Архив метки: Инфосистемы Джет

Пагубное желание быть модным, или о символизме

Недавно просматривал ленту в фбешечке и зацепился взглядом за публикацию Варвары Шубиной с новым номером JetInfo. По совету старших товарищей стараюсь их не читать, чтобы не расстраивать. Но тут была сочная такая обложка.

Обложка нового JetInfo

О, думаю – круть, Джеты борются против системы (интересно какой?). Оказалось, все пошло куда дальше, и это была отсылка к Легиону Анонимусов. Вот что говорит автор:

Varvara Shubina, вы всегда так точно подмечаете смысл))) Маска Гая Фокса в данном случае  — это не отсылка к V-значит Вендетта. Эта маска стала не формальным символом движения Anonymous, в данном случае — это отсыл туда)

Оригинал

И здесь мне стало грустно.

Как-то давно я читал книги про Альфреда Бестера, это который из Вавилона 5. Беллетристика в трех книгах самого непритязательного пошиба, интересная только фанатам. Но что удивительно, там автор охватил значительный культурный пласт нашего общества. И будни Парижа, и поведенческие особенности племен майя. Все это уместными вкраплениями и без натяга.

Или если кто читал Дена Брауна, то заценил всю красоту переплетения символов, которые дают волю авторской фантазии. В любом случае в центре там стоят символы, а весь сюжет кроется в синергии их интерпретаций.

Любой подросток знает, к какой субкультуре относится человек, носящий свастику или пацифик, как и какого поведения от него ожидать (плюс-минус). Все это происходит лишь потому, что символы имеют свойство отображать то, что они значат. Вы вряд ли увидите человека, носящего Анх за просмотром MLP (это про пони). Да и он сам не станет это смотреть, иначе будет поднят вопрос о его соответствии (тру ли он?).

Из этого понятно, что символ, нанесенный явно, объявляет о принадлежности чего-либо к принадлежности идеям, которые этот символ пропагандирует. Отрицание принадлежности можно выразить переворачиванием, например, перевернутая пентаграмма как символ сатанизма. Что интересно, перевернутый крест является символом глубоко христианским (так называемый Крест Святого Петра), и тру-сатанистами не используется.

Второй способ отрицания – зачеркивание. Тут все просто — нарисовал, зачеркнул.

Наглядный пример отрицания

А теперь посмотрим на обложку внимательней… На нем символ Анонимусов или Легиона. Он не зачеркнут и не перевернут. Нет никаких графических признаков, что редакция ДжетИнфо решила использовать символ не по прямому назначению. Нет даже больших  и ярких надписей на обложке, вроде «опасен» или «пойман».

Из всего этого следует простой вывод. Используя «красивые картинки» для привлечения внимания, Варвара Шубина со всей редакцией подставила своего работодателя. Я понимаю, что Варвара добросовестно заблуждалась. Ей казалось, что это будет умно и свежо. На деле же получился журнал с обложкой маски Гая Фокса, который боролся с системой и режимом, помимо этого он сплотил для этой борьбы простых людей, благодаря чему они и победили. Именно поэтому это символ Легиона.

Для Варвары это милая шутка для привлечения внимания

А если Варвара решила сделать побольше хайпу, чтобы номер почитали, то лучше бы использовала свастику. А что потом? Кровавые убийства для привлечения внимания к свежему номеру?

Интересно, что теперь редакция ДжетИнфо скажет о силе и роли символов?

Согласитесь, обложка сразу заиграла другими красками. Вы скажите, что пропаганда нацизма запрещена и свастика довольно известный и однозначный символ. Но, увы, символы не измеряются известностью. Наоборот, самые неизвестные и редкие символы пленяют людей своей тайной. Но об этом в другой раз.

А номер, думаю, получился хорошим. Читайте ДжетИнфо.

P.S. Кстати, веселые луки с маской V причисляют сфоткавшегося к анонимусам. :) Интересно, безопасники с такими луками тоже против системы борются? Или по незнанию? ;)

Борцы с системой

P.S.S. Оказалось, Джеты на маске анонимусов строится новая рекламная компания. Интересно, с каким подтекстом они их раздают своим клиентам?

Что мне нравится в информационной безопасности?

