19.2.19

Как измерять ИБ в рамках государства?

В 2012-м году в СовБезе шла работа над основными направлениями государственной политики в области формирования культуры информационной безопасности. В процессе этой работы возникла тема о том, что достижение этих направлений должно как-то измеряться, но... к сожалению в итоговый проект документа ни одной метрики, ни одного показателя эффективности, ни одного индикатора не попало и причина тому была одна - никто не хотел брать на себя непростую задачу измерения результативности (как минимум) и оптимальности (как максимум) основных направлений.

В рамках федерального проекта "Информационная безопасность" нацпрограммы "Цифровая экономика" этот недостаток учли и добавили 6 индикаторов, которые должны олицетворять достижение (то есть измерять результативность, а не оптимальность) проекта:
  • Объем затрат на продукты и услуги в области ИБ. На первом месте именно размер денег, которые потрачены на защиту информации :-( 
  • Средний срок простоя ГИС в результате компьютерных атак. На мой взгляд, это хороший дифференциальный показатель, который отражает эффективность реализации мероприятий из 17-го приказа ФСТЭК. Правда, не совсем понятно, как измеряется этот показатель? Статистики же по времени простоя ни ФСТЭК, ни даже ФСБ в рамках ГосСОПКИ не собирают. Возможно, в скором времени планируется принятие какого-либо нормативного акта в этой сфере... Но ФСТЭК про него не упоминала на своей недавней конференции. Так что измерение этого индикатора пока находится под вопросом. Но цель в 1 час простоя к 2024-му году выглядит заманчиво.
  • Доля населения, использующего отечественные средства защиты информации (в процентах от численности Интернет-пользователей). Цель - 97% через 5 лет. Учитывая грядущее принятие нормы по установке на каждый смартфон или компьютер отечественного антивируса, этот показатель будет достигнут. Правда, к реальной ИБ он никакого отношения не имеет. 
  • Количество подготовленных специалистов по программам в области ИБ на базе отечественных средств защиты информации. Если бы речь шла о специалистах ИБ, то цифра в 21 тысячу человек к 2024-му году выглядит вполне себе неплохо. Но если речь о специалистах вообще, то это маловато. Особенно в условиях звучащих цифр в 500 тысяч айтишников, которые должны быть подготовлены.
  • Стоимостная доля закупленного или арендованного госорганами и госкорпорациями отечественного ПО (именно ПО, а не средств защиты). К реальной ИБ этот индикатор тоже никакого отношения не имеет.
Когда еще только шла подготовка ко второму заходу в "Цифровой экономике" в Кластере ИБ в РАЭК тоже готовились свои предложения по тому, что должно входить в направление ИБ и как измерять его успех. У нас тогда родился следующий перечень показателей:

  • Объем экспорта товаров и услуг в области информационной безопасности. Это тоже денежный показатель, но в отличие от затрат на покупку, он говорит о доходах от продажи и не внутри страны, а за ее пределами. Иными словами, речь идет о том, чтобы не пытаться законодательно заставить купить убогие поделки, ориентированные только на закрытые требования регуляторов, а предложить мировому рынку конкурентные решения и получать за это деньги.
  • Количество преступлений в сфере компьютерной информации. Понятно, что при палочной системе в МВД это не самый лучший показатель, но все-таки.
  • Количество компаний малого и среднего бизнеса в области информационной безопасности. Понятно, что можно измерять число лицензиатов ФСТЭК - это более простой и легко вычислимый показатель, но учитывая закрытое распоряжение Президента об ужесточении требований к лицензиатам, ждать роста этого индикатора не приходилось бы. А вот рост числа ИБ-стартапов гораздо больше говорит о благоприятном климате для бизнеса, чем все остальное.
  • Уровень грамотности населения в сфере информационной безопасности. Учитывая проникновение ИТ во все сферы нашей жизни, у каждого человека - от школьника до пенсионера должны быть навыки компьютерной гигиены.
  • Количество выпускников по направлению "Информационная безопасность". Ну тут все просто.
  • Количество Центров информационного обмена в области информационной безопасности. Вроде и эта метрика тоже очевидна.
  • Размеры инвестиций в научные исследования в области информационной безопасности. Какое нафиг импортозамещение без R&D? И вот тут как раз можно говорить о затратах. Хотя нет, не о затратах, а об инвестициях, которые вернутся; в отличие от затрат.
  • Ущерб по объектам критической информационной инфраструктуры. Эта метрика должна компенсировать слабость подсчета количества преступлений. Иначе может получиться ситуация, как в опросе Ральфа Лангнера (хотя он и не очень репрезентативен), когда инциденты (читай, преступления) есть, а ущерба нет.

