Параметр | Описание |
Частный показатель И Б | Персонифицированы ли все роли в организации и установлена ли ответственность за их исполнение? |
Способ измерения | Доля ролей, которые персонифицированы и за исполнение которых установлена ответственность |
Свидетельства самооценки ИБ | Определены ли документально все роли, существующие в организации? Определяется ли в соответствующих инструкциях ответственность сотрудников за исполнение ролей? Существует ли документальное подтверждение ознакомления сотрудников с возложением на них обязанностей по исполнению ролей (например, подписи в приказах)? Какое количество ролей персонифицировано и за их исполнение установлена ответственность? Какое количество ролей существует в организации? |
Способ расчета | Количество ролей, которые персонифицированы и за исполнение которых установлена ответственность/количество существующих в организации ролей |
Вычисленное значение частного показателя ИБ | |
Источники свидетельств оценки ИБ | Политика информационной безопасности кредитной организации. Положения о ролях. Положения по распределению ответственности. Приказы о назначении, распределении обязанностей между сотрудниками организации. Должностные (ролевые) инструкции сотрудников |
Индикатор | Целью для данного показателя является достижение 1 |
жениях об ожидаемой взаимосвязи между частными показателями. Таким правилом может быть выделение значимых частных показателей с присвоением им коэффициентов значимости. Значимость частных показателей определяется по степени влияния атрибута процесса
на результат процесса. В этом случае обобщенный показатель вычисляется следующим образом:
Ж, = 1 ах 1/]/.,
О I Г
где а, — коэффициенты значимости частных показателей IV.;
т
2>,=1;
1=1
т — число частных показателей IV. в обобщенном показателе)М0.
Модель объединения частных показателей может быть построена на основе теории полезности[47], когда используется метод свертывания векторного (обобщенного) показателя с помощью системы предпочтений. Правило объединения может быть также основано на системе предпочтений одних частных показателей над другими, что дает возможность оценивать процесс, ориентируясь на предпочтительные(ый) частные(ый) показатели(ль). Например, если установленная система предпочтений указывает на предпочтение частного показателя над 1У2 и Ж, над (И^ >~ ]/\/г >- |/К3), то процесс, оцениваемый обобщенным показателем, может иметь оценку, равную наиболее предпочтительному частному показателю (в нашем случае И^).
Модель объединения обобщенных показателей тоже представляет собой алгоритм или вычисление, соединяющие обобщенные показатели по определенному правилу. Это правило тоже может быть также основано на системе предпочтений. В этом случае оценка совокупности процессов будет отражать оценку предпочтительных(ого) обобщен- ных(ого) показателей(ля). В результате объединения обобщенных показателей И Б будет получен комплексный показатель, отражающий ИБ организации и(или) системы.
При выборе и формировании частных, обобщенных и комплексных показателей следует принимать во внимание, например, следующие критерии:
— соответствие целям процессов и целям проверки;
— осуществимость сбора данных;
— доступность кадровых ресурсов для сбора и управления данными;
— простота сбора данных;
— степень вмешательства в деятельность персонала;
— доступность соответствующих инструментальных средств;
— обеспечение конфиденциальности;
— потенциальное сопротивление поставщиков данных;
— простота интерпретации показателя потребителями и специалистами оценки;
— число потребителей результатов оценки, использующих показатель;
— чувствительность к особенностям проверяемых организаций и систем;
— стоимость использования показателей: связанная с каждым показателем стоимость сбора данных, автоматизации вычисления значений показателя (где это возможно), анализа данных, интерпретации результатов анализа и сообщения результатов проведенной оценки.
Интерпретация результатов оценивания представляет собой объяснение, связывающее количественную оценку показателей с потребностями в измерении процессов обеспечения ИБ на языке потребителей результатов измерений. Такая интерпретация может отражать, например, нарушение свойств ИБ, возможные негативные последствия для деятельности организации или функционирования систем по результатам оценивания.