Меня часто упрекают, что мне ничего не нравится, и я всех критикую. Разумеется, это не так. Каноны жанра диктуют свои законы. Никому не интересно читать про хорошее, всем интересно читать про плохое. Что доказывает существование таких телеканалов, как НТВ и РЕН-ТВ. Да вся наша поибэ держится на негативе: тут взломали, тут украли, тут риски новые, буууу!!

Как вы знаете, я пишу о недоработках, чтобы их можно было исправить. Чтобы помочь нам всем стать лучше. Но хватит обо мне, давайте о хорошем.

В нашей поибэ есть много прекрасного, чем я истинно восхищаюсь. И раз вы хотите хорошего — вот вам хорошее.

Хорошее в информационной безопасности

В категории лучший firewall – CheckPoint. Просто нравится, за 8 лет только лучше становятся.

Лучший отечественный firewall – С-Терра. Самый приятный и честный вендор, с самой большой пропускной способностью. Всегда продавал с удовольствием.

Лучший антивирус – Касперский. Если антивирус все же покупать, то покупать Касперский. Да, поджирает память, да, делает что-то странное сам. Но лучше не найти.

Лучший WAF/DBS – Imperva. Стоит просто везде, самые первые на рынке (вроде). Очень люблю. К сожалению, ни одной не продал. Была возможность, но Информзащита загопстопила.

Лучший DLP – Infowatch. Давно их не видел, да и рынок DLP схлопывается до тошнотворной однообразности, но из всех Infowatch лучший по большинству параметров.

Лучший SIEM/SOC – IBM QRadar. И Гартнер со мной согласен.

Лучший сканер уязвимостей – XSpider.

Отечественный продукт, за которым интересно наблюдать – RuSIEM. Просто интересно, что у них получится.

Лучший маркетинг – Solar Security. Чего у парней не отнять, так это их вездесущности. Куда не глянь, увидишь оранжевенькое. Конечно, не без косяков, но это самый всепоглощающий маркетинг на рынке.

Стартапер – Максим Лагутин. Можно только позавидовать чистоте упорства Максима в освоении денег инвесторов.

Топтание на месте – R-Vision. Давно наблюдаю за этой компанией. Парни оседлали волну самопроверки по СТО БР, и уже пару лет пробуют сделать свой SOC. R-Vision выступает просто на всех мероприятиях в это году, только на Инфосеке не были. Лучший образец бесцельного использования энергии.

Интегратор – Инфосистемы Джет. Наверное, потому, что за 4 попытки у нас так и не срослось совместной работы.

Пресейл – Камиль из Техносерва. Реальное уважение к трудоспособности и навыкам.

Лучшая ИБ – Сбербанк. Я видел это.

Лучшая нормативка – ЗПД. Повторить можно, превзойти – вряд ли.

Алексей Лукацкий как лучшее лицо отрасли. Ну да, вы можете сказать – какое лицо, такая и отрасль. Но посмотрите, как человек упорно трудится. Разумеется, не стоит читать все, что пишет Алексей, а то, что прочли, провести через десяток фильтров. Но нельзя не восхититься последовательности и комплексности проводимой им работы. И не важно, что эта работа имеет деструктивную направленность – главное реализация и подход. А они – великолепны.

Наверняка я что-то забыл, а где-то нет ничего хорошего. Но как видите, у нас есть повод для оптимизма. До новых встреч.

У Камина: групповое чаепитие

На удивление получил много положительных отзывов на новую рубрику, поэтому решил продолжить. Использую все тот же сайт Jet Info, т.к. там много всякого пишут. Решил поискать материал для чтения и не смог выбрать. Поэтому сегодня сборная солянка.

fireplace_main

Оригинальный текст взят as is. Все права на оригинальный текст принадлежат их правообладателям.

 

Сравнение SIEM-решений для построения SOC

Статья от Тимура Ниязова как раз под SOC- forum. Материал позиционируется как сравнение. Замечу, что методологически статья построена очень хорошо.

39_1

Но остается ряд сомнений (стать очень уж большая):

  1. Неужто компания Джет знает лучше Гарднера, какой SIEM обладает какой функциональностью? ArcSight по Гартнеру даже не второй, а третий или четвертый. Но он первый, хотя и с небольшой разницей. Нет ли тут аффилированности с одни вендором, строящим свои решения на ArcSight? ;)
  2. Цитата: Ввиду малой распространенности на рынке России и СНГ таких продуктов как Splunk и LogRhythm мы решили не рассматривать эти платформы в нашей статье.

