Журнал "Information Security/ Информационная безопасность" #2, 2024

КПЭ не только помогают понять, хорошо ли работает команда, но и указывают на аспекты, требующие улуч- шения, обеспечивая непре- рывный цикл совершенство- вания. Для подразделения информационной безопас- ности в организации ключе- вые показатели эффектив- ности (KPI) должны служить инструментами для оценки его работы в контексте предотвращения, выявления и реагирования на угрозы. Когда деятельность подразделения незамет- на, нет никаких инци- дентов (тут важно не путать с событиями), можно говорить о том, что, скорее всего, служ- ба ИБ работает хорошо; как в известной песне – "наша служба и опасна, и трудна, но на первый взгляд как будто не видна". Однако, чтобы контролировать процесс деятельности любого структур- ного подразделения, нужны какие-то критерии успешности. Здесь на помощь приходят ключевые показатели эффек- тивности, которые, как якоря, помогают удерживать вектор деятельности в нужном направ- лении и визуализировать результаты работы. Что такое ключевые показатели эффективности? Для начала давайте опреде- лим, что такое "ключевые пока- затели эффективности" (КПЭ): это количественные и каче- ственные метрики, используе- мые для оценки успеха органи- зации, отдела или проекта в достижении ключевых целей их деятельности. В основе этих показателей лежат конкретные данные, кото- рые помогают определить, насколько эффективно действу- ет подразделение в простран- стве (информационной безопас- ности). Таким образом, КПЭ не только помогают понять, хоро- шо ли работает команда, но и указывают на аспекты, требую- щие улучшения, обеспечивая непрерывный цикл совершен- ствования и адаптации к изме- няющейся внутренней и внеш- ней среде организации. В контексте информационной безопасности КПЭ применяются для оценки эффективности защитных мер, политик и про- цедур, а также для управления рисками и соответствия зако- нодательству. КПЭ для подразделений ИБ Начальным шагом в разра- ботке КПЭ для подразделений ИБ является четкая постановка целей. Цели должны быть ясны- ми, измеримыми, достижимы- ми, релевантными и ограничен- ными во времени (классическое менеджерское SMART, ну или аналогичные подходы). Эти цели также должны быть согла- сованы с общей стратегией и планами развития организации, зафиксированы в так называе- мых верхнеуровневых докумен- тах по ИБ (стратегия ИБ, кон- цепция ИБ, политика(и) ИБ) и могут включать защиту активов, данных, соблюдение норматив- ных и законодательных требо- ваний, обеспечение непрерыв- ности бизнес-процессов и пред- отвращение (минимизацию) рисков и угроз. Для подразделения инфор- мационной безопасности в орга- низации ключевые показатели эффективности (KPI) должны служить инструментами для оценки его работы в контексте предотвращения, выявления и реагирования на угрозы, а также обеспечивать общую оценку зрелости ИБ. В качестве примера можно привести следующую класси- фикацию КПЭ для подразделе- ния информационной безопас- ности (см. табл.). Эти КПЭ могут быть взяты в качестве примера, адаптирова- ны под конкретные нужды под- разделения ИБ конкретной организации (с учетом ее осо- бенностей) и измерять прогресс в развитии зрелости информа- ционной безопасности на про- тяжении времени. Отдельно хотелось обратить внимание на показатели, ука- занные в Методике ФСТЭК Рос- сии 2 , утвержденной 2 мая 2024 г., для оценки показателей состояния технической защиты информации и обеспечения без- опасности значимых объектов критической информационной инфраструктуры Российской Федерации 3 . Этот документ определяет единый показатель, характеризующий текущее состояние защиты информации и безопасности, его нормиро- ванное значение, а также поря- док его расчета и применения. По сути, методика определяет КПЭ информационной безопас- ности организации и КПЭ дея- тельности так называемого ответственного за ИБ (замести- теля руководителя органа (орга- низации), на которого возложе- ны полномочия по обеспечению информационной безопасности органа (организации)) и/или структурного подразделения, осуществляющего функции обеспечения ИБ органа (орга- низации) (п. 5 Методики). Методика не применяется для оценки деятельности в области обнаружения, предупреждения и ликвидации последствий ком- пьютерных атак на информа- ционные ресурсы Российской Федерации, то есть она не затрагивает некоторые аспекты управления инцидентами. 60 • УПРАВЛЕНИЕ Ключевые показатели эффективности для подразделений информационной безопасности практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения. В Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности Фото: Константин Саматов