Главная
База знаний "Allbest"
Производство и технологии
Метричні показники як засіб визначення відповідності інформаційної системи вимогам
Метричні показники як засіб визначення відповідності інформаційної системи вимогам
Концепція метричних показників, їх класифікація. Особливості систем метричних показників: за стандартом NIST SP 800-55 і система Еркана Карамана. Таблиці метричних показників з формулами для обчислення та нормативами, до яких повинні наближатись значення.
| Рубрика | Производство и технологии |
| Вид | дипломная работа |
| Язык | украинский |
| Дата добавления | 22.09.2011 |
| Размер файла | 1,5 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Кроки процесу не повинні бути послідовними. Тип метричних показників залежить від того, на якому етапі свого життєвого циклу знаходиться система та від зрілості програми безпеки системи ІТ.
8.2.2 Визначення інтересів співвласника
На першому кроці процесу розробки метричних показників (рисунок 8.1), будь хто всередині організації може бути співвласником безпеки ІТ, однак деякі функції мають більший пріоритет в безпеці, ніж інші. Основними співвласниками безпеки ІТ є:
1. Директор підприємства;
2. Директор інформаційний службовець (СІО);
3. Менеджер програми безпеки/службовець безпеки інформаційної системи (ISSO);
4. Менеджер програми/власник системи;
5. Системний адміністратор/адміністратор мережі;
6. Персонал підтримки ІТ.
Другорядними співвласниками безпеки є члени організації, головною метою яких не є безпека, але вони торкаються неї в деяких аспектах діяльності.
Прикладами другорядних співвласників безпеки є:
1. Директор фінансів (CFO);
2. Навчальна організація;
3. Людські ресурси/Організація персоналу;
4. Головні інспектори (IG).
Інтереси кожного співвласник будуть відрізнятися, вони залежать від їх посади в рамках ієрархії організації. Кожен співвласник може вимагати окремий набір метричних показників. Інтереси співвласників можуть бути визначені в ході інтерв`ю, “мозкової атаки”, перегляді обов`язків. Загальна кількість метричних показників повинна бути 5-10 для кожного співвласника окремо. Рекомендується використовувати меншу кількість метричних показників для кожного співвласника, якщо організація встановлює програму безпеки; кількість метричних показників буде збільшуватись по мірі дозрівання програми безпеки ІТ та метричних показників.
Співвласники повинні бути включені в кожний крок розвитку метричних показників безпеки для гарантії того, що існує сенс використовувати метричні показники системи безпеки на багатьох рівнях організації для підвищення загального успіху програми.
8.2.3 Визначення цілей
На другому кроці процесу розробки метричних показників визначаються та документуються основні цілі ефективності програми безпеки для керування впровадженням заходів безпеки в систему. Цілі безпеки системи для федеральних урядових систем викладені в формі високо рівневих політик та вимог, законів, правил, включаючи:
1. Акт Клінгера-Кохена;
2. Директиви президентських рішень;
3. FISMA,
4. Проспект ОМВ А-130, додаток lll,
5. NIST FIPS та спеціальні публікації.
8.2.4 Перегляд процедур, керівництв та політик безпеки ІТ
На кроці 4 процесу розробки метричних показників, будь-які існуючі метричні показники чи сховища метричних показників, які можуть бути використані для отримання значень, повинні бути переглянуті. Відповідна інформація повинна бути підготовлена та використана для ідентифікації відповідних ознак, які будуть приймати участь в розробці метричних показників та зборі даних. Вимоги безпеки системи, процеси та процедури, які були використані, можуть бути отримані через багато джерел, тобто документів, інтерн`ю та спостережень. Наступні джерела повинні містити інформацію, з якої можуть бути отримані дані метричних показників:
1. Плани системи безпеки;
2. FISMA OMB план дій POA&M звіти;
3. Пізні знаходження GAO та IG;
4. Контроль за діями, пов`язаними з безпекою, такими як звіти про інциденти, тестування, керування мережею, аудит логів та ін.;
5. Оцінка ризиків та результати тестових проникнень;
6. Документація С&A;
7. Плани непередбачених обставин;
8. Плани конфігурації управління;
9. Статистика та результати навчання.
Як тільки практики системи безпеки стають розвиненими та документи, що описують практики, змінюються, існуючі метричні показники будуть знищені. Замість них будуть розвиватися нові. Для гарантії того, що нові метричні показники відповідають вимогам, ці документи та аналогічні документи повинні бути переглянуті для ідентифікації нових зон, які будуть охоплювати метричні показники.