Оу, но оба эти решения выше выбранного вами RSA

Понятно, что статья коммерческая и заказная, вопросов нет. Но почему в таблицах ArcSight идет в середине списка, а буквально в самом начале есть перечисление, где он первый в названиях, отсортированный по алфавиту? Можно считать меня жопоголиком, но я вижу тут стандартный прием манипуляторов: поместить продвигаемый продукт в середину, обрамив всяким «шлаком».

  1. Поэтому мы вводим весовую модель для определения оптимальной платформы для компаний X и Y, где значение 5 – это максимально важный критерий для организации, а 1 – соответственно, наоборот.
    • Поддержка источников событий (5)
    • Сбор событий (8)
    • Корреляция (10)
    • Поиск данных и аналитика (9)
    • Визуализация и отчетность (5 и 5 соответственно)
    • Оповещение и приоритизация (5 и 5 соответственно)
    • Общие настройки и предустановленный функционал (5 и 3 соответственно)
    • Масштабируемость, отказоустойчивость и хранение (8, 5 и 7 соответственно)
    • Мониторинг компонентов системы и внутренний аудит (3)
    • Удобство использования (10)
    • Наличие сертификатов соответствия ФСТЭК (2)
    • Дополнительные модули системы (5)

Только выше сказали, что веса с 1 до 5, и сразу в следующем перечислении пошли 8 и 10. И дело даже не в этом, а в системе выбора этих весов. Почему-то 10 получила корреляция и удобство использования. И если к корреляции вопросов нет, то удобство использования — очень субъективный показатель. Здесь сильное влияние имеет привычка. Но даже если так, нет ни слова о том, что богатсво визаулизации ArcSigh делается интегратором по отдельному прайсу ;)

  1. HP ArcSight. Доступны более 20 типов графического представления. В качестве полей графического представления используются Data Monitor, Dashboard, Query Viewer. Русифицированный интерфейс решения доступен с февраля 2015 года. Отчеты могут быть экспортированы в следующие форматы: MS Excel, RTF, PDF, CSV, HTML.

Тимур, ну что вы? Зачем так топорно? Ведь и без этого цель статьи была достигнута, а детали все портят :(

  1. HP ArcSight раньше других продуктов нашего обзора появился на рынке SIEM-решений России, потому успел завоевать немало поклонников и противников. Продукт HP поддерживает широкий перечень разнообразных источников событий, выполняя нормализацию на очень высоком уровне. Он имеет наиболее широкие возможности тонкой отладки, кастомизации и действительно мощный корреляционный функционал. На ArcSight уже построено множество SOC в крупнейших телекоммуникационных, добывающих и финансовых холдингах. Платой за мощь и гибкость являются сложность первичного изучения продукта, его высокая стоимость и небольшое количество квалифицированных российских специалистов, умеющих работать с решением.

Почему стоимость решения не была в списке критериев? :) И, разумеется, квалифицированные специалисты есть в одном известном вендоре и одном известном интеграторе ;)

 

В целом статья очень понравилась, видна любовь к цифрам, чувствуется рука мастера.

2 полена из 5.

 

ПК или смартфон – что безопаснее для интернет-банкинга?

Алексей Сизов, решил поднять актуальную тему. Тема на главной Jet Info

39_2

Пользователи ДБО сегодня в большинстве случаев предпочитают доступ с ПК. Для юридических лиц это обусловлено использованием криптографических хранилищ, сегодня преимущественно работающих на базе защищенных USB-устройств.

Ну, юрики в основном используют клиент-банк, т.к. у него функций больше. Но можно это с натяжкой назвать и ДБО. Но при чем тут они? Страшный сон: главный бухгалтер Газпрома на бегу в метро отправляет платежку через модный смартофон.

«Физики» также используют ПК как базовый вариант работы с ДБО. Но многие банки сегодня уже создали или внедряют приложения для мобильных платформ. Процент использования таковых не очень велик – 10–20%: это преимущественно активная часть населения, имеющая портативные устройства (смартфоны) и обслуживающаяся в крупных банках.

Подбираемся к сути. Проблема стоит у 20% физиков, использующих ДБО.

А вот безопасность таких приложений – вопрос отдельный. Дополнительная аутентификация, в основном средствами одноразовых SMS-кодов, внедрялась с прицелом на то, что канал доставки таких сообщений будет отличным от доставки самого приложения ДБО.