3.3.2. Оценивание информационной безопасности на основе моделей зрелости процессов обеспечения информационной безопасности
3.3.2.1. Источники Понятие «модель зрелости» или, если 6о-
методологии оценки лее точно, «модель зрелости возможнос-
зрелости тей» (Capability Maturity Model — СММ)
была разработана в программной индустрии для оценки зрелости процессов разработки программных продуктов и определения ключевых действий, необходимых для дальнейшего развития этих процессов. Исходная модель СММ стала стандартом де-факто для оценки и совершенствования процессов создания программного обеспечения.
Как комментируется в [42], в ноябре 1986 г. Институт программной инженерии США (Software Engineering Institute — SEI) совместно с фирмой Mitre Corporation приступил к разработке структуры оценки зрелости процессов, направленной на оказание содействия
организациям в совершенствовании их процессов, связанных с разработкой программного обеспечения. Данные работы были начаты в ответ на запрос федерального правительства США, в котором была обозначена потребность в оценке способностей организаций, с которыми правительственные организации планируют заключить контракт на разработку программного обеспечения, по контролю процесса разработки программных продуктов.
Мотивация потребности в такой оценке для тех, кто прямо или косвенно соприкасается с программным обеспечением, очевидна. Уже к середине 80-х гг. прошлого века было ясно, что складывающаяся динамика увеличения сложности программного продукта в ближайшей перспективе не позволит в рамках его приемочного тестирования выявить все недостатки, имевшие место в период проектирования программного продукта, его разработки, интеграции разработанных компонентов продуктов в конечный продукт.
Одно из предложенных решений предполагало обратиться к оценке по некоторой методологии самого процесса разработки программных продуктов. Целью такой оценки являлось формирование основ уверенности (неуверенности) в том, что процесс разработки программных продуктов в организации контролируется, он стандартизирован, осуществляется необходимое совершенствование процесса и т.д.
В 1993 г. была опубликована [43] рабочая версия методологии СММ, заложившая основу самостоятельного направления оценочной деятельности в оценке зрелости возможностей процессов. Позже данная методология с определенными изменениями легла как в основу международных стандартов информационных технологий и информационной безопасности, таких, как IS0/IEC 15504 [32] и IS0/IEC 21827 [43], так и иных отраслевых или профильных стандартов, таких, как C0BIT (Control Objectives for Information and related Technology) [35] и URSIT (Uniform Interagency Rating System for Information Technology) [40]. Широкое распространение и развитие методология СММ получила не в последнюю очередь в связи с тем, что ее оценки в конечном итоге более ориентированы в будущее, нежели на решение текущих задач, как это следует, например, из оценки соответствия. В стандарте C0BIT следующим образом комментируется использование модели зрелости СММ для каждого из 34 ИТ-процессов, определяемых данным стандартом:
• оценка текущего состояния организации — то, где организация находится сегодня;
• оценка текущего состояния относительно лучших представителей отрасли — сравнение;
• оценка текущего состояния относительно международных стандартов — дополнительное сравнение;
• определение стратегии организации в области усовершенствования — то, где организация хочет быть.
Базовая методология СММ определяет критерии и выделяет 5 уровней зрелости процессов от первого — «начального», характеризующегося тем, что некая целенаправленная деятельность осуществляется, но она не контролируется, не формализуется и т.д., до пятого — «непрерывно совершенствующегося», характеризующегося тем, что деятельность в рамках процессов не только основывается на стандартах и лучших практиках, но и непрерывно улучшается и оптимизируется.
Идею выделения и классификации уровней зрелости модели СММ иллюстрирует рисунок 24, демонстрирующий то, насколько «видимыми» и, следовательно, управляемыми могут быть процессы, характеризующиеся различными уровнями зрелости.
На первом уровне зрелости процесс видится как «черный ящик», где осязаемы только входы и выходы. На втором уровне зрелости становятся «видимыми» отдельные работы, составляющие процесс, и те продукты и сущности, которые отдельные работы либо потребляют, либо имеют на выходе. На третьем уровне зрелости проявляются более частные сущности — элементарные задачи, слагающие работы в рамках процессов, а также отдельные продукты этих задач. На пятом уровне зрелости обеспечивается такой уровень «видимости» процессов, что дает возможность их оптимизации и развития.
На рисунке 24 данная возможность иллюстрируется заменой в рамках оптимизации двух отдельных работ в рамках процесса, имеющего пятый уровень зрелости, одной новой, реализующей всю необходимую функциональность двух замещаемых работ.
Свое развитие, как отмечалось ранее, исходная модель оценки зрелости (СММ) получила в самых различных стандартах, включая и стандарты для области обеспечения информационной безопасности. Далее рассмотрим наиболее известные из них.
5 Вход |
Выход |
л Вход |
О- |
<2> |
<2ь |
-О |
Выход |
Выход
Сг>——----- сЬ 000 4------------- °<1>
—»щЩ^-»• Выход <1> О- <І <2>
Выход
Рис. 24. Степень видимости процессов для каждого из уровней зрелости модели СММ
Международный стандарт БОДЕС 15504 [32] определяет основные понятия, сущности и деятельности для оценки зрелости процессов как программирования, так и жизненного цикла систем. Первые версии стандарта, вышедшие в 1998 г. и базирующиеся на методологии СММ, носили статус технического отчета (рекоменда-
Вход |
Вход |
3.3.2.2. Модель зрелости процессов в соответствии с требованиями 1Б0/ГЕС 15504 «Информационная технология. Оценка процесса» |
ций), однако позже было принято решение о пересмотре статуса данного международного документа с технического отчета на международный стандарт. Стандарт включает 5 частей, определяющих:
1) общее введение в понятие «оценка процесса» и глоссарий терминов, связанных с оценкой зрелости;
2) минимальные требования к проведению оценки, обеспечивающие согласованность и воспроизводимость рейтингов;
3) руководство для интерпретации требований к проведению оценки зрелости;
4) оценки процесса как мероприятий, которые могут выполняться либо как часть инициативы по совершенствованию процесса, либо как часть подхода определения возможностей процесса, где целью совершенствования процесса является постоянное улучшение эффективности и результативности организации. Целью определения возможностей процесса является идентификация сильных и слабых сторон и рисков выбранных процессов по отношению к конкретному определенному требованию для использованных процессов и их сочетания с бизнес-потребностями организации.
5) базовую модель оценки процесса, которая основывается на эталонной модели процесса.
Оценка осуществляется посредством оценивания выбранных процессов относительно модели (моделей) процессов, выбранных для оценки. Основные элементы процесса оценивания и сущности оценки согласно требованиям Б0/1ЕС 15504 [32] иллюстрирует рисунок 25. Идентифицированные атрибуты оцениваемых процессов, представляющих измеримые характеристики возможностей того или иного процесса, и методы их оценивания составляют основу оценки зрелости по 1Б0/1ЕС 15504 [32]. Рисунок 25 также иллюстрирует взаимосвязи модели оценки по Б0/1ЕС 15504 [32].
Стандартом определена следующая шкала рейтингов оценки процесса, определяющих степень достижения определенных значений для оцениваемого атрибута процесса:
N — «не достигнуто». Мало или отсутствуют свидетельства достижения определенным атрибутом оцениваемого процесса некоторого желаемого значения;
Р — «частично достигнуто». Существуют некоторые свидетельства приближения к желаемому значению определенного атрибута оцениваемого процесса;
1_ — «в значительной степени достигнуто». Существуют свидетельства систематического приближения к определенному значе-
Рис. 25. Взаимосвязи модели оценки процесса |
нию атрибута оцениваемого процесса. В оцениваемом процессе могут существовать некоторые слабые места, связанные с этим атрибутом;
Р — «полностью достигнуто». Существуют свидетельства полного и систематического приближения к определенному значению атрибута оцениваемого процесса. Никаких слабых мест, связанных с этим атрибутом, в оцениваемом процессе не существует.
Фактически рассматриваются определенные показатели атрибутов процессов, которые ранжируются по 4-уровневой шкале оценивания. Значения для оцениваемых параметров определены следующими:
N — «не достигнуто» — от 0 до 15%;
Р — «частично достигнуто» — от >15 до 50%;
1_ — «в значительной степени достигнуто» — от >50 до 85%;
Р — «полностью достигнуто» — от >85 до 100%.
Модель зрелости, определенная 1Б0/1ЕС 15504 [32], интерпретирует эталонную модель зрелости СММ в терминах рейтингов уровней возможностей (табл. 5)