Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Ключевые показатели эффективности сервисной деятельности по ИБ

Ключевые показатели эффективности сервисной деятельности по ИБ

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Ключевые показатели эффективности сервисной деятельности по ИБ

В данной статье рассмотрен реальный опыт разработки ключевых показателей эффективности сервисной деятельности по информационной безопасности, выполняемой подрядной организацией в рамках долгосрочного договора по комплексной технической поддержке IТ-инфраструктуры заказчика.
Валерий Комаров
Главный специалист отдела поддержки СУИБ ЦК ИБ АО “КОНСИСТ-ОС"

Есть 4 вида пользователей, заинтересованных в ключевых показателях эффективности (KPI) выполняемых сервисов информационной безопасности:

  1. Р уководитель IT-службы заказчика.
  2. Руководитель подразделения внутреннего контроля заказчика.
  3. Руководитель организации исполнителя.
  4. Руководитель центра компетенции по информационной безопасности (ЦК ИБ).

Традиционные метрики и ключевые показатели эффективности ИБ (динамика инцидентов ИБ, количество выявленных атак и т.д.) не являются бизнес-ориентированными и не учитываются этими пользователями при принятии решений. В 2014 г. путем опроса был проведен анализ требований и пожеланий каждого из пользователей и получены следующие исходные данные для выработки ключевых показателей эффективности выполнения сервисов ИБ.

Руководитель IT-службы заказчика

Специфической особенностью деятельности заказчика является высокая степень регламентирования требований по ИБ не только отраслевыми стандартами, но и внешними регуляторами (ФСБ, ФСТЭК, Роскомнадзор). Столь жесткая позиция регуляторов делала бессмысленной любые критерии оценки экономической эффективности обеспечения ИБ. К тому же это создает значительные неудобства пользователей информационных систем (ИС) и ресурсов заказчика в повседневной деятельности. Соответственно, для руководителя IT-службы заказчика важно обеспечение соответствия требованиям регуляторов (соответствие/compliance) и обеспечение доступности информационных ресурсов для конечных пользователей (результативность/effec-tiveness). В качестве KPI соответствия был выбран интегральный критерий, рассчитываемый через произведение оценок показателей соответствия требованиям каждого регулятора (ИСПДн, СКЗИ, ТЗКИ, коммерческая тайна, информация ограниченного доступа). Все показатели были приняты с весами, равными единице.

1 KPI эффективности рассчитывается через произведение оценок показателей всех учтенных ИС и ресурсов заказчика. Выбор расчета интегрального показателя через произведение, а не через взвешенное среднее арифметическое, сделан для повышения чувствительности к инцидентам ИБ, повлекшим недоступность для пользователей любой ИС или ресурса [1].
2 SLA – соглашение об уровне сервисов безопасности;
3 РТК – расчетно-технологические карты

В качестве KPI эффективности был выбран интегральный критерий доступности ИС и ресурсов для пользователей заказчика. Информационные ресурсы и системы заказчика были классифицированы на ключевые (критично важные для деятельности заказчика), важные и некритичные. В соответствии с классами ИС и ресурсов инцидентов ИБ, приведших к их недоступности, присваивается весовой показатель:

  • "1" для ключевых;
  • "0,7" для важных;
  • "0,2" для некритичных.

Показателем является количество заявок пользователей заказчика о недоступности ИС и ресурсов, распределенных сервисной службой в ЦК ИБ. Были заданы граничные и целевые значения показателя1.

Руководитель подразделения внутреннего контроля заказчика

Главный интерес для подразделения внутреннего контроля заказчика в сервисной деятельности ЦК ИБ представляет отчетная информация о выполнении работ, описанных в РТК2, и соответствии уровня сервиса требованиям SLA3. Показателем является наличие ежемесячной отчетной документации по каждому из сервисов безопасности ИБ, подтвержденных отчетными данными сервисной службы заказчика за этот же период. KPI показывает готовность сервисной организации подтвердить выполнение работ за отчетный период, оплаченных заказчиком в соответствии с актом сдачи–приемки работ при дополнительных антикоррупционных проверках заказчика. Все показатели были приняты с весами, равными единице, рассчитаны граничные и целевые значения показателя.

KPI рассчитывается через произведение оценок показателей всех сервисов ИБ, указанных в договоре с заказчиком. Выбор расчета интегрального показателя через произведение, а не через взвешенное среднее арифметическое, сделан для повышения чувствительности к коррупционным и договорным рискам.

