Комбинированный метод оценки зрелости системы менеджмента информационной безопасности с применением модели CMMI | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №36 (483) сентябрь 2023 г.

Дата публикации: 08.09.2023

Статья просмотрена: 371 раз

Библиографическое описание:

Чернышев, К. С. Комбинированный метод оценки зрелости системы менеджмента информационной безопасности с применением модели CMMI / К. С. Чернышев. — Текст : непосредственный // Молодой ученый. — 2023. — № 36 (483). — С. 24-28. — URL: https://moluch.ru/archive/483/105848/ (дата обращения: 19.12.2024).



Настоящая статья посвящена рассмотрению вопроса об оценке состоятельности системы менеджмента информационной безопасности (далее — СМИБ) на предприятиях. Предложен метод оценки, имеющий количественные и качественные показатели зрелости процессов, что позволяет наиболее объективно выяснить текущий уровень СМИБ предприятия и продемонстрировать результаты в формах представления информации, понятных для руководителей и специалистов различного профиля. В качестве инструмента количественного измерения процессов использованы математические формулы и коэффициенты. В качестве инструмента качественного измерения процессов использована модель CMMI. Приведены аргументы обоснованности применения комбинированного метода и примеры соответствующих расчётов. Актуальность работы связанна с универсальностью и относительно низкой сложностью адаптации представленного метода к предприятиям различного профиля, что может вызвать заинтересованность научного сообщества к его применению.

Ключевые слова: СМИБ, CMMI, информационная безопасность, процессы, зрелость, оценка, уровень, ИБ, метод, модель, домен.

Мы переживаем абсолютно революционный этап прорыва в сфере информационных технологий, который стремительно вытесняет, привычный многим, жизненный уклад. Интенсивная информатизация влияет на все сферы деятельности современного мира и диктует свои правила по трансформации производств, рабочих мест, образовательных программ, специальностей и профессий.

Исключительным плюсом этого является возможность обмена информацией практически с любой точки земного шара. Но в рамках такого обмена есть и соответствующие риски, связанные с проблемами обеспечения безопасности информации. Одним из таких рисков является эксплуатация уязвимостей (не декларированных возможностей) информационных систем и технологий, которые могут приводить к масштабным потерям активов, а так-же ощутимому репутационному ущербу. Процессы идентификации и предотвращения таких рисков, лежат на плечах специалистов по информационной безопасности, впрочем, как и управление информационной безопасностью в целом.

Логично предположить, что внедрение таких процессов не рационально без предварительной оценки их текущего уровня, а также их согласованности с отраслевыми и законодательными требованиями. В противном случае ликвидируя одни риски есть вероятность создать другие. Оценка процессов информационной безопасности на начальном этапе, позволяет более качественно проводить планирование мер по их внедрению, а в промежуточных этапах реализации оценить их эффективность. Таким образом, с точки зрения менеджмента, оценка процессов информационной безопасности играет весьма важную роль.

Исследованиями в области проведения оценки, анализа и измерений СМИБ, а также её процессов, занимались многие российские учёные, такие как Дорофеев А. В., Марков А. С., Рытов М. Ю., Минзов А. С., Гугелев А. В., Можаев О. А., Лившиц И. И. и другие.

Необходимость выполнения измерений СМИБ, пригодных для получения достоверных, унифицированных оценок с применением стандартов серии 27000 упоминалась в работах Лившиц И. И. [1].

Важность оценки СМИБ путем обеспечения комплексного подхода с учётом требований ИСО/МЭК 27000 отмечал в своих трудах Шаго Ф. Н. [2].

Дмитриева М. А. в своей научной статье пишет, что оценке зрелости процессов обеспечения информационной безопасности нужно отвести особую роль, поскольку в случае, если предприятие планирует развитие потребительского рынка и внедрение инновационных разработок, риски утечек информации существенно увеличиваются [3].

