Критерии и показатели информационной безопасности предприятия.Желание им

1.  
2.  
3. Критерии и показатели информационной безопасности предприятия.
4.  
5. Желание иметь СОИБ, адекватную целям ИБ организации по обеспечению доступности, целостности и конфиденциальности информационных активов, приводит к стремлению совершенствовать СОИБ. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учетом контекста оценки.
6. Критерии оценки — это все то, что позволяет установить значения оценки для объекта оценки. В качестве критериев оценки ИБ могут использоваться требования ИБ, процедуры ИБ, сочетание требований и процедур ИБ, уровень инвестиций, затрат на ИБ.
7.  
8. Процесс оценки ИБ включает следующие элементы проведения оценки:
9.  
10. – контекст оценки, который определяет входные данные: цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки и роли;
11. – критерии оценки;
12. – модель оценки;
13. – мероприятия процесса оценки: сбор свидетельств оценки и проверка их достоверности, измерение и оценивание атрибутов объекта оценки;
14. – выходные данные оценки.
15.  
16.  
17.  
18.  
19.  
20. Наряду с важнейшим назначением оценки ИБ — создание информационной потребности для совершенствования ИБ, возможны и другие цели проведения оценки ИБ, такие как:
21. – определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;
22. – выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;
23. – сравнение зрелости различных процессов обеспечения ИБ и сравнение степени соответствия различных защитных мер установленным требованиям.
24. Результаты оценки ИБ организации могут также использоваться заинтересованной стороной для сравнения уровня ИБ организаций с одинаковым бизнесом и сопоставимым масштабом.
25.  
26.  
27. Рисунок 2 — Способы оценки ИБ организации
28.  
29. Позиция руководства организации оказывает существенное влияние на процесс оценки. Поэтому руководство организации должно побуждать участников оценки к открытости и конструктивности. Оценка объекта сосредотачивается на оценке процессов, процедур, защитных мер, а не на функционировании персонала объекта оценки. Смысл оценки состоит в том, чтобы сделать объект оценки более эффективными в достижении целей бизнеса, а не в том, чтобы возложить вину на отдельных лиц.
30. Организатор оценки, руководство и персонал объекта оценки должны понимать, что оценка принесет результат, являющийся объективным для объекта оценки. Важно, чтобы все стороны могли быть уверены в том, что специалисты по оценке обладают адекватными знаниями и опытом для проведения оценки, беспристрастны и обладают адекватным пониманием объекта оценки и его бизнеса для проведения оценки.