… ну, думаю, это не основная цель. Думаю, на первом месте было удобство.

ДБО работал через web, а SMS – через GSM, ДБО – через компьютер, а SMS – через несвязанный телефон.

И…

Кстати, SMS — это канал негарантированной доставки сообщений, редко не приходит вообще, но сообщения можно ждать и часы.

Сегодня мы сталкиваемся с ситуацией, когда и приложение, и SMS оказываются доступными на одном устройстве, а значит, разделение каналов доставки теряет смысл. Вредоносное ПО может получить доступ и к мобильному приложению, и к данным SMS аутентификации.

А на компьютере этого не могло быть? Т.е. встроиться в клиент и перехватывать корректно введенный секретный номер?

У меня идея для старт-апа: пусть секретный номер говорят голосом по телефону, сразу после нажатия кнопки.

Конечно, использование банковского приложения со специальными средствами защиты позволяет более тщательно контролировать уровень защищенности гаджета (от проверки jailbrake до контроля активных вирусов и троянов).

Конечно.

Но даже несмотря на это мы не рекомендуем использовать один и тот же аппарат и как устройство запуска мобильного приложения, и как телефон для получения SMS-уведомлений.

Мера защиты номер 2: не ставить ДБО на мобильник.

Я так понимаю, выбор все же в пользу ПК. Ура! Победа нокаутом!

Да, это вся статья.

 

12, или магия цифр в киберпреступности

У камина, мой другАндрей Янкин.

39_3

12 человек в мире каждую секунду становятся жертвами киберпреступников

Каждый 12-й житель Земли – жертва кибер-злоумышленников

От киберпреступлений в 2015-м пострадали 594 млн человек, при этом в среднем каждый из них потерял $358. Общий же ущерб, нанесенный киберпреступлениями, составил $158 млрд. Для того чтобы справиться с последствиями киберпреступлений, в среднем пострадавшие тратили около 21 часа.

Ни ссылки на источник, ни каких-то подробностей. Кто сказал, как посчитал? Судя по этим данным, все хакеры должны разъезжать на золотых хаммерах как нарко-бароны. Уверен, что общая цифра мб и больше.

Хотя я вот взял калькулятор и разделил 158 млрд на 594 млн, получилось 265… кто-то отпили почти сотку баксов…

Кстати, это не я точки в первых двух предложения не поставил – так и было.

Наш эксперт Андрей Янкин поделился своими соображениями насчет этих цифр:

Можно сделать вывод о том, что нам всего лишь надо быть «быстрее, чем самая медленная зебра», чтобы не стать 1 из 12 пострадавших. Но это, увы, не так.

Т.е. вывод можно сделать, но это не так. Проще вообще комп не использовать.

Специфика компьютерных преступлений в том, что они очень легко масштабируются. Чтобы ограбить еще один банк, грабителям нужно приложить усилия. Чтобы добавить в ботнет еще одну не обновленную машину, никаких усилий не требуется.

Ботнеты крадут деньги со счетов? Андрюх, вроде про ущерб статья.

Да и сколько из 12 случайных людей на Земле вообще имеют дело с компьютерами? Но если вы читаете этот пост на фейсбуке, ваши шансы попасть под удар куда выше.

Фейсбук не заплатил за рекламу :)

Обидно, что у Jet Info такие короткие статьи…

 

Присылайте ваши статьи. Всего вам доброго.

У Камина: 38 попугаев

Решил заделать новую рубрику. Ну, как новую? Рассмотрение чужих статей – формат старый как мир. Новое разве что для нашего безопасного комьюнити. В данной рубрике я буду читать для вас разные статьи, разумеется, с моими непревзойденными комментариями :). Статьи, попадающие сюда, я предварительно не читаю, так что мы с вами в равных условиях. Мы первопроходцы в поиске нового и интересного.

fireplace_main

И начнем мы со статьи «38 попугаев, или не все метрики одинаково полезны» Андрея Захарова, опубликованной на сайте Jet Info. Это корпоративный портал компании Инфорсистемы Джет. Выбрал я именно ее, так как тема измерений мне близка до глубины души. Начнем.

Оригинальный текст взят as is. Все права на оригинальный текст принадлежат их правообладателям.

 

38 попугаев, или не все метрики одинаково полезны

Сразу вопрос к названию: в оригинале было 38 попугаев и одно попугайское крылышко. Точность – добродетель любых измерений.