Основными проблемами в вопросах оценки уровня состоятельности СМИБ, на сегодняшний день являются:

 Отсутствие в измерениях согласованности с лучшими мировыми практиками и\или требованиями законодательства

 Отсутствие взаимосвязи уровня СМИБ с выполнением стратегических целей предприятий

 Рассмотрение оценки и измерений определенных процессов СМИБ, а не СМИБ в целом

 Методы оценки процессов слабо адаптируемы для широкого круга специалистов в силу специфичности критериев

 Оценка процессов производится по булевым показателям (выполнено — не выполнено), что слабо выражает понимание о качестве измеряемых процессов

В настоящей статье рассматривается оценка процессов СМИБ, предусмотренных в национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 27001–2021: «Системы менеджмента информационной безопасности. Требования». Этот стандарт русифицирован и полностью идентичен международному стандарту ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements», IDT). Данный ГОСТ входит в семейство стандартов ISO/IEC 27000 и включает в себя лучшие мировые практики по организации, внедрению и измерению СМИБ, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области [4].

Иерархия мер, в выбранном нами ГОСТ, представляет собой строго подчиненную структуру, состоящую из «доменов» на самом верхнем уровне и самих «мер» на самом нижнем уровне. Иерархия домена имеет следующий вид (рисунок 1):

Структура иерархии домена ГОСТ Р ИСО/МЭК 27001–2021

Рис. 1. Структура иерархии домена ГОСТ Р ИСО/МЭК 27001–2021

Получение количественного показателя выполняемости мер домена будет формироваться из среднего значения суммы коэффициентов выполнения его мер с последующим преобразованием в процентный эквивалент, где 100 % максимальное и 0 % минимальное значение соответственно. Система количественной оценки продемонстрирована в таблице 1.

Таблица 1

Система количественной оценки

Статус выполнения меры

Вес коэффициента

Не выполняется

0

Выполняется частично

0.5

Выполняется

1

С точки зрения прагматичности, качественно проведенная оценка может являться веским аргументом при защите бюджета на нужды информационной безопасности. Поэтому наглядность и объективность её результатов должна быть информативна для лиц, принимающих соответствующие решения, которые могут не обладать глубокими знаниями в данной предметной области. Исходя из этого — для получения качественного показателя предлагается использовать модель зрелости CMMI. Данная модель имеет пять уровней зрелости и представляет собой бизнес-инструмент для измерения состоятельности процесса на основе определенного набора критериев, в целом понятного для топ-менеджмента.

Основными достоинствами модели CMMI являются ее простота и универсальность, в отличие от остальных моделей (ITSM, PMM и т. п.), имеющих либо более абстрактные критерии оценки, либо больше подходящие под оценку ИТ менеджмента, разработки, либо направленные на оценку конкретных технологий (SOC, IdM и др.).

Система качественной оценки домена по модели CMMI продемонстрирована в таблице 2.

Таблица 2

Система качественной оценки домена по модели CMMI

Уровень зрелости

Критерии

Вес коэффициента

Отсутствует (Non-existent)

Полное отсутствие каких-либо доказательств существования процесса

0

Начальный (Initial)

Предприятие понимает наличие проблем и необходимость их решения. Между тем стандартизованный процесс отсутствует, вместо этого каждый вопрос решается отдельно, специальным способом, который меняется от случая к случаю. Какой-либо организованный подход к управлению отсутствует. Процесс ИБ выполняется на нерегулярной основе

0.2

Повторяемый (Repeatable)

Отсутствует доступ к стандартным процедурам и формальное обучение, ответственность за выполнение задачи лежит на конкретном человеке. В результате степень доверия к профессиональным качествам конкретного человека высока и соответственно велико влияние человеческого фактора

0.4

Определенный (Defined)

Процедуры, связанные с процессом, документированы или документированы частично, планируются и доведены до сведения работников. Сами процедуры несложные и являются лишь описанием практически выполняемых действий

0.6

Управляемый (Controlled)

Имеется возможность осуществлять мониторинг и измерение соответствия фактической реализации процесса разработанным процедурам и принимать те или иные действия в случае несоответствия. Автоматизированные средства используются ограниченно или фрагментарно. Процесс ИБ не только управляется, но и контролируется