8.2.5 Розробка та вибір метричних показників
Кроки 5,6 та 7 (рисунок 8.1) включають розробку метричних показників, що оцінюють процес застосування, ефективності, результативність та збиток діяльності. Специфічний аспект безпеки ІТ, на якому метричні показники будуть фокусувати свою діяльність, залежить від рівня ефективності. Реалізація буде виконуватись наступним чином:
1. Встановлення політик та процедур;
2. Оцінювання застосування політик та процедур;
3. Оцінювання результатів застосування політик та процедур;
4. Ідентифікація збитку від застосування політик та процедур.
Область застосування можливих метричних показників, що базуються на існуючих політиках та процесах, дуже велика. Метричні показники повинні бути розділені за пріоритетами для того, щоб кінцевий набір обраних для ініціалізації метричних показників мав наступні характеристики:
1. Сприяє покращенню застосованих заходів безпеки з високим пріоритетом. Високий пріоритет може бути визначений звітами GAO чи IG, результатами оцінки ризику, чи внутрішньою метою організації;
2. Використовує дані, які дійсно можуть бути отримані з існуючих процесів чи архівах даних;
3. Оцінює процеси, які вже існують та є відносно стабільними. Оцінювання неіснуючих чи нестабільних процесів не надасть значимої інформації про ефективність безпеки та не буде корисною для планування специфічних аспектів ефективність. З іншого боку спроба такого оцінювання не буде повністю марною, тому що такі метричні показники будуть все ж таки давати неповні результати та ідентифікувати зони, які вимагають покращення.
Підприємства можуть вирішити використовувати вагову шкалу, щоб відрізнити важливість обраних метричних показників та гарантувати те, що результати точно відображають існуючі пріоритети програми безпеки. Вага метричних показників повинна будуватися на загальних цілях зменшення ризику та є корисною для полегшення інтеграції метричних показників безпеки ІТ в основних відомчий процес планування.
Покроковий метод може бути необхідним для ідентифікації коротко-, середньо - та довгострокових метричних показників, в яких час використання залежить від комбінації ефективності на системному рівні, пріоритетах метричних показників, доступності даних та стабільності процесів. Як тільки застосовані метричні показники, що містять якості, описані вище, ідентифіковані, вони повинні бути ідентифіковані в Детальній Формі Метричних показників.
8.2.6 Встановлення цілей ефективності
Після ідентифікації та описання метричних показників в лінії індикації форми метричних показників повинні бути ідентифіковані цілі ефективності. Цілі ефективності встановлюють критерій, на основі якого оцінюється успіх. Ступінь успіху базується на наближенні результатів метричних показників до сформованої цілі ефективності. Механізм встановлення цілей ефективності відрізняється для метричних показників реалізації та інших трьох типів метричних показників (ефективність, результативність та збиток). Для метричних показників реалізації ціль встановлюється в 100% завершенні специфічних завдань. Коли метричні показники реалізації, що відповідають всім критичним елементам NIST SP800-26, досягають 100% завершення завдання, організація досягає рівня 3.
Встановлення цілей для метричних показників ефективності, результативності чи збитку є більш складною задачею, тому що ці аспекти режиму безпеки не передбачають особливий рівень продуктивності. Менеджменту необхідно буде прийняти якісні та суб`єктивні причини для виявлення відповідних рівнів ефективності безпеки та результативності, та використати ці рівні як цілі ефективності для відповідних метричних показників. Також все організації бажають ефективно застосовувати заходи безпеки, отримувати найвищу результативність від сервісів безпеки та мінімальний збиток від подій безпеки в ході їх виконання, відповідні оцінки будуть відрізнятися для різних систем. Організація може зробити спробу встановити цілі ефективності для цих метричних показників та повинна бути готова для виправлення цих цілей, що базуються на реальних оцінках, як тільки вони прийняті. Організація також може вирішити не встановлювати цілі для метричних показників, доки не будуть поведені перші оцінки, що може бути використано як точка відліку. Як тільки точка відліку прийнята та корегуючи дії ідентифіковані, можуть бути встановлені відповідні цілі ефективності, які будуть реалістичними для специфічної системи. Якщо цілі ефективності не можуть бути встановлені після визначення точки відліку, менеджмент повинен оцінити чи вимірюючи дії та відповідні їм метричні показники надають очікувані для організації значення.
Встановлення базової точки для метричних показників ефективності, результативності та збитку, та встановлення цілей ефективності може бути полегшене, якщо доступні історичні дані, що відносяться до цих метричних показників.