38_0

Проблема измерения эффективности мер обеспечения ИБ уже давно стала притчей во языцех. За последние годы на эту тему были опубликованы многочисленные статьи, представлены разнообразные доклады на отраслевых конференциях, организован и проведен не один круглый стол.

Да ладно. Можно списочек? И даже если так – вы решили добавить еще одну статью в эту «огромную кучу»?

Но если посмотреть на ситуацию в целом, можно обнаружить, что, несмотря на кажущуюся популярность и востребованность этой темы, в действительности изменилось немногое.

Изменилось по сравнению с чем?

По нашим наблюдениям, доля компаний, использующих комплексные метрики для оценки состояния информационной безопасности, за последнее время возросла лишь незначительно. И тому есть объяснение.

Вы в окно посмотрели? Или исследование проводили?

Что такое метрики и для чего вообще они нужны? Метрики – это функции, которые используются для измерения чего-либо, например, какого-либо процесса. Можно провести простую аналогию с транспортным средством. Для того чтобы определить, как быстро движется автомобиль, используется метрика «спидометр», какое расстояние было пройдено – «одометр». Обычно формула расчета метрики составляется из тех характеристик процесса, которые представляют наибольший интерес.

Специально в словарь заглянул. Самое ближайшее к данному определение:

   математический термин, обозначающий правило определения того или иного расстояния между любыми двумя точками (элементами) данного множества А.

Т.е. проблема в самом начале – в терминах. Метрика не функция, а «числовой показатель», который рассчитывается. А, вот, расчет может проводиться разными способами, в том числе и функцией. Зачем огород городить, вводя новые термины? Чем старые не угодили?

Для начала отметим, что практикуемые в компании методы управления ИБ значительно зависят от сложившегося в ней корпоративного управления.

Точно так. А почему множественное число? Автор у статьи один – Андрей Захаров. Или это коллективное мнение компании Джет? А вот от чего действительно зависит измерение ИБ – так это от уровня корпоративной зрелости.

Если принятие руководством управленческих решений основывается на качественном внутреннем анализе, то и спрос на Business Intelligence (BI) будет высок.

Оу-оу-оу. Мы вроде про безопасность тут, с чего BI ? Продукт плейсмент услуг компании Джет? :)

И наоборот, если для оценки ситуации используется ограниченное число высокоуровневых бизнес-показателей, спрос на анализ внутренних процессов будет ограничен. Каждый вариант напрямую влияет на цели и задачи программы измерения состояния ИБ.

Что вы говорите. Надеюсь, дальше этот тезис будет раскрыт.

Главные вопросы, на которые компании необходимо ответить, чтобы эффективно оценивать свою ИБ, для кого создаются метрики и какую информацию они должны нести.

Очень странный тезис. Ок, поиграем в вашу игру. Например, метрики создаются для распильщиков, какую информацию они должны содержать?

Что по этому поводу советуют эксперты?

По какому поводу? Вопрос-то не поставлен. Во всем тексте сверху нет ни одного знака вопроса.

Для ответа на этот вопрос обратимся к отраслевым стандартам. Пионер стандартизации в области информационной безопасности NIST выделяет 4 типа метрик: достижения целей, реализации (выполнения) процесса, результативности (эффективности) выполнения процесса и влияния на бизнес.

Рис. 1. Уровни зрелости метрик ИБ (по материалам NIST)

Рис. 1. Уровни зрелости метрик ИБ (по материалам NIST)

Руководящий документ NIST SP 800-55 Rev.1 был разработан почти 10 лет назад и до сих пор не потерял своей актуальности.

Пропущу шутку, почему статья не вышла 9-10 лет назад.

В нем хорошо отражена идея индикаторов: результативности (KPI), достижения цели (KGI) и риска (KRI).

Да, норм критерии. Немного избыточно, но ок.

Казалось бы, задача понятна, подходы хорошо известны,

А конкретней? Тут весь рынок ждет применения этих «известных подходов». Голословное утверждение.

однако практика показывает, что попытки самостоятельного внедрения системы метрик зачастую заканчиваются неудачей.

Ага, надо звать компанию Джет.

Это происходит потому, что с самого начала не было соблюдено несколько важных условий. Дело в том, что каждый тип метрик предназначен для определенного уровня зрелости (развития) оцениваемых процессов.

