Читаем Обеспечение информационной безопасности бизнеса полностью

Далее вырабатывается стратегия, отображающая «технологический» аспект: что и как мы будем делать для достижения поставленной цели. В рамках этой стратегии должны учитываться ресурсы и образующийся временной ряд частных (частично реализованных) целей, определяющий количество «проходов» по циклу Деминга (для однократно реализуемой цели). В случае многократной реализации одной и той же цели ситуация упрощается: не требуется детализировать процесс реализации цели. Можно ограничиваться обобщениями по конечным результатам реализации цели. В любом случае на этом этапе составляется план. Далее он реализуется, мы получаем результат и переходим к процедуре его оценки и сравнения с ожидаемым по плану.

И наконец, последним в кольце реализуется аналитический этап. Его задача — понять причину несоответствия реализовавшейся и ожидаемой цели и выработать необходимые корректирующие воздействия. Собственно, на этом этапе и вырабатывается эмпирическое знание в виде некоторой структуры, отображающей причинно-следственные связи и отношения между всеми задействованными в реализации цели субъектами и объектами с учетом условий реализации целей. Для однократно реализуемой цели одной из возможностей является также корректировка собственно самой цели с учетом реализовавшихся частных целей. На рис. 9 эта возможность отражена в виде связи от вершины «Исследуем» к вершине «Чего хотим?».

Универсальной моделью измерения уровня ИБ, позволяющей сравнивать результаты оценок ИБ для разных видов целенаправленной деятельности, — модель, основанная на измерении совокупности характеристик риска или риск-факторов.

Будем считать, что оценка уровня ИБ построена на основе некоторой полной модели (модели нулевого риска), описывающей объект некоторой совокупностью реализуемых им процессов деятельности. Отклонения в реализации процессов будут порождать риски, связанные с их неправильным функционированием (из-за некачественных входных данных или исходного сырья, ошибок персонала, отсутствия должного обеспечения процессов, неправильной поддержки жизненного цикла используемого оборудования и программного обеспечения, злоумышленных действий и т. п.), приводящие в конечном итоге к снижению качества вырабатываемого продукта и другим потерям и негативным последствиям. Оценка ИБ при этом получается двухуровневой:

— характеристики риска каждого процесса, измеряемые по отклонению (отличиям) параметров этого процесса от параметров модели нулевого риска;

— интегральная характеристика совокупного или агрегированного риска, вычисляемая некоторым способом по характеристикам риска отдельных процессов с учетом пересечения множеств факторов.

Эти характеристики риска (т. е. полученные цифровые оценки) ничего не означают до тех пор, пока не накоплено определенное эмпирическое знание о процессах. Идея накопления такого знания в области ИБ состоит в привязывании к этим характеристикам происходящих инцидентов и связанного с ними ущерба. Таким образом, полученная оценка интерпретируется как некий связанный с ней прямой ущерб или негативные последствия, также оцененные по некоторой методике в виде ущерба. Связь оценки с потерями может быть пропорциональной или нет, все зависит от способа агрегирования риска. Описанный процесс интерпретации для случая агрегированного риска иллюстрируется рис. 10.

Обобщенные данные по инцидентам формируются с некоторой периодичностью и оформляются в виде отчетов, содержащих результаты расследования и анализа происшедших инцидентов. Эти результаты, среди прочего, содержат суммарную величину ущерба за отчетный период, полученного от инцидентов. Сопоставляя эту величину с интегральной оценкой, характеризующей риск и вычисленной в начале отчетного периода, можно получить множество точек в координатах «ущерб, риск», по которым может быть построена соответствующая зависимость. С использованием полученной зависимости возможно выполнить прогноз ущерба для следующего интервала отчетности. Риск принимается, если прогнозируемый ущерб будет меньше допустимого значения. В противном случае риск должен обрабатываться.

Предполагается, что интервалы отчетности одинаковы по величине. При необходимости прогноза ущерба на более короткий или более длинный интервал по сравнению с интервалом отчетности зависимость должна соответствующим образом трансформироваться. Если говорить о тенденциях, то при более длинных интервалах ущерб при одной и той же интегральной оценке риска будет возрастать, а при более коротких интервалах сокращаться (см. графики на рис. 10 справа).