Ключевые показатели эффективности для подразделений информационной безопасности
Константин Саматов, 24/06/24
В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
Когда деятельность подразделения незаметна, нет никаких инцидентов (тут важно не путать с событиями), можно говорить о том, что, скорее всего, служба ИБ работает хорошо; как в известной песне – "наша служба и опасна, и трудна, но на первый взгляд как будто не видна". Однако, чтобы контролировать процесс деятельности любого структурного подразделения, нужны какие-то критерии успешности. Здесь на помощь приходят ключевые показатели эффективности, которые, как якоря, помогают удерживать вектор деятельности в нужном направлении и визуализировать результаты работы.
Что такое ключевые показатели эффективности?
Для начала давайте определим, что такое "ключевые показатели эффективности" (КПЭ): это количественные и качественные метрики, используемые для оценки успеха организации, отдела или проекта в достижении ключевых целей их деятельности.
В основе этих показателей лежат конкретные данные, которые помогают определить, насколько эффективно действует подразделение в пространстве (информационной безопасности). Таким образом, КПЭ не только помогают понять, хорошо ли работает команда, но и указывают на аспекты, требующие улучшения, обеспечивая непрерывный цикл совершенствования и адаптации к изменяющейся внутренней и внешней среде организации.
В контексте информационной безопасности КПЭ применяются для оценки эффективности защитных мер, политик и процедур, а также для управления рисками и соответствия законодательству.
КПЭ для подразделений ИБ
Начальным шагом в разработке КПЭ для подразделений ИБ является четкая постановка целей. Цели должны быть ясными, измеримыми, достижимыми, релевантными и ограниченными во времени (классическое менеджерское SMART, ну или аналогичные подходы). Эти цели также должны быть согласованы с общей стратегией и планами развития организации, зафиксированы в так называемых верхнеуровневых документах по ИБ (стратегия ИБ, концепция ИБ, политика(и) ИБ) и могут включать защиту активов, данных, соблюдение нормативных и законодательных требований, обеспечение непрерывности бизнес-процессов и предотвращение (минимизацию) рисков и угроз.
Для подразделения информационной безопасности в организации ключевые показатели эффективности (KPI) должны служить инструментами для оценки его работы в контексте предотвращения, выявления и реагирования на угрозы, а также обеспечивать общую оценку зрелости ИБ.
В качестве примера можно привести следующую классификацию КПЭ для подразделения информационной безопасности (см. табл.).
Таблица. Классификация КПЭ для подразделения информационной безопасности
Эти КПЭ могут быть взяты в качестве примера, адаптированы под конкретные нужды подразделения ИБ конкретной организации (с учетом ее особенностей) и измерять прогресс в развитии зрелости информационной безопасности на протяжении времени.
Отдельно хотелось обратить внимание на показатели, указанные в Методике ФСТЭК России [2], утвержденной 2 мая 2024 г., для оценки показателей состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации [3]. Этот документ определяет единый показатель, характеризующий текущее состояние защиты информации и безопасности, его нормированное значение, а также порядок его расчета и применения. По сути, методика определяет КПЭ информационной безопасности организации и КПЭ деятельности так называемого ответственного за ИБ (заместителя руководителя органа (организации), на которого возложены полномочия по обеспечению информационной безопасности органа (организации)) и/или структурного подразделения, осуществляющего функции обеспечения ИБ органа (организации) (п. 5 Методики).
Методика не применяется для оценки деятельности в области обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, то есть она не затрагивает некоторые аспекты управления инцидентами.
Ключевым показателем, характеризующим текущее состояние защиты информации и безопасности объектов КИИ, является показатель текущего состояния защищенности КЗИ. Этот показатель отражает степень достижения минимально необходимого уровня защиты информации от типовых актуальных угроз во временном интервале оценивания. Нормированное значение показателя КЗИ установлено равным единице (КЗИ = 1), что указывает на соответствие минимально необходимым требованиям безопасности, то есть, по сути, тем требованиям, ниже которых опускаться нельзя.
Предусмотренные Методикой частные показатели, в совокупности образующие КЗИ, определяются для всех информационных ресурсов, подлежащих защите. Эти показатели характеризуют реализацию отдельных мер по защите информации и их соответствие целям обеспечения безопасности. Если меры реализованы эффективно, соответствующий показатель получает установленное значение. В противном случае ему присваивается значение 0.
Очевидно, что сами эти показатели привязаны к оценке ИБ организации, а не к деятельности ответственного за ИБ и/или деятельности подразделения ИБ. Однако достижение целевого значения показателя КЗИ вполне может являться КПЭ ответственного за ИБ и службы ИБ организации.
В завершение рассмотрения вопроса о КПЭ для подразделений ИБ необходимо отметить три следующих момента.
- Располагая широким спектром КПЭ, подразделения ИБ получают надежный инструментарий для оценки и непрерывного улучшения своих процессов. Оценка показателей эффективности должна обеспечивать не только количественный анализ текущего состояния безопасности, но и качественное понимание возможных направлений для развития и усовершенствования.
- КПЭ – это не статичный, а динамичный инструмент, требующий регулярного пересмотра и адаптации под меняющиеся угрозы (риски), бизнес-цели и среду (внешнюю и внутреннюю) организации.
- Методика, утвержденная ФСТЭК России и упомянутая в статье, подчеркивает необходимость комплексного подхода к оценке защищенности, регулярного проведения общей оценки зрелости ИБ и акцентирует внимание на необходимости оценки деятельности ответственного за ИБ и/или подразделения ИБ.