А почему об этом написано здесь, а не во введении, где вы говорили о «сложившемся типе корпоративного управления»? Но, правильно ли я понял, что Андрей утверждает, будто метрики «результативности (KPI), достижения цели (KGI) и риска (KRI)» применяются не на всех уровнях зрелости?

Поэтому совершенно бессмысленно конструировать, например, метрики эффективности, если оцениваемые процессы едва удалось документировать.

Да вы что? Метрика эффективности уборки корпоративного туалета измеряема, но вряд ли документирована (во всяком случае на уровне процедур).

Крупный российский оператор связи разработал и внедрил систему метрик информационной безопасности в поддержку недавно утвержденной стратегии в сфере обеспечения ИБ. Разработанные метрики охватывали не только уже существующие процессы обеспечения ИБ, но и те, которые еще предстояло внедрить.

Как это, интересно, у них получилось?

Для удобства подготовки отчетности для руководства, курирующего блок информационной безопасности, расчет метрик был автоматизирован.

Вот это поворот, сразу виден накал автоматизации. Опять продукт плейсмент? И какое это имеет отношение к теме статьи?

Почти сразу же возникла проблема, связанная с некорректностью расчета метрик, поскольку они описывали состояние пока еще не реализованных процессов обеспечения ИБ. Так как руководство интересовали обобщенные показатели состояния ИБ, общая картина получилась «смазанной» в худшую сторону, несмотря на то, что текущее состояние ИБ было достаточно высоким.

Не понятно, как вообще такое допустили? Если уровень ИБ высокий, значит там сидят не идиоты. Значит допустили идиоты, которые эту методику внедряли, а потом сразу автоматизировали, не проведя опытной эксплуатации.

И никакого вывода из примера. Печаль.

Начать с самого простого

Метрики достижения цели позволяют ответить на вопрос о том, были ли решены поставленные ИБ-задачи. Общие цели в области ИБ определены практически в каждой компании.

Не плохо бы пару примеров. Или Андрей считает, что за 10 лет с момента выхода этого NIST все с ним ознакомились?

Частные политики и процедуры конкретизируют и детализируют их в разрезе отдельных процессов. Планы мероприятий, в свою очередь, определяют конкретные задачи, подлежащие выполнению.

Метрики достижения цели используются в первую очередь для оценки наличия результатов, поэтому полезны для оперативного управления.

*подавился чаем* В абзаце выше говорилось про решаемые ИБ-задачи, все это глобальные стратегические вещи. При чем тут оперативное управление? Или компания Джет считает, что метрика достижения цели – кинуть бумагу в шредер?

Важно отметить, что этот тип метрик ничего не говорит о том, достигается ли желаемый результат на регулярной основе. Для этих целей используется метрика реализации процесса.

Следующий шаг

Метрики реализации являются следующей ступенькой системы измерения и служат для определения того, в какой мере внедрен конкретный процесс.

Т.е., по мнению автора, процесс «может быть чуть-чуть внедрен»? Процесс либо есть (как-то работает), либо нет (не работает). Возможно редкое состояние, когда мы строим новый процесс. Но это крайне незначительный промежуток времени (дни-недели), чтобы по нему считать метрики.

Они используются в том случае, когда деятельность уже формализована в виде процесса, но он еще не внедрен полностью. К примеру, управление уязвимостями требует наличия процесса их выявления.

Да, но не обязательно. Можно покупать фиды у Касперского.

В том случае, если он выполняется только для 70 систем из 100, можно говорить о 70% его реализации.

А можно сказать, что процесс не достигает цели комплексного управления уязвимостями. Ведь из этих 30 систем все 30 могут быть бизнес-важными.

Этот тип метрики является относительным

Относительным между чем и чем?

и требует наличия установленных пороговых значений,

Как могут быть пороговые значения, если выше говорилось о 100% внедрения процесса? Получается, надо строить еще целый процесс по установке пороговых значений.

с которыми будет сравниваться измеренный результат. Определение пороговых значений отдельная задача, порой еще более сложная, чем основная, поскольку 100%-ный результат любой ценой далеко не всегда является целесообразным. Отметим, что метрики реализации предназначены в основном для руководства ИБ-подразделения, поскольку позволяют отслеживать прогресс внедрения процессов обеспечения ИБ.

Вообще метрики — для руководства.