На рисунку 8.2 надано приклад тенденції розвитку метричних показників безпеки ІТ, що базується на проценті схвалених планів безпеки.
Рисунок 8.2 - Приклад тенденції розвитку метричних показників безпеки ІТ
8.3 Реалізація впровадження метричних показників в організації
Реалізація введення метричних показників безпеки ІТ включає використання метричних показників безпеки ІТ для моніторингу результативності заходів безпеки та використання результатів моніторингу для введення дій з покращення результативності. Ітеративний процес складається з 6 кроків, які, коли виконуються повністю, будуть гарантувати тривале використання метричних показників безпеки ІТ для моніторингу та покращення ефективності заходів безпеки. Процес реалізації впровадження метричних показників безпеки ІТ в організації представлено на рисунку 8.1.
Рисунок 8.2 - Процес реалізації впровадження метричних показників безпеки ІТ в організації
8.3.1 Підготовка для збору даних
Крок 1 процесу, Підготовка для збору даних, включає дії, що є ключовими для здійснення всебічного впровадження метричних показників безпеки ІТ в організації, тобто ідентифікація, визначення, розвиток метричних показників безпеки ІТ, та розробка плану реалізації провадження метричних показників.
Після того, як метричні показники були ідентифіковані, повинні буті визначені специфічні крокі по реалізації, як збирати, аналізувати та робити звіт з результатів метричних показників. Ці кроки повинні бути задокументовані в Плані Реалізації Впровадження Метричних Показників. В план повинні бути включені наступні елементи:
1. Ролі метричних показників та відповідальність, в тому числі відповідальність за збір даних, аналіз та складання звіту;
2. Аудиторія для плану;
3. Процес збору метричних показників, аналіз та складання звіту, визначеного для специфічної структури організації, процесів, політик та процедур;
4. Деталі координації всередині офісу CIO, тобто оцінка ризику, дії по складанню FISMA та C&A звітів;
5. Деталі координації між офісом CIO та іншими функціями всередині організації (фізичний захист, захист персоналу);
6. Побудова чи вибір сукупності даних чи елементів контролю;
7. Модифікація сукупності даних чи елементів контролю;
8. Формати звітів по метричним показникам.
8.3.2 Збір даних та аналіз результатів
Крок 2 процесу, збір даних та аналіз результатів, включає дії, які є основними для гарантії того, що зібрані метричні показники використовуються для оцінки безпеки системи та для ідентифікації відповідних дій з удосконалення безпеки. Цей крок включає наступні дії:
1. Збір даних метричних показників, згідно з процесами, що визначені в Плані Реалізації Метричних Показників;
2. Об`єднання зібраних даних та зберігання в форматі, який сприяє аналізу даних та складанню звіту, наприклад, в базах даних чи електронних таблицях;
3. Порівняння зібраних оцінок з заданими, якщо вони визначені, та ідентифікація різниці між фактичною та запланованою ефективністю;
4. Виявлення причин низької ефективності;
5. Визначення зон, що потребують покращення.
Причини низької ефективності можуть бути виявлені, використовуючи дані з більш ніж одного метричного показника. Наприклад, виявлення того, що процент схвалених планів безпеки є дуже низьким не буде корисним для визначення того, як виправити проблему.
Далі будуть приведені приклади факторів, які є причиною низької ефективності заходів безпеки.
1. Ресурси - недостатність людських, грошових чи інших видів ресурсів;
2. Тренінги - відсутність відповідних тренінгів по інсталяції, адмініструванню та експлуатації системи;
3. Оновлення системи - виправлення в безпеці, які були усунені, але не заміщені на протязі операції оновлення системи;
4. Конфігурація практик менеджменту - нові чи оновлені системи, які не настроєні з відповідними установками;
5. Розуміння та обов`язки - відсутність розуміння менеджменту чи обов`язків безпеки;
6. Політики чи процедури - відсутність політик чи процедур, які необхідні для гарантії існування, використання, аудиту необхідних функцій безпеки;
7. Архітектури - неповна архітектура системи чи безпеки, що робить систему вразливою;
8. Неефективні процеси - неефективне планування процесів, які впливають на метричні показники (включаючи комунікаційні процеси, які є необхідними для координації дії організації).
8.3.3 Ідентифікація коригуючих дій
Крок 3 процесу, ідентифікація коригуючих дій, включає розвиток плану, який буде забезпечувати закриття усіх проміжок, вказаних на другому кроці.
Цей крок включає наступні дії:
1. Визначення діапазону коригуючих дій - базуються на результатах та причинних факторах, ідентифікує коригуючи дії, які можуть буди застосовані для кожної проблеми з ефективністю. Коригуючі дії можуть включати зміни конфігурації системи; тренінги персоналу безпеки, системних адміністраторів чи звичайних користувачів; покупка засобів безпеки; зміна архітектури системи; встановлення нових процесів та процедур; оновлення політик безпеки;
2. Розділення коригуючих дій за пріоритетами, що базуються на цілях зменшення ризику - може бути декілька коригуючих дій, які можна застосувати для однієї проблеми з ефективністю; однак деякі не можуть бути застосовані, якщо вони не сумісні з проблемою чи занадто дорогі. Застосовні коригуючі дії повинні бути розділені за пріоритетами для кожної проблеми в порядку зростання ціни та в порядку убування збитку. Процес менеджменту ризику, описаний в NIST SP800-30, Керівництво з менеджменту ризику для Систем Інформаційних Технологій, повинен бути використаний для розділення на пріоритети. Якщо для метричних показників було назначено значення на кроці Підготовка для збору даних, ці значення повинні бути використані для розділення на пріоритети;
3. Вибір найбільш відповідних коригуючих дій - зверху списку коригуючих дій, розподілених за пріоритетами, повинні бути вибрані 3 коригуючі дії для проведення аналізу повної вигоди.
8.3.4 Розвиток необхідного бюджету та отримання ресурсів
Кроки 4 та 5, Розвиток необхідних справ та отримання ресурсів, відповідно, визначають бюджетний цикл, необхідний отримання ресурсів. Ці ресурси потім будуть використані для дій, вказаних на кроці 3. Кроки для розвитку необхідного бюджету базуються на практиках індустрії.
Нижче приведені дії, які будуть виконуватися як частка аналізу необхідного бюджету:
1. Дії з документами та цілями, ідентифікованими на другому кроці процесу розвитку метричних показників;
2. Документування різниці між запланованою ефективністю та оцінками, отриманими на другому кроці процесу реалізації метричних показників;
3. Визначення вартості життєвого циклу для кожної коригуючої дії, ідентифікованої на Кроці 3 процесу реалізації метричних показників;
4. Проведення чуттєвого аналізу для визначення які перемінні мають найбільший вплив на вартість;
5. Характеризування переваг, які можна отримати через покращення ефективності, що базується на коригуючих діях, виконаних на Кроці 3 процесу реалізації метричних показників;
6. Проведення аналізу ризиків, для знаходження ймовірностей перешкод та ризиків альтернатив;
7. Приготування бюджету.
Фаза отримання ресурсів включає наступні дії:
1. Відповідь на запроси оцінки бюджету;
2. Отримання виділеного бюджету;
3. Розділення доступних ресурсів за пріоритетами, припускаючи, що всі необхідні ресурси будуть розміщені;
4. Призначення ресурсів для виконання коригуючих дій.
8.3.5 Прийняття коригуючих дій
Крок 6 процесу, прийняття коригуючих дій, включає виконання коригуючих дій в технічних, операційних зонах, зонах менеджменту, операцій чи інших зонах заходів безпеки. Після прийняття коригуючих дій цикл завершує себе та оновлюється з наступним збором даних та аналізом. Ітеративний збір даних, аналіз, складання звіту з процесу коригуючих дій, оцінка покращень та ідентифікація зон для наступного покращення. Ітеративна суть циклу гарантує те, що процес контролюється та коригуючі дії впливають на використання заходів безпеки як і було заплановано. Часті оцінки ефективності будуть гарантувати те, що, якщо коригуючі дія не виконуються як було заплановано чи вони діють недостатньо ефективно, можуть бути проведені швидкі корекції, таким чином, проблеми можуть бути швидко знайдені на протязі зовнішніх аудитів, С&А зусиль чи інших схожих дій.
Висновок
Результатом моєї дипломної атестаційної роботи є насамперед доведення того, що ефективність безпеки ІТ можна виміряти, використовуючи метричні показники. Було показано, що існують дані, які можуть бути використані для виміряння безпеки. Добре розвинена система метричних показників разом з необхідними даними є гарним індикатором поточного стану ефективності безпеки ІТ.
Щодо рівню ефективності безпеки, службовці безпеки ІТ можуть, дивлячись на результати виміряння, аналізувати систему метричних показників та вирішити чи потрібно вносити якісь зміни в безпеку. В залежності від типа та розмірів організації, система метричних показників може допомогти спеціалістам визначити їх мережу як “слабку чи захищену”. Рівень ефективності безпеки для організації розраховується не для того, щоб порівняти її з іншими організаціями. Метою є тривала оцінка та перевірка ефективності безпеки ІТ виміряними метричними показниками. Таким чином, адміністратор безпеки може лише робити певні коментарії згідно з профілем організації, наприклад “Наш рівень безпеки вищий, ніж у минулому році, відсоток систем, в яких були вірусні попередженні, зменшився на 10 відсотків”.
Дуже важливим питанням є аналіз результатів метричних показників, якому в існуючій літературі приділялось дуже мало уваги. В наведених таблицях метричних показників вказані нормативи, що яких повинні наближатись показники, але на практиці досягти 100% неможливо. Через це в кожній організації повинні бути встановлені власні нормативи для кожного окремого метричного показника. Звичайно, процес виміряння рівню ефективності безпеки ІТ не є легким. Метричні показники повинні використовуватись на протязі як найменше 1 року для того, щоб побачити результати та зміни в процесах системи.
Перелік посилань
1. FIPS PUB 200. Мінімальні вимоги безпеки для федеральної інформації та інформаційних систем. Гайзерсбург, MD 20899-8930, червень 2006.
2. FIPS PUB 199. Стандарти на катигоріювання федеральної інформації та інформаційних систем, Гайзерсбург, MD 20899-8900, лютий 2006.
3. NIST SP800-53. Інформаційна безпека,. Гайзерсбург, MD 20899-8930, лютий 2006.
4. NIST SP800-55. Комп`ютерна безпека, MD 20899-8933, червень 2008.
5. Оцінка ефективності безпеки ІТ за допомогою виміряних метричних показників, Erkan Kahraman.
Размещено на Allbest.ru
Подобные документы
Аналіз ринку зубних паст. Загальні відомості про гігієнічний засіб, характеристика вихідних компонентів. Асортимент, класифікація та призначення зубних паст, підбір сировини для виробництва. Визначення органолептичних показників пінного числа і стійкості.
курсовая работа [788,4 K], добавлен 16.05.2019Огляд сучасного стану текстильної промисловості України. Загальна характеристика заданого асортименту тканини. Розгляд основних правил підбору виду переплетення для заданого асортименту. Визначення структурних показників та проектування кромок тканини.
курсовая работа [339,7 K], добавлен 19.09.2014Особливості та переваги потокового виробництва деталей. Розрахунок кількості обладнання, його завантаження та ступеню синхронізації операцій технологічного процесу. Розрахунок техніко-економічних показників потокової лінії. Собівартість та ціна деталі.
курсовая работа [153,1 K], добавлен 10.02.2009Порівняння техніко-економічних показників різних типів дробарок. Підбір дробарки першої та другої стадії подрібнення. Класифікація конусних дробарок. Визначення обертової частоти конуса. Опис конструкції конусної дробарки, визначення її продуктивності.
курсовая работа [934,3 K], добавлен 29.12.2014Зміни показників надійності тракторів і їх складових в експлуатації. Характеристика станів і формування експлуатаційних несправностей. Закономірності зношування з'єднань і гранично допустимий стан. Зовнішні ознаки типових відмов і їхні можливі причини.
реферат [986,2 K], добавлен 19.03.2010Тривалість лабораторних занять, вимоги до їх виконання, оформлення. Перелік тематик. Вивчення показників якості промислової продукції. Дослідження показників контролю якості, основ сертифікації. Класифікатор державних стандартів, складання технічних умов.
методичка [2,0 M], добавлен 18.12.2010Випробування гум на стійкість до дії рідких агресивних середовищ (відмінність фізико-механічних показників до та після набрякання). Визначення втомної витривалості гум (показники випробування). Випробування гум на багаторазовий стиск, на подовжний згин.
реферат [337,2 K], добавлен 21.02.2011Визначення поняття технопарку, його сутність, особливості формування та управління, базова схема засновників, структура, завдання та аналіз переваг. Загальна характеристика основних технопарків Європи та України, а також оцінка їх показників діяльності.
реферат [103,5 K], добавлен 27.05.2010Застосування неруйнівного контролю для визначення показників якості матеріалів без порушення їх властивостей та функціонування. Класифікація сигналів та методів дефектоскопії. Аналіз придатності виробів на підставі норм бракування та умов експлуатації.
курсовая работа [283,3 K], добавлен 11.09.2014Визначення пластоеластичних властивостей пластометричним та віскозиметричним методами. Визначення кінетики ізотермічної вулканізації за реометром Монсанто. Контроль якості пластмас і еластомерів, розрахунки кількісних показників якості, методи оцінювання.
реферат [936,1 K], добавлен 22.02.2011