0.8

Оптимизированный (Optimized)

Процесс отработан до уровня лучших практик путем постоянного длительного совершенствования и сравнения с показателями других предприятий. Широко используется автоматизация рабочих процессов. Процесс ИБ измеряется и постоянно совершенствуется

1

Применение коэффициента качества следует применять к домену в целом с учётом выполняемости его мер, это позволит оценивать именно домен как процесс, а не качество конкретных мер по отдельности. По сути, один из показателей (качества или количества), при вычислении комбинированного показателя, будет являться корректирующим, что позволит получить более объективные результаты оценки. Формула вычислений комбинированного показателя, с применением количественных и качественных коэффициентов, имеет следующий вид:

где:

k — порядковый номер домена

i — порядковый номер меры домена

x — вес коэффициента количественной оценки

y — вес коэффициента качественной оценки

n — количество мер домена

Для перевода комбинированного показателя в эквивалент уровня «зрелости», с учётом шага коэффициента, была разработана система соответствия комбинированной оценки уровням CMMI (таблица 3):

Таблица 3

Система соответствия комбинированного показателя уровню CMMI

Уровень зрелости CMMI

Диапазон значений комбинированной оценки в процентах

Отсутствует (Non-existent)

0

Начальный (Initial)

1–25

Повторяемый (Repeatable)

26–50

Определенный (Defined)

51–75

Управляемый (Controlled)

76–99

Оптимизированный (Optimized)

100

Как правило источниками информации, в рамках проведения оценки являются:

 результаты интервью со специалистами ИТ и ИБ предприятия;

 документация, регламентирующая процессы;

 результаты наблюдения за выполнением отдельных процессов;

 результаты анализа конфигураций;

 результаты опроса пользователей;

 свидетельства выполнения процессов (заявки, акты, переписка в электронной почте и т. д.).

Для наглядного примера расчётов проведём получение комбинированного показателя для первого домена (рисунок 2).

Первый домен — «Политики информационной безопасности»

Рис. 2. Первый домен — «Политики информационной безопасности»

Данный домен имеет один аспект и две меры. Используя информацию, полученную в ходе предварительного обследования, проводим соответствующие расчёты:

В соответствии с таблицей 3, полученное значение домена «Политики информационной безопасности» соответствует уровню зрелости «Повторяемый». Данный уровень характеризуется как низкий, потенциал его совершенствования довольно высок.

Итоговые результаты оценки СМИБ предприятия, по всем процессам (доменам) СМИБ, с использованием предложенного метода, могут иметь следующий вид (рисунок 3):

Результаты оценки процессов СМИБ.

Рис. 3. Результаты оценки процессов СМИБ.

Стоит отметить, что важной задачей является повышение уровня зрелости процессов ИБ до уровня зрелости не ниже четвертого. Четвертый уровень является целевым исходя из соображений принципиальной достижимости, т. к. СМИБ является частью общего процесса управления и зависит от уровня зрелости управления процессов предприятия в целом.

Подводя итог можно сделать вывод, что полученные результаты оценки позволяют выявить слабые и сильные стороны СМИБ, соответственно наиболее эффективно планировать меры по совершенствованию процессов и повышению качества СМИБ в целом, что непосредственно способствует повышению уровня безопасности и достижению стратегических целей предприятия.

Литература:

