработки рисков. При анализе значений следует учитывать установленные сроки реализации отдельных мер обработки. На наличие проблем может указывать в том числе отсутствие изменений в значениях метрики в течение определенного периода времени.

3. Доля обработанных рисков, для которых достигнуты целевые уровни

Отношение количества рисков недопустимого уровня, к которым применили мероприятия по обработке и которые достигли целевого уровня, к общему количеству рисков, подлежащих обработке.

Целевая динамика: положительная.

Практическая ценность: контроль динамики снижения уровня рисков.

С помощью данной метрики можно оценить эффективность реализуемых мероприятий по обработке рисков. Стоит отметить, что в расчетах могут учитываться в том числе риски допустимого уровня, ещё не достигшие своего целевого уровня.


Основные метрики в рамках направления Аудит

1. Индекс соответствия стандартам информационной безопасности

Среднеарифметическое значение всех выставленных оценок с учетом веса отдельных требований.

Целевая динамика: положительная.

Практическая ценность: сравнение соответствия организации различным стандартам, не совпадающим по числу требований и их весу.

Выполнение требований ГОСТ Р ИСО/МЭК 27001
Выполнение требований ГОСТ Р ИСО/МЭК 27001

 

Метрика рассчитывается для отдельных нормативных документов, в отношении которых проводится оценка соответствия.

Индекс соответствия требованиям ГОСТ Р ИСО/МЭК 27001
Индекс соответствия требованиям ГОСТ Р ИСО/МЭК 27001

2. Доля открытых замечаний актива (по уровням критичности)

Отношение открытых замечаний определенного уровня, выявленных на объекте при проведении аудита, к общему числу замечаний этого уровня на объекте.

Целевая динамика: отрицательная.

Практическая ценность: контроль темпа устранения выявленных замечаний. Метрика полезна для оценки готовности объекта к проведению нового аудита.

Доля открытых некритичных замечаний для актива Х
Доля открытых некритичных замечаний для актива Х

3. Доля повторно выявленных замечаний

Отношение количества замечаний, повторно выявленных в ходе проведения аудита, к общему количеству выявленных замечаний.

Целевая динамика: отрицательная.

Практическая ценность: контроль качества мероприятий по устранению замечаний.

Выявление повторных замечаний свидетельствует о наличии системных проблем в затрагиваемых областях или о плохом качестве работ по устранению замечаний. При необходимости метрику можно рассчитывать отдельно для каждого уровня критичности замечаний.

Другие метрики, которые могут помочь в контроле и совершенствовании процесса аудита: доля замечаний, устранённых в установленные сроки, доля проверок с корректно подготовленной отчетностью.


Основные метрики в рамках направления Управление ИБ и работа с пользователями

1. Эффективность обучения сотрудников

Обучение персонала – популярная область применения метрик. Однако простой подсчет количества сотрудников, прошедших обучение, или успешно пройденных тестов не позволяет оценить, применяют ли сотрудники полученные знания на практике.

Целевая динамика: положительная.

Практическая ценность: комплексная оценка эффективности программы обучения персонала.

Данная метрика позволит оценить степень достижения целей обучения персонала по определенному направлению с учетом трёх факторов. Показатель может подсчитываться для организации в целом или быть разбитым на несколько показателей для отдельных подразделений. Для расчета необходимо отслеживать:

  • Охват программы обучения. Доля сотрудников, прошедших обучение за период времени
  • Контроль прохождения обучения. Доля сотрудников, успешно прошедших итоговое тестирование
  • Результативность. Доля инцидентов, произошедших в течение периода времени по вине персонала и связанных с тематикой обучения

Итоговое значение рассчитывается по формуле взвешенного произведения:

Значение R вычисляется по формулам, рассмотренным ранее.

По умолчанию вес Охвата, Контроля и Результативности предлагается принять за единицу.

Эффективность обучения сотрудников
Эффективность обучения сотрудников

2. Доля заблокированных учетных записей уволенных сотрудников

Отношение количества заблокированных учетных записей уволенных сотрудников к общему числу учетных записей, принадлежащих уволенным сотрудникам.

Целевая динамика: положительная.

Практическая ценность: своевременное выявление уязвимостей в сети организации.

Доля заблокированных учетных записей уволенных сотрудников
Доля заблокированных учетных записей уволенных сотрудников

Из-за возможного наличия стремления нанести вред организации (в целях мести или получения выгоды) бывшие сотрудники представляют собой отдельный тип нарушителей, который необходимо учитывать при обеспечении информационной безопасности. Учетные записи уволенных сотрудников могут стать инструментом несанкционированного доступа в систему, поэтому крайне важно отслеживать их своевременное блокирование.

3. Достаточность ресурсов для выполнения задач ИБ

Ещё один пример комплексной метрики. Позволяет оценить, хватает ли выделяемых ресурсов подразделению ИБ для реализации своих задач (чего невозможно сделать посредством простого сравнения бюджета ИБ с бюджетом ИТ или других подразделений).

Целевая динамика: положительная.

Практическая ценность: комплексная оценка достаточности ресурсов, имеющихся в распоряжении подразделения ИБ.

Для данной метрики следует отслеживать:

  • Достаточность финансовых ресурсов. Доля проектов ИБ, вошедших в установленный для них бюджет
  • Достаточность временных ресурсов. Доля проектов ИБ, реализованных в установленные сроки

Итоговое значение рассчитывается по формуле взвешенного произведения:

Значение R вычисляется по формулам, рассмотренным ранее.

По умолчанию вес рассматриваемых метрик предлагается принять за единицу.

Перечисленные метрики не являются единой системой метрик и могут быть использованы независимо друг от друга. Регулярное отслеживание их значений позволит оперативно идентифицировать и устранять возникающие проблемы в рассмотренных областях информационной безопасности. А автоматизация ведения метрик ИБ избавит от дополнительных трудозатрат и гарантирует объективность измерений.

Что вы думаете о нас?
Поделиться записью: