Модель Carnegie Mellon University

Несколько расширенную модель определения уровня зрелости компании с точки зрения информационной безопасности предложил университет Carnegie Mellon [344]. В соответствии с этой моделью выделяется пять уровней зрелости компании, которым можно поставить в соответствие различное понимание проблем информационной безопасности организации (см. табл. 1.2).

Таблица 1.2. Модель определения уровня зрелости компании

Уровень зрелости организации	Признаки	Характеристика организации в области информационной безопасности
1. Анархия	Сотрудники сами определяют, что хорошо, а что плохо Затраты и качество не прогнозируются Отсутствуют формализованные планы Отсутствует контроль изменений Высшее руководство плохо представляет реальное положение дел	Политика в области ИБ не формализована, руководство не занимается этими вопросами Обеспечением информационной безопасности сотрудники могут заниматься по своей инициативе, в соответствии со своим пониманием задач
2. Фольклор	Выявлена определенная повторяемость организационных процессов Опыт организации представлен в виде преданий корпоративной мифологии Знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении	На уровне руководства существует определенное понимание задач обеспечения информационной безопасности. Существуют стихийно сложившиеся процедуры обеспечения информационной безопасности, их полнота и эффективность не анализируются. Процедуры не документированы и полностью зависят от личностей вовлеченных в них сотрудников. Руководство не ставит задач формализации процедур защиты информации
3, Стандарты	Корпоративная мифология записана на бумаге Процессы повторяемы и не зависят от личных качеств исполнителей Информация о процессах для измерения эффективности не собирается Наличие формализованного описания процессов не означает, что они работают Организация начинает адаптировать свой опыт к специфике бизнеса Производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетентности Вырабатывается стратегия развития компетентности	Руководство осознает задачи в области информационной безопасности. В организации имеется документация (возможно, неполная), относящаяся к политике информационной безопасности. Руководство заинтересовано в использовании стандартов в области информационной безопасности, оформлении документации в соответствии с ними. Осознается задача управления режимом ИБ на всех стадиях жизненного цикла информационной технологии
4. Измеряемый	Процессы измеряемы и стандартизованы	Имеется полный комплект документов, относящихся к обеспечению режима информационной безопасности и оформленных в соответствии с каким-либо стандартом. Действующие инструкции соблюдаются, документы служат руководством к действию должностных лиц. Регулярно проводится внутренний (и, возможно, внешний) аудит в области ИБ. Руководство уделяет должное внимание вопросам информационной безопасности, в частности имеет адекватное представление относительно существующих уровней угроз и уязвимостей, потенциальных потерь в случае возможных инцидентов
5. Оптимизируемый	Фокус на повторяемости, измерении эффективности, оптимизации Вся информация о функционировании процессов фиксируется	Руководство заинтересовано в количественной оценке существующих рисков, готово нести ответственность за выбор определенных уровней остаточных рисков, ставит оптимизационные задачи построения системы защиты информации

 

Проблема обеспечения режима информационной безопасности будет формулироваться (хотя бы в неявном виде) и решаться по-разному для организаций, находящихся на разных уровнях развития.

На первом уровне эта проблема, как правило, руководством формально не выдвигается. Но это не значит, что она не решается сотрудниками по собственной инициативе - и, возможно, эффективно.

В качестве положительного примера можно привести один случай. Сравнительно небольшая организация (порядка 80 компьютеров, три файл-сервера), занимающаяся рекламным бизнесом, в результате пожара в арендуемом ею здании потеряла всю вычислительную технику и данные.

Однако уже через неделю она полностью смогла восстановить свою работу. Дело в том, что некоторые сотрудники по своей инициативе копировали наиболее важную информацию на CD, что-то хранилось на их домашних компьютерах, что-то отправлялось по электронной почте различным адресатам и было затребовано обратно. В результате большую часть самых ценных информационных ресурсов удалось оперативно восстановить (а технику быстро закупили), что позволило фирме успешно продолжить работу.

При этом вопросы информационной безопасности руководством никогда не ставились и, по-видимому, ставиться не будут.

Наряду со случаями, в которых все кончалось благополучно, есть и много иных примеров, когда пренебрежение информационной безопасностью имело чрезвычайно серьезные последствия.

Тем не менее, с точки зрения руководства организации, находящейся на первом уровне зрелости, задачи обеспечения режима информационной безопасности, как правило, неактуальны. И все же такие организации могут быть вполне жизнеспособными.

На втором уровне проблема обеспечения информационной безопасности решается неформально, на основе постепенно сложившейся практики. Комплекс мер (организационных и программно-технических) позволяет защититься от наиболее вероятных угроз, как потенциально возможных, так и имевших место ранее. Вопрос относительно эффективности защиты не поднимается. Таким образом, постепенно складывается неформальный список актуальных для организации классов рисков, который постепенно пополняется.

Если серьезных инцидентов не происходило, руководство организации, как правило, не считает вопросы информационной безопасности приоритетными.

В случае серьезного инцидента сложившаяся система обеспечения безопасности корректируется, а необходимость поиска других возможных уязвимостей в защите иногда осознается руководством.

Один из вариантов определения риска в этом случае может выглядеть так: известны уязвимости, потенциальные нарушители и их мотивация (модель нарушителя), а также сценарии развития событий, связанные с выявленными уязвимос-тями [334].

Для данного уровня зрелости организации типичной является локальная (не связанная с другими этапами жизненного цикла технологии) постановка задачи анализа рисков: считается достаточным перечислить актуальные для конкретной информационной системы классы рисков и, возможно, описать модель нарушителя, а задача анализа вариантов контрмер, их эффективности, управления рисками, как правило, не рассматривается в качестве актуальной.

На третьем уровне в организации принято следовать в той или иной мере (возможно, частично) стандартам и рекомендациям, обеспечивающим базовый уровень информационной безопасности (например, ISO 17799 [209]). Вопросам документирования уделяется должное внимание.

Задача анализа рисков не является, по мнению руководства, своевременной. Анализ рисков рассматривается как один из элементов технологии управления режимом информационной безопасности на всех стадиях жизненного цикла. Понятие риска включает несколько аспектов: вероятность, угрозу, уязвимость, иногда стоимость.

Один из вариантов оценки риска (определенного класса) в этом случае: вероятность возникновения инцидента в результате того, что имеющаяся уязвимость (определенного класса) будет способствовать реализации угрозы (определенного класса).

Технология управления режимом информационной безопасности в полном варианте содержит следующие элементы:

· документирование информационной системы организации с позиции информационной безопасности;

· категорирование информационных ресурсов с позиции руководства организации;

· определение возможного воздействия различного рода происшествий в области безопасности на информационную технологию;

· анализ рисков;

· технология управления рисками на всех этапах жизненного цикла;

· аудит в области информационной безопасности.

На данном уровне зрелости организации анализ рисков связан с другими компонентами технологии управления режимом информационной безопасности.

На четвертом уровне для руководства организации актуальны вопросы измерения параметров, характеризующих режим информационной безопасности. На этом уровне руководство отвечает за выбор определенных величин остаточных рисков (которые остаются всегда). Риски, как правило, оцениваются по нескольким критериям (не только стоимостным).

Технология управления режимом информационной безопасности остается прежней, но на этапе анализа рисков применяются количественные методы, позволяющие оценить параметры остаточных рисков и эффективность различных вариантов контрмер при управлении рисками.

На пятом уровне ставятся и решаются различные варианты оптимизационных задач в области обеспечения режима информационной безопасности. Примеры постановки задач:

· выбрать вариант подсистемы информационной безопасности, оптимизированной по критерию «стоимость-эффективность» при заданном уровне остаточных рисков;

· выбрать вариант подсистемы информационной безопасности, при котором минимизируются остаточные риски при фиксированной стоимости подсистемы безопасности;

· выбрать архитектуру подсистемы информационной безопасности с минимальной стоимостью владения на протяжении жизненного цикла при установленном уровне остаточных рисков.