  1. Лившиц Илья Иосифович, Лонцих Павел Абрамович Формирование метрик для измерения результативности систем менеджмента информационной безопасности // Вестник ИрГТУ. 2016. № 5 (112). URL: https://cyberleninka.ru/article/n/formirovanie-metrik-dlya-izmereniya-rezultativnosti-sistem-menedzhmenta-informatsionnoy-bezopasnosti (дата обращения: 28.07.2023).
  2. Шаго Федор Николаевич Методика оценки эффективности системы менеджмента информационной безопасности по времени реакции системы на инциденты информационной безопасности // Научно-технический вестник информационных технологий, механики и оптики. 2014. № 4 (92). URL: https://cyberleninka.ru/article/n/metodika-otsenki-effektivnosti-sistemy-menedzhmenta-informatsionnoy-bezopasnosti-po-vremeni-reaktsii-sistemy-na-intsidenty (дата обращения: 28.07.2023).
  3. Дмитриева Марьям Александровна Применение анализа зрелости информационной безопасности в системе оценки зрелости бизнес-процессов предприятия в целом // Информационная безопасность регионов. 2015. № 3 (20). URL: https://cyberleninka.ru/article/n/primenenie-analiza-zrelosti-informatsionnoy-bezopasnosti-v-sisteme-otsenki-zrelosti-biznes-protsessov-predpriyatiya-v-tselom (дата обращения: 31.07.2023).
  4. ГОСТ Р ИСО/МЭК 27000–2012. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
  5. Николаенко Валентин Сергеевич, Мирошниченко Евгений Александрович, Грицаев Руслан Талгатович. Модели зрелости управления проектами: критический обзор // Государственное управление. Электронный вестник. 2019. № 73. URL: https://cyberleninka.ru/article/n/modeli-zrelosti-upravleniya-proektami-kriticheskiy-obzor (дата обращения: 31.07.2023).
  6. CMMI — Quick Guide: [сайт]. — 2018 — URL: https://www.tutorialspoint.com/cmmi/cmmi_quick_guide.htm (дата обращения: 28.07.2023).
Основные термины (генерируются автоматически): CMMI, информационная безопасность, комбинированный показатель, процесс, уровень зрелости, IEC, ISO, вес коэффициента, оценка процессов, количественная оценка.


Похожие статьи

Нечеткая модель оценки рисков информационной безопасности и поддержки уровня защищенности ERP-систем

Данная статья посвящена вопросу использования нечеткой модели для оценки рисков информационной безопасности и поддержки уровня защищенности ERP-систем. Рассмотрены требования к информационной безопасности ERP-систем и проанализированы проблемы их без...

Особенности применения метода «Дельфи» в компаниях сферы консультационных услуг (на примере компании «Консультант-парк»)

В статье на основе аналитического и синтетического подходов к изучению современных методов экспертных оценок выдвигается идея о существовании методических недостатков на этапе отбора экспертных групп. Изучается и характеризуется метод экспертных оцен...

Применение панельных данных в эконометрическом анализе товарооборота ритейлерской компании

В статье выполнен эконометрический анализ панельных данных о товарообороте ритейлерской компании с целью создания корпоративного организационно-экономического знания. Подчеркнута необходимость современных методов прикладного анализа в управлении бизн...

Особенности внедрения 1С:ERP на предприятиях малого и среднего бизнеса в кризис как мера антикризисного управления

В статье рассмотрены основные аспекты и блоки задач, которые приходится решать фирме при внедрении ERP-систем. В ходе исследования был рассмотрен требуемый в современных условиях ведения бизнеса подход к управленческому учету в организации и его соот...

Определение уровня безопасности системы защиты информации на основе когнитивного моделирования

В данной статье рассмотрены подходы к решению проблемы оценки уровня защищенности системы защиты информации в условиях реализации угроз. Предложено когнитивную модель на основе нечеткой когнитивной карты, которая позволяет определять уровень защищенн...

Системы коллективной поддержки принятия решений: определение, виды, направления развития

Под Системой Поддержки Принятия Решений (СППР) здесь будем понимать компьютерную автоматизированную систему, целью которой является помощь лицам, принимающим решение (ЛПР) в сложных условиях, для полного и объективного анализа предметной деятельности...

Анализ эффективности оригинальной шкалы оценки риска травматизма

В ходе данной исследовательской работы была протестирована оригинальная шкала оценки риска травматизма. Цель исследования — провести анкетирование 25 человек и рассчитать вероятность риска травматизма, используя авторскую методику оценки и шкалу FRAX...

Алгоритм многокритериальной оценки технологий заготовки кормов из трав

В статье представлена многокритериальная система оценки технологий заготовки кормов из трав. В основу разработанной оценочной системы заложены принципы сравнения и классификации многопризнаковых объектов по их свойствам, где большое число выходных по...

