Метрики являются важным инструментом для анализа процессов и результатов. Метрики позволяют нам дать оценку процесса, его эффективность, производительность, качество. Создавая у себя систему информационной безопасности, каждая компания хочет быть уверенна в её эффективности, знать слабые и сильные места, понимать рост уровня зрелости процессов ИБ и, что особенно важно, вовремя замечать их деградацию.

Специалист по информационной безопасности каждый день сталкивается с огромным количеством информации. Он должен следить за десятками и сотнями процессов, отслеживать их результаты и как то всем этим управлять. И тут нам на помощь приходят метрики. Казалось бы, как цифры и статистика могут помочь в операционных, рутинных процессах информационной безопасности компании? Давайте размышлять.

Какие могут быть метрики

Возьмем процессы по фреймворку CIS Critical Security Controls v8. Мы могли бы взять 21 приказ ФСТЭК по персональным данным или 239 приказ по КИИ, не столь важно, все фреймворки похожи. Согласно фреймворку процессы, по которым выстраивается работа службы ИБ разделяются на направления (домены): инвентаризация и контроль устройств, защита данных, управление учетными записями, повышение осведомленности, защита сети и т.д.

У каждого из направлений есть свои данные, действия, процессы. Для защиты данных мы будем вести учет ресурсов, установим DLP, создадим и будем управлять резервным копированием. Для повышения осведомленности в области ИБ будем проводить обучение, фишинговые рассылки, принимать обращения пользователей об инцидентах и пр. Если перевести все эти данные в метрики, то мы получаем оценку всех доменов/процессов в информационной безопасности с ее сильными и слабыми сторонами в цифрах.

Например, в рамках управления уязвимостями, мы можем выделить: % покрытия инфраструктуры системами сканирования; количество уязвимостей; среднее время устранения уязвимостей

Метрика может касаться не только технических показателей. Например, для  процесса управления поставщиками услуг мы создадим метрику % контрагентов с подписанным NDA. Для оценки проводимых мер в рамках повышения осведомленности и обучении в области ИБ: % обученных в этом году, Количество обращений пользователей об инцидентах.

Что будет означать метрика

В идеале метрика должна сразу показывать, хорошо у нас с процессом или не очень. Например, для метрики % учетных записей не входивших в систему более 3 месяцев значение в интервале от 95% до 100% считаем положительным, от 80% до 95% средним а а все что ниже — негативным. Идеально но не всегда возможно. Часто мы не понимаем какое значение метрики является успехом. Но даже в таком случае метрика будет полезна, ведь проводя анализ метрик через квартал или год, мы понимаем, как развивается наша система, как много работы