Метрика для частного показателя

Параметр	Описание
Частный показатель И Б	Персонифицированы ли все роли в организации и установлена ли ответственность за их исполнение?
Способ измерения	Доля ролей, которые персонифицированы и за исполнение которых установлена ответственность
Свидетельства самооценки ИБ	Определены ли документально все роли, существующие в организации? Определяется ли в соответствующих инструкциях ответственность сотрудников за исполнение ролей? Существует ли документальное подтверждение ознакомления сотрудников с возложением на них обязанностей по исполнению ролей (например, подписи в приказах)? Какое количество ролей персонифицировано и за их исполнение установлена ответственность? Какое количество ролей существует в организации?
Способ расчета	Количество ролей, которые персонифицированы и за исполнение которых установлена ответственность/количество существующих в организации ролей
Вычисленное значение частного показателя ИБ
Источники свидетельств оценки ИБ	Политика информационной безопасности кредитной организации. Положения о ролях. Положения по распределению ответственности. Приказы о назначении, распределении обязанностей между сотрудниками организации. Должностные (ролевые) инструкции сотрудников
Индикатор	Целью для данного показателя является достижение 1

жениях об ожидаемой взаимосвязи между частными показателями. Таким правилом может быть выделение значимых частных показате­лей с присвоением им коэффициентов значимости. Значимость част­ных показателей определяется по степени влияния атрибута процесса

на результат процесса. В этом случае обобщенный показатель вычис­ляется следующим образом:

Ж, = 1 ах 1/]/.,

О I Г

где а, — коэффициенты значимости частных показателей IV.;

т

2>,=1;

1=1

т — число частных показателей IV. в обобщенном показателе)М₀.

Модель объединения частных показателей может быть построе­на на основе теории полезности[47], когда используется метод свертывания векторного (обобщенного) показателя с помощью си­стемы предпочтений. Правило объединения может быть также ос­новано на системе предпочтений одних частных показателей над другими, что дает возможность оценивать процесс, ориентируясь на предпочтительные(ый) частные(ый) показатели(ль). Например, если установленная система предпочтений указывает на предпоч­тение частного показателя над 1У₂ и Ж, над (И^ >~ ]/\/_г >- |/К₃), то процесс, оцениваемый обобщенным показателем, может иметь оцен­ку, равную наиболее предпочтительному частному показателю (в на­шем случае И^).

Модель объединения обобщенных показателей тоже представляет собой алгоритм или вычисление, соединяющие обобщенные показа­тели по определенному правилу. Это правило тоже может быть также основано на системе предпочтений. В этом случае оценка совокупно­сти процессов будет отражать оценку предпочтительных(ого) обобщен- ных(ого) показателей(ля). В результате объединения обобщенных по­казателей И Б будет получен комплексный показатель, отражающий ИБ организации и(или) системы.

При выборе и формировании частных, обобщенных и комплекс­ных показателей следует принимать во внимание, например, следую­щие критерии:

— соответствие целям процессов и целям проверки;

— осуществимость сбора данных;

— доступность кадровых ресурсов для сбора и управления дан­ными;

— простота сбора данных;

— степень вмешательства в деятельность персонала;

— доступность соответствующих инструментальных средств;

— обеспечение конфиденциальности;

— потенциальное сопротивление поставщиков данных;

— простота интерпретации показателя потребителями и специа­листами оценки;

— число потребителей результатов оценки, использующих пока­затель;

— чувствительность к особенностям проверяемых организаций и систем;

— стоимость использования показателей: связанная с каждым показателем стоимость сбора данных, автоматизации вычисле­ния значений показателя (где это возможно), анализа данных, интерпретации результатов анализа и сообщения результатов проведенной оценки.

Интерпретация результатов оценивания представляет собой объяс­нение, связывающее количественную оценку показателей с потребно­стями в измерении процессов обеспечения ИБ на языке потребите­лей результатов измерений. Такая интерпретация может отражать, например, нарушение свойств ИБ, возможные негативные последствия для деятельности организации или функционирования систем по ре­зультатам оценивания.

