Контакты
Подписка 2024

Ключевые показатели эффективности для подразделений информационной безопасности

Константин Саматов, 24/06/24

В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Когда деятельность подразделения незаметна, нет никаких инцидентов (тут важно не путать с событиями), можно говорить о том, что, скорее всего, служба ИБ работает хорошо; как в известной песне – "наша служба и опасна, и трудна, но на первый взгляд как будто не видна". Однако, чтобы контролировать процесс деятельности любого структурного подразделения, нужны какие-то критерии успешности. Здесь на помощь приходят ключевые показатели эффективности, которые, как якоря, помогают удерживать вектор деятельности в нужном направлении и визуализировать результаты работы.

ris1-Jun-24-2024-08-00-14-9112-AM

Что такое ключевые показатели эффективности?

Для начала давайте определим, что такое "ключевые показатели эффективности" (КПЭ): это количественные и качественные метрики, используемые для оценки успеха организации, отдела или проекта в достижении ключевых целей их деятельности.

В основе этих показателей лежат конкретные данные, которые помогают определить, насколько эффективно действует подразделение в пространстве (информационной безопасности). Таким образом, КПЭ не только помогают понять, хорошо ли работает команда, но и указывают на аспекты, требующие улучшения, обеспечивая непрерывный цикл совершенствования и адаптации к изменяющейся внутренней и внешней среде организации.

В контексте информационной безопасности КПЭ применяются для оценки эффективности защитных мер, политик и процедур, а также для управления рисками и соответствия законодательству.

КПЭ для подразделений ИБ

Начальным шагом в разработке КПЭ для подразделений ИБ является четкая постановка целей. Цели должны быть ясными, измеримыми, достижимыми, релевантными и ограниченными во времени (классическое менеджерское SMART, ну или аналогичные подходы). Эти цели также должны быть согласованы с общей стратегией и планами развития организации, зафиксированы в так называемых верхнеуровневых документах по ИБ (стратегия ИБ, концепция ИБ, политика(и) ИБ) и могут включать защиту активов, данных, соблюдение нормативных и законодательных требований, обеспечение непрерывности бизнес-процессов и предотвращение (минимизацию) рисков и угроз.

Для подразделения информационной безопасности в организации ключевые показатели эффективности (KPI) должны служить инструментами для оценки его работы в контексте предотвращения, выявления и реагирования на угрозы, а также обеспечивать общую оценку зрелости ИБ.

В качестве примера можно привести следующую классификацию КПЭ для подразделения информационной безопасности (см. табл.).

table1-2
Таблица. Классификация КПЭ для подразделения информационной безопасности

Эти КПЭ могут быть взяты в качестве примера, адаптированы под конкретные нужды подразделения ИБ конкретной организации (с учетом ее особенностей) и измерять прогресс в развитии зрелости информационной безопасности на протяжении времени.

Отдельно хотелось обратить внимание на показатели, указанные в Методике ФСТЭК России [2], утвержденной 2 мая 2024 г., для оценки показателей состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации [3]. Этот документ определяет единый показатель, характеризующий текущее состояние защиты информации и безопасности, его нормированное значение, а также порядок его расчета и применения. По сути, методика определяет КПЭ информационной безопасности организации и КПЭ деятельности так называемого ответственного за ИБ (заместителя руководителя органа (организации), на которого возложены полномочия по обеспечению информационной безопасности органа (организации)) и/или структурного подразделения, осуществляющего функции обеспечения ИБ органа (организации) (п. 5 Методики).

Методика не применяется для оценки деятельности в области обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, то есть она не затрагивает некоторые аспекты управления инцидентами.

Ключевым показателем, характеризующим текущее состояние защиты информации и безопасности объектов КИИ, является показатель текущего состояния защищенности КЗИ. Этот показатель отражает степень достижения минимально необходимого уровня защиты информации от типовых актуальных угроз во временном интервале оценивания. Нормированное значение показателя КЗИ установлено равным единице (КЗИ = 1), что указывает на соответствие минимально необходимым требованиям безопасности, то есть, по сути, тем требованиям, ниже которых опускаться нельзя.

Предусмотренные Методикой частные показатели, в совокупности образующие КЗИ, определяются для всех информационных ресурсов, подлежащих защите. Эти показатели характеризуют реализацию отдельных мер по защите информации и их соответствие целям обеспечения безопасности. Если меры реализованы эффективно, соответствующий показатель получает установленное значение. В противном случае ему присваивается значение 0.

Очевидно, что сами эти показатели привязаны к оценке ИБ организации, а не к деятельности ответственного за ИБ и/или деятельности подразделения ИБ. Однако достижение целевого значения показателя КЗИ вполне может являться КПЭ ответственного за ИБ и службы ИБ организации.

В завершение рассмотрения вопроса о КПЭ для подразделений ИБ необходимо отметить три следующих момента.

  1. Располагая широким спектром КПЭ, подразделения ИБ получают надежный инструментарий для оценки и непрерывного улучшения своих процессов. Оценка показателей эффективности должна обеспечивать не только количественный анализ текущего состояния безопасности, но и качественное понимание возможных направлений для развития и усовершенствования.
  2. КПЭ – это не статичный, а динамичный инструмент, требующий регулярного пересмотра и адаптации под меняющиеся угрозы (риски), бизнес-цели и среду (внешнюю и внутреннюю) организации.
  3. Методика, утвержденная ФСТЭК России и упомянутая в статье, подчеркивает необходимость комплексного подхода к оценке защищенности, регулярного проведения общей оценки зрелости ИБ и акцентирует внимание на необходимости оценки деятельности ответственного за ИБ и/или подразделения ИБ.

  1. ROI – Return On Investment.
  2. https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii 
  3. https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-norma-tivnye-dokumenty/metodicheskij-dokument-ot-2-maya-2024-g 
Темы:УправлениеЖурнал "Информационная безопасность" №2, 2024

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.
  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...