Современные компьютерные моделирующие системы подготовки газа и газового конденсата

Проектирование основных технологических процессов подготовки природного углеводородного сырья и оптимальная эксплуатация действующих производств невозможна без применения моделирующих программ. Данные программы имеют достаточно высокую точность описа...

Экономическая оценка эффективности применения двухкомпонентной модели краткосрочного прогнозирования электропотребления для покупки электроэнергии на оптовом рынке

Статья посвящена вопросу оценки экономической эффективности модели краткосрочного прогнозирования электропотребления, используемой для целей формирования плановых почасовых объемов покупки электроэнергии на оптовом рынке. Автором предложена двухкомпо...

Похожие статьи

Нечеткая модель оценки рисков информационной безопасности и поддержки уровня защищенности ERP-систем

Данная статья посвящена вопросу использования нечеткой модели для оценки рисков информационной безопасности и поддержки уровня защищенности ERP-систем. Рассмотрены требования к информационной безопасности ERP-систем и проанализированы проблемы их без...

Особенности применения метода «Дельфи» в компаниях сферы консультационных услуг (на примере компании «Консультант-парк»)

В статье на основе аналитического и синтетического подходов к изучению современных методов экспертных оценок выдвигается идея о существовании методических недостатков на этапе отбора экспертных групп. Изучается и характеризуется метод экспертных оцен...

Применение панельных данных в эконометрическом анализе товарооборота ритейлерской компании

В статье выполнен эконометрический анализ панельных данных о товарообороте ритейлерской компании с целью создания корпоративного организационно-экономического знания. Подчеркнута необходимость современных методов прикладного анализа в управлении бизн...

Особенности внедрения 1С:ERP на предприятиях малого и среднего бизнеса в кризис как мера антикризисного управления

В статье рассмотрены основные аспекты и блоки задач, которые приходится решать фирме при внедрении ERP-систем. В ходе исследования был рассмотрен требуемый в современных условиях ведения бизнеса подход к управленческому учету в организации и его соот...

Определение уровня безопасности системы защиты информации на основе когнитивного моделирования

В данной статье рассмотрены подходы к решению проблемы оценки уровня защищенности системы защиты информации в условиях реализации угроз. Предложено когнитивную модель на основе нечеткой когнитивной карты, которая позволяет определять уровень защищенн...

Системы коллективной поддержки принятия решений: определение, виды, направления развития

Под Системой Поддержки Принятия Решений (СППР) здесь будем понимать компьютерную автоматизированную систему, целью которой является помощь лицам, принимающим решение (ЛПР) в сложных условиях, для полного и объективного анализа предметной деятельности...

Анализ эффективности оригинальной шкалы оценки риска травматизма

В ходе данной исследовательской работы была протестирована оригинальная шкала оценки риска травматизма. Цель исследования — провести анкетирование 25 человек и рассчитать вероятность риска травматизма, используя авторскую методику оценки и шкалу FRAX...

Алгоритм многокритериальной оценки технологий заготовки кормов из трав

В статье представлена многокритериальная система оценки технологий заготовки кормов из трав. В основу разработанной оценочной системы заложены принципы сравнения и классификации многопризнаковых объектов по их свойствам, где большое число выходных по...

Современные компьютерные моделирующие системы подготовки газа и газового конденсата

Проектирование основных технологических процессов подготовки природного углеводородного сырья и оптимальная эксплуатация действующих производств невозможна без применения моделирующих программ. Данные программы имеют достаточно высокую точность описа...

Экономическая оценка эффективности применения двухкомпонентной модели краткосрочного прогнозирования электропотребления для покупки электроэнергии на оптовом рынке

Статья посвящена вопросу оценки экономической эффективности модели краткосрочного прогнозирования электропотребления, используемой для целей формирования плановых почасовых объемов покупки электроэнергии на оптовом рынке. Автором предложена двухкомпо...

Задать вопрос