Руководитель организации исполнителя

Как у руководителя коммерческой организации, осуществляющей сервисную деятельность в интересах заказчика, основной интерес к показателям работы ЦК ИБ лежит в области рациональности использования ресурсов (efficiency) и удовлетворенности заказчиком уровнем сервиса. Так как количество и квалификация специалистов исполнителя, а также технические средства ИБ жестко прописаны в сервисном договоре, то рациональность использования ЦК ИБ можно повысить только за счет расширения сервисной деятельности, оказываемой заказчику при сохранении численности ЦК ИБ. В качестве KPI рациональности был выбран показатель производительности труда специалистов ЦК ИБ. Оценка проводится по каждому сервису ИБ, все показатели приняты с весами, равными единице. Были рассчитаны граничные и целевые значения показателя.

2 Показатели оформляются на типовых бланках, согласно ГОСТ Р ИСО/МЭК 27004–2011 "Менеджмент информационной безопасности. Измерения" [2].

Для оценки удовлетворенности заказчика уровнем оказываемых ЦК ИБ работ сервисной службой при процедуре закрытия заявок на выполнение сервисной деятельности была внедрена система опроса пользователей заказчика. Оценка уровня сервиса ИБ производится пользователем по возрастающей пятибалльной системе. В качестве показателя каждого сервиса ИБ используется средняя арифметическая оценка за отчетный период (ежемесячно). Заданы граничные и целевые значения показателя. KPI рассчитывается через произведение оценок показателей всех сервисов ИБ. Выбор расчета интегрального показателя через произведение, а не через взвешенное среднее арифметическое, сделан для повышения чувствительности к мнению пользователей заказчика в рамках деятельности всего ЦК ИБ.

Данные для расчета этих KPI предоставляются с автоматизированных систем учета рабочего времени и Service Desk.

Кроме этого специалистами службы качества исполнителя ведется реестр нештатных ситуаций в области ИБ, но т.к. контроль ведется в рамках системы менеджмента качества (СМК), то в данной статье эти показатели не рассматриваются.

Руководитель ЦК ИБ

Для визуализации KPI используются гистограммы с цветовой кодировкой столбцов на основе критерия принятия решений + рекомендации экспертов ИБ, определяемых аналитической моделью.

Используются 3 цвета:

  • красный – требуется вмешательство на административном уровне;
  • желтый – необходим контроль и прогнозирование динамики показателя;
  • зеленый – никаких действий не требуется.

Для руководителя ЦК ИБ критически важно наличие данных для анализа ситуации в области сервисной деятельности по ИБ с последующим прогнозированием и принятием профилактических мер в области сервисов ИБ. Эти же данные необходимы для разработки стратегии развития ЦК ИБ и обоснования увеличения бюджета подразделения, а в условиях экономического кризиса – для доказательства производственной функции ЦК ИБ в организации исполнителя. Для достижения стратегических целей необходимо решить задачи снижения стоимости управления процессами ИБ и увеличения их скорости, производительности специалистов ЦК ИБ, интеграции и объединения процессов ИБ.

Рассчитываются следующие ключевые показатели KPI:

  • соответствие планируемым к вводу требованиям регуляторов в области ИБ;
  • трудозатраты по сервисам ИБ;
  • уровень защищенности;
  • операционной эффективности ЦК ИБ;
  • проектной эффективности;
  • операционных рисков.

Данные для расчета этих KPI обрабатываются и выдаются автоматизированно средствами системы управления информацией и событиями безопасности (SIEM), системы учета рабочего времени (СУРВ)2.

Таким образом, для оценки эффективности сервисной деятельности ЦК ИБ рассчитывается 11 ключевых показателей ИБ и один дополнительный контрольный показатель СМК (см. таблицу).


На рисунке представлен теоретический вариант итогового отчета по KPI соответствия требованиям регуляторов в области ИБ во втором полугодии 2014 г.


Рост соответствия произошел в результате завершения проектов по ИБ в августе–сентябре, а падение в конце года связано с вводом новых отраслевых требований ИБ.

Заключение

В крупных российских компаниях, в которых вопросы ИБ регламентированы требованиями внешних регуляторов, отсутствует заинтересованность руководителей IT-департаментов в эффективности работы подразделений информационной безопасности. Требуется только формальное соблюдение требований регуляторов и номинальная отчетность по договорной деятельности. Для инициативного руководителя подразделения ИБ необходимо предоставлять не просто бизнес-ориентированные метрики и ключевые показатели, а важные для повышения степени соблюдения законов, норм, договорных обязательств вне области информационной безопасности [3]. В силу ужесточения антикоррупционной политики в РФ актуальной для руководителей IT-департаментов видится разработка ключевых показателей производственной и финансовой деятельности подразделения информационной безопасности в части повышения "прозрачности" для контрольных органов.

Литература

  1. Исайченко Д., Журавлев Р. ITSM. Руководство по измерению. – М.: Лайвбук, 2015.
  2. ГОСТ Р ИСО/МЭК 27004– 2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. – М.: Стандартинформ, 2012.
  3. COBIT 5: Бизнес-модель по руководству и управлению IТ на предприятии [online]. Доступ через: http://www.twirpx.com/file/1307062/ .

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2015

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"