Входим во вкус

Метрики результативности выполнения процесса, стоящие еще на одну ступеньку выше в иерархии метрик, сфокусированы на конкретных показателях деятельности и отвечают на вопрос, насколько результативно работает тот или иной процесс или защитная мера, будучи внедренными.

Т.е. к чуть-чуть беременным процессам у нас добавились конкретные показатели этой беременности. Я всю жизнь думал, что мы идем от частного к общему. Кстати, ISO тоже так построено.

К примеру, одна из целей процесса повышения осведомленности пользователей в области ИБ состоит в минимизации числа инцидентов, связанных с использованием методов социальной инженерии.

Это правда. Но в начале их надо научить не втыкать гребанные флешки, принесенные из дома. И всякую фигню не устанавливать.

Если в результате обучения пользователей в 8 случаях из 10 они не поддаются на провокационные письма и звонки злоумышленников, можно сказать, что показатель результативности процесса (для этой цели) составляет 80%.

Вообще, при таком выстроенным процессе должно быть 11 из 10. К тому же, надо еще строить процесс оценки, что же в эти 20% инцидентов может попасть. А вдруг там андеррайтер в банке.

Данный тип метрик также является относительным и требует определения пороговых значений, с которыми будет сравниваться результат.

Для того чтобы учесть фактор стоимости ресурсов, которые затрачиваются для достижения желаемого результата, используются метрики эффективности.

Наконец, добрались. Странно, что метрики эффективности не были перечислены в общем пуле выше. Хотя интереснее учитывать не стоимость ресурсов, а критичность активов, не накрытых процессами с 70% реализацией.

Зачастую они являются производными от метрик результативности.

Производными – это значит вытекают из показателей результативности? Т.е. если нам надо измерить общую площадь дома, мы на него смотрим, говорим – 1000 кв. м. А потом идем внутрь с рулеткой и мерим?

Метрики эффективности могут высчитываться по формуле результативность/стоимость,

А могут и не высчитываться. Хорошо бы еще примеров. Интересен также физический смысл данной формулы – мы % делим на деньги. Фактически мы получаем аналог скорости: сколько денег нужно, чтобы увеличить результативность на 1%. И что от чего теперь производное?

где в качестве стоимости могут выступать любые используемые ресурсы: деньги, персонал, время, или их комбинация. Если потребителями метрик результативности являются руководители подразделения ИБ, то метрики эффективности могут быть интересны руководству компании, курирующему ИБ-направление.

Постичь дзен

Наконец, последний тип метрик – метрики влияния на бизнес.

Андрей, мне очень интересно, где можно почитать про последние два вида метрик. Как я понимаю, нижестоящие метрики на бизнес не влияют. А если бы влияли, то не надо было бы вводить новые показатели – они просто бы пересчитывались через нормирующий коэффициент.

Он является самым сложным с точки зрения наполнения. Эти метрики отвечают на вопрос, в какой степени результаты конкретных мер обеспечения ИБ влияют на показатели бизнес-деятельности.

Бизнес, в конечном счете, всегда интересуют доходы, соотнесенные с рисками, поэтому первое, что приходит в голову в качестве критерия измерения, это риск-ориентированные метрики, поскольку это общая цель для всех процессов обеспечения ИБ.

Бизнес как раз не интересуют доходы, «связанные с рисками». Его просто доходы интересуют. И, понятно, чем выше риск – тем больше потенциальный доход, любой тренер на Форексе вам скажет. Что такое «риск-ориентированные метрики»?

Отношение показателя результативности (эффективности)

Андрей, так в прошлой части вы сказали, что результативность и эффективность не одно и то же. Как вы собираетесь «скорость» опять делить на деньги?

конкретной меры ИБ к величине ожидаемых потерь (ALE) по защищаемому активу или процессу неплохая бизнес-метрика,

Исходя из вашего рассуждения, у вас принципиальная разница между активом и процессом. Тут не может быть или.

отражающая меру адекватности защитной меры существующему риску. Однако зачастую возникает проблема, связанная с недостаточно развитым процессом анализа рисков в компании. Поэтому этот подход не универсален.

Завидую вашей невозмутимости. А вообще, риски — это зачастую единственное, до чего могут безопасники дотянуться. Риски не требуют капитальных затрат в со an и железо.

Другой путь выбрать несколько бизнес-целей, очевидным образом зависящих от успехов (или неудач) в области ИБ, и создать метрики на их основе.