Правда, если бы сейчас меня спросили, чтобы еще я включил в список индикаторов, то я бы добавил еще число международных стандартов по ИБ (ISO, ITU, IEC и т.п.), в разработке которых принимали участие российские специалисты.

1 коммент.:

Target комментирует...

Половина мероприятий ФП «Информационная безопасность» НП «Цифровая экономика» не относится к области ИБ или имеет к ней косвенное отношение (не основная задача мероприятия). Например, развитие телерадиовещания, импортозамещение, создание централизованной системы мониторинга и управления ССОП, создание платформы для блокирования ресурсов в сети Интернет, замыкание трафика Интернет в РФ и т.п. Организаторы не прислушались к участникам РГ ИБ, которые делали соответствующие замечания. Поэтому показатели из ФП ИБ, как правило, не показательны.
Средний срок простоя ГИС (или других категорий ИС). Этот показатель в меньшей степени зависит от показателя «уровень защиты информации или ИБ» и больше зависит от показателя «устойчивость функционирования». Меры для повышения показателей разные. Поэтому для ИБ его значение мало информативно, если не выделять простои только от несанкционированного доступа к ГИС/ИС/ССОП.
Количество подготовленных специалистов. В программах образования ИТ специалистам дают, в том числе, какие-то знания по ИБ. Конечно, они вряд ли смогут разработать политику разграничения доступа или модель угроз. Но эксплуатировать ИС со встроенными механизмами защиты или собственно средства защиты информации могут. Поэтому оценка – ППП. Другой вопрос, что эти специалисты не могут обеспечить требования к лицензированию. Но это относительно узкий рынок.
Количество преступлений в сфере «компьютерной информации». Преступления в сфере «компьютерной информации» – это, в первую очередь, мошенничество, при реализации которого нарушается или не нарушается политика ИБ. Показатель очень приблизительный для ИБ, поскольку в большинстве случаев политики ИБ вообще нет (например, пострадавший сам размещает конфиденциальную информацию в открытом доступе или предает сведения о банковской карте мошеннику и т.п.). Фиксируют эти нарушения как ИБ. Но это не так.
Ущерб по объектам критической информационной инфраструктуры. К объектам КИИ отнесли, в том числе, объекты массового рынка, для которых по определению невозможно обеспечить уровень безопасности, необходимый для критических приложений. Кроме того, ущерб от нарушения функционирования объектов КИИ по иным, не связанным с ИБ причинам, наступает значительно чаще, чем от кибератак. Это тот же показатель, что и «средний срок простоя». Для обеспечения безопасности действительно критических объектов целесообразно внедрять «цифровые» технологии, строить информационную модель архитектуры объекта и проводить формальную оценку ее соответствия декларируемой политике безопасности (установленным мерам защиты). Это лучший показатель ИБ. Но, конечно, по началу будет дороже и сложнее в реализации.
Международные стандарты ИБ. Это очень правильно. Но целесообразно учитывать не участие специалистов ИБ РФ в их разработке, а количество международных стандартов ИБ, которые стали обязательными в РФ, т.е. когда НПА регуляторов и стандарты ИБ – одно и тоже.