3.3.2. Оценивание информационной безопасности на основе моделей зрелости процессов обеспечения информационной безопасности

3.3.2.1. Источники Понятие «модель зрелости» или, если 6о-

методологии оценки лее точно, «модель зрелости возможнос-

зрелости тей» (Capability Maturity Model — СММ)

была разработана в программной индус­трии для оценки зрелости процессов разработки программных про­дуктов и определения ключевых действий, необходимых для дальней­шего развития этих процессов. Исходная модель СММ стала стандартом де-факто для оценки и совершенствования процессов создания про­граммного обеспечения.

Как комментируется в [42], в ноябре 1986 г. Институт програм­мной инженерии США (Software Engineering Institute — SEI) совмес­тно с фирмой Mitre Corporation приступил к разработке структуры оцен­ки зрелости процессов, направленной на оказание содействия

организациям в совершенствовании их процессов, связанных с раз­работкой программного обеспечения. Данные работы были начаты в ответ на запрос федерального правительства США, в котором была обозначена потребность в оценке способностей организаций, с кото­рыми правительственные организации планируют заключить контракт на разработку программного обеспечения, по контролю процесса раз­работки программных продуктов.

Мотивация потребности в такой оценке для тех, кто прямо или кос­венно соприкасается с программным обеспечением, очевидна. Уже к середине 80-х гг. прошлого века было ясно, что складывающаяся ди­намика увеличения сложности программного продукта в ближайшей перспективе не позволит в рамках его приемочного тестирования вы­явить все недостатки, имевшие место в период проектирования про­граммного продукта, его разработки, интеграции разработанных ком­понентов продуктов в конечный продукт.

Одно из предложенных решений предполагало обратиться к оценке по некоторой методологии самого процесса разработки про­граммных продуктов. Целью такой оценки являлось формирование основ уверенности (неуверенности) в том, что процесс разработки программных продуктов в организации контролируется, он стандар­тизирован, осуществляется необходимое совершенствование про­цесса и т.д.

В 1993 г. была опубликована [43] рабочая версия методологии СММ, заложившая основу самостоятельного направления оценочной деятель­ности в оценке зрелости возможностей процессов. Позже данная ме­тодология с определенными изменениями легла как в основу между­народных стандартов информационных технологий и информационной безопасности, таких, как IS0/IEC 15504 [32] и IS0/IEC 21827 [43], так и иных отраслевых или профильных стандартов, таких, как C0BIT (Control Objectives for Information and related Technology) [35] и URSIT (Uniform Interagency Rating System for Information Technology) [40]. Широкое распространение и развитие методология СММ получила не в последнюю очередь в связи с тем, что ее оценки в конечном итоге более ориентированы в будущее, нежели на решение текущих задач, как это следует, например, из оценки соответствия. В стандарте C0BIT следующим образом комментируется использование модели зрелости СММ для каждого из 34 ИТ-процессов, определяемых данным стан­дартом:

• оценка текущего состояния организации — то, где организация находится сегодня;

• оценка текущего состояния относительно лучших представите­лей отрасли — сравнение;

• оценка текущего состояния относительно международных стан­дартов — дополнительное сравнение;

• определение стратегии организации в области усовершенство­вания — то, где организация хочет быть.

Базовая методология СММ определяет критерии и выделяет 5 уровней зрелости процессов от первого — «начального», характе­ризующегося тем, что некая целенаправленная деятельность осуще­ствляется, но она не контролируется, не формализуется и т.д., до пя­того — «непрерывно совершенствующегося», характеризующегося тем, что деятельность в рамках процессов не только основывается на стан­дартах и лучших практиках, но и непрерывно улучшается и оптимизи­руется.

Идею выделения и классификации уровней зрелости модели СММ иллюстрирует рисунок 24, демонстрирующий то, насколько «видимы­ми» и, следовательно, управляемыми могут быть процессы, характери­зующиеся различными уровнями зрелости.

На первом уровне зрелости процесс видится как «черный ящик», где осязаемы только входы и выходы. На втором уровне зрелости становятся «видимыми» отдельные работы, составляющие процесс, и те продукты и сущности, которые отдельные работы либо потреб­ляют, либо имеют на выходе. На третьем уровне зрелости проявля­ются более частные сущности — элементарные задачи, слагающие работы в рамках процессов, а также отдельные продукты этих за­дач. На пятом уровне зрелости обеспечивается такой уровень «ви­димости» процессов, что дает возможность их оптимизации и раз­вития.

На рисунке 24 данная возможность иллюстрируется заменой в рам­ках оптимизации двух отдельных работ в рамках процесса, имеющего пятый уровень зрелости, одной новой, реализующей всю необходи­мую функциональность двух замещаемых работ.

Свое развитие, как отмечалось ранее, исходная модель оценки зре­лости (СММ) получила в самых различных стандартах, включая и стан­дарты для области обеспечения информационной безопасности. Да­лее рассмотрим наиболее известные из них.

5 Вход

Выход

л Вход

О-

<2>

<2ь

-О

Выход

Выход

Сг>——----- сЬ ⁰⁰⁰ 4------------- °<1>

—»щЩ^-»• Выход <1> О- <І <2>

Выход

Рис. 24. Степень видимости процессов для каждого из уровней зрелости модели СММ

Международный стандарт БОДЕС 15504 [32] определяет основные понятия, сущ­ности и деятельности для оценки зрелос­ти процессов как программирования, так и жизненного цикла систем. Первые вер­сии стандарта, вышедшие в 1998 г. и ба­зирующиеся на методологии СММ, носили статус технического отчета (рекоменда-

Вход

Вход

3.3.2.2. Модель зрелости процессов в соответствии с требованиями 1Б0/ГЕС 15504 «Информационная технология. Оценка процесса»

ций), однако позже было принято решение о пересмотре статуса дан­ного международного документа с технического отчета на международ­ный стандарт. Стандарт включает 5 частей, определяющих:

1) общее введение в понятие «оценка процесса» и глоссарий тер­минов, связанных с оценкой зрелости;

2) минимальные требования к проведению оценки, обеспечиваю­щие согласованность и воспроизводимость рейтингов;

3) руководство для интерпретации требований к проведению оценки зрелости;

4) оценки процесса как мероприятий, которые могут выполняться либо как часть инициативы по совершенствованию процесса, либо как часть подхода определения возможностей процесса, где целью совершенствования процесса является постоянное улучшение эффективности и результативности организации. Це­лью определения возможностей процесса является идентифи­кация сильных и слабых сторон и рисков выбранных процессов по отношению к конкретному определенному требованию для использованных процессов и их сочетания с бизнес-потребнос­тями организации.

5) базовую модель оценки процесса, которая основывается на эта­лонной модели процесса.

Оценка осуществляется посредством оценивания выбранных про­цессов относительно модели (моделей) процессов, выбранных для оценки. Основные элементы процесса оценивания и сущности оценки согласно требованиям Б0/1ЕС 15504 [32] иллюстрирует рисунок 25. Идентифицированные атрибуты оцениваемых процессов, представля­ющих измеримые характеристики возможностей того или иного про­цесса, и методы их оценивания составляют основу оценки зрелости по 1Б0/1ЕС 15504 [32]. Рисунок 25 также иллюстрирует взаимосвязи модели оценки по Б0/1ЕС 15504 [32].

Стандартом определена следующая шкала рейтингов оценки про­цесса, определяющих степень достижения определенных значений для оцениваемого атрибута процесса:

N — «не достигнуто». Мало или отсутствуют свидетельства дости­жения определенным атрибутом оцениваемого процесса некоторого желаемого значения;

Р — «частично достигнуто». Существуют некоторые свидетельства приближения к желаемому значению определенного атрибута оцени­ваемого процесса;

1_ — «в значительной степени достигнуто». Существуют свиде­тельства систематического приближения к определенному значе-

Рис. 25. Взаимосвязи модели оценки процесса

нию атрибута оцениваемого процесса. В оцениваемом процессе могут существовать некоторые слабые места, связанные с этим ат­рибутом;

Р — «полностью достигнуто». Существуют свидетельства полного и систематического приближения к определенному значению атрибу­та оцениваемого процесса. Никаких слабых мест, связанных с этим атрибутом, в оцениваемом процессе не существует.

Фактически рассматриваются определенные показатели атрибутов процессов, которые ранжируются по 4-уровневой шкале оценивания. Значения для оцениваемых параметров определены следующими:

N — «не достигнуто» — от 0 до 15%;

Р — «частично достигнуто» — от >15 до 50%;

1_ — «в значительной степени достигнуто» — от >50 до 85%;

Р — «полностью достигнуто» — от >85 до 100%.

Модель зрелости, определенная 1Б0/1ЕС 15504 [32], интерпретиру­ет эталонную модель зрелости СММ в терминах рейтингов уровней возможностей (табл. 5)