Если в компании есть ИТ и от нее как-то зависит бизнес, то все бизнес цели зависят в конечном итоге от ИБ.

В результате масштабного исследования, проведенного Ponemon Institute в 2013 году, выяснилось, что более половины организаций вообще не применяют бизнес-ориентированных метрик ИБ, поскольку не в состоянии оценить фактическое влияние ИБ на бизнес.

Так стандарту 10 лет, и тема уже изжеванная ;)

Рис. 2. Основные причины отсутствия бизнес-ориентированных метрик ИБ в западных компаниях (по данным Ponemon Institute)

Рис. 2. Основные причины отсутствия бизнес-ориентированных метрик ИБ в западных компаниях (по данным Ponemon Institute)

Кстати, а почему слайд на английском? Дедлайн перед сдачей материала? Ну, и текст можно было бы сделать покрупнее.

Для решения этой сложной задачи можно воспользоваться концепцией системы сбалансированных показателей (Balanced Scorecards, BSC). На рис. 3 приведен пример бизнес-ориентированных метрик ИБ, вписанных в систему ценностных перспектив BSC.

Рис. 3. Пример бизнес-ориентированных метрик ИБ

Рис. 3. Пример бизнес-ориентированных метрик ИБ

Для статьи норм так критерии. Правда, резанула глаз фраза «доля проектов и процессов с участием ИБ».

Разминка для ума

Рассмотрим использование системы метрик измерения эффективности ИБ на простом примере. Предположим, мы задались целью приобрести автомобиль.

Ну, не совсем корректно. Сразу смешались цели и процесс. Автомобиль рано или поздно будет куплен, а ИБ никогда не заканчивается.

Попробуем сконструировать набор метрик, который поможет нам измерить успех этого мероприятия на всех его этапах.

Прежде чем стать обладателем автомобиля, нам необходимо выбрать желаемую комплектацию, сравнить цены в автосалонах, решить вопрос с финансированием покупки и, собственно, совершить приобретение. Метрика достижения цели будет определяться степенью выполнения всех перечисленных задач в процентном отношении. Дополнительно можно учесть вес/важность каждой задачи.

Обычный метод выбора по весовым коэффициентам, довольно сложно применимый к процессам. Проходят в институте.

Метрик реализации может быть несколько – по одной на задачу (иногда больше). К примеру, если мы решим задействовать средства на покупку из нескольких источников, можно использовать метрику, которая будет характеризовать объем уже собранных средств в сравнении с целевой суммой. Аналогично можно оценить число автосалонов, которые мы посетили, в сравнении с планируемым.

Предположим, мы успешно справились со всеми задачами, но пока этим занимались, самые интересные комплектации во всех автосалонах раскупили, и нам пришлось купить автомобиль с более скромными характеристиками. Метрика результативности нашей покупки характеризует то, в какой степени наш автомобиль соответствует тому, что мы хотели получить, чего мы ожидали. Можно привести множество метрик результативности: оценку разгонной динамики в сравнении с эталоном (например, заявленным изготовителем), шумоизоляцию, экономичность и т.д.

Метрика эффективности покупки в данной ситуации будет определять, насколько привлекательную цену мы заплатили за эту комплектацию, не переплатили ли или не слишком ли залезли в долги.

Наконец, эквивалентом бизнес-метрик будут являться метрики влияния совершенной покупки на нашу жизнь. Насколько продуктивнее мы стали использовать свое время, передвигаясь на автомобиле? Как изменились наши расходы в связи с приобретением? Какие новые возможности у нас появились благодаря наличию автомобиля? Список можно продолжать.

В качестве заключения

Отметим, что ключ к получению действительно эффективных метрик их регулярное тестирование как на этапе конструирования, так и при последующем использовании.

Посыл странный, надо не метрики эффективные делать, а – процессы. Ведь метрики нужны лишь для того, чтобы процессы стали лучше.

Данные, на основании которых должна рассчитываться метрика, могут попросту отсутствовать, быть некорректными или неактуальными. В этой ситуации метрика будет приносить больше вреда, чем пользы. Необходимо всегда отталкиваться от имеющегося фактологического материала, учитывать цели и задачи создаваемых метрик, и по возможности автоматизировать весь процесс.

 

 

Фух, вот и конец. Надеюсь, вам было интересно. Спасибо Андрею Зотову за интересный материал.

Я ставлю 4 полена из 5.

Увидимся, и всего вам доброго.