Журнал "Information Security/ Информационная безопасность" #2, 2024

Ключевым показателем, характеризующим текущее состояние защиты информа- ции и безопасности объектов КИИ, является показатель текущего состояния защищен- ности К ЗИ . Этот показатель отражает степень достижения минимально необходимого уровня защиты информации от типовых актуальных угроз во временном интервале оцени- вания. Нормированное значе- ние показателя К ЗИ установле- но равным единице (К ЗИ = 1), что указывает на соответствие минимально необходимым тре- бованиям безопасности, то есть, по сути, тем требова- ниям, ниже которых опускаться нельзя. Предусмотренные Методикой частные показатели, в сово- купности образующие К ЗИ , определяются для всех инфор- мационных ресурсов, подлежа- щих защите. Эти показатели характеризуют реализацию отдельных мер по защите информации и их соответствие целям обеспечения безопасно- сти. Если меры реализованы эффективно, соответствующий показатель получает установ- ленное значение. В противном случае ему присваивается значение 0. Очевидно, что сами эти пока- затели привязаны к оценке ИБ организации, а не к деятельно- сти ответственного за ИБ и/или деятельности подразделения ИБ. Однако достижение целе- вого значения показателя К ЗИ вполне может являться КПЭ ответственного за ИБ и службы ИБ организации. В завершение рассмотрения вопроса о КПЭ для подразде- лений ИБ необходимо отметить три следующих момента. 1. Располагая широким спек- тром КПЭ, подразделения ИБ получают надежный инструмен- тарий для оценки и непрерыв- ного улучшения своих процес- сов. Оценка показателей эффективности должна обес- печивать не только количе- ственный анализ текущего состояния безопасности, но и качественное понимание воз- можных направлений для раз- вития и усовершенствования. 2. КПЭ – это не статичный, а динамичный инструмент, требующий регулярного пере- смотра и адаптации под меняющиеся угрозы (риски), бизнес-цели и среду (внеш- нюю и внутреннюю) органи- зации. 3. Методика, утвержденная ФСТЭК России и упомянутая в статье, подчеркивает необхо- димость комплексного подхода к оценке защищенности, регу- лярного проведения общей оценки зрелости ИБ и акценти- рует внимание на необходимо- сти оценки деятельности ответ- ственного за ИБ и/или подраз- деления ИБ. l • 61 УПРАВЛЕНИЕ www.itsec.ru Таблица. Классификация КПЭ для подразделения информационной безопасности Ваше мнение и вопросы присылайте по адресу is@groteck.ru Направление Показатели эффективности KPI, связанные с ресурсами и процессами Процент выполнения плана (планов): эффективность и своевременное выполнение запланированных мероприятий Бюджетная эффективность: соотношение затрат на информационную безопасность к общему ИТ-/СБ-бюджету или бюджету организации, а также анализ отдачи от инвестиций в безопасность (ROI 1 ) Соответствие планам обучения: процент сотрудников подразделения ИБ, прошедших плановое обучение и сертификацию KPI, связанные с операционной деятельностью (процессная деятельность) Процент оперативно устраненных уязвимостей от общего их числа Процент своевременно обработанных заявок пользователей и/или ответов на запросы (в том числе Официальные, поступающие из органов власти и регуляторов) Показатели, связанные с управлением инцидентами и работой центра мониторинга и реагирования: * среднее время до обнаружения инцидента (Mean Time To Detect, MTTD); * среднее время до реагирования на инцидент (Mean Time To Respond, MTTR); * количество инцидентов, успешно разрешенных; * процент завершенных расследований инцидентов; * количество повторяющихся инцидентов Процент нарушений политик безопасности, обработанных в соответствии с процедурами KPI по улучшению и развитию (проектная деятельность) Полнота и актуальность документированных политик и процедур: количество документированных, регулярно пересматриваемых и обновляемых политик безопасности Количество реализованных улучшений: отслеживание внедрения новых технологий, процедур, политик, направленных на повышение уровня ИБ Уровень интеграции безопасности в жизненный цикл разработки: процент проектов, включающих практики разработки безопасного программного обеспечения (так называемые DevSecOps) Степень автоматизации процессов безопасности Проведение аудитов и соответствие стандартам: процент успешно пройденных аудитов, количество выявленных значимых отклонений, успешность в устранении замечаний аудиторов Изменение уровня зрелости информационной безопасности (в идеале ежегодно проводить такую оценку) KPI, связанные с внутренней и внешней средой Количество проведенных учебных мероприятий и тренировок по безопасности в год Регулярность и глубина обучения и тренировок Уровень охвата обучением различных групп сотрудников Процент учета информационной безопасности в корпоративных решениях Количество решений, в которых учитывались риски информационной безопасности, как процент от общего числа решений Взаимодействие с внешними организациями: количество и качество совместных проектов с внешними партнерами по безопасности Эффективность участия в профессиональных сообществах 1 ROI – Return On Investment. 2 https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i- analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii 3 https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-norma- tivnye-dokumenty/metodicheskij-dokument-ot-2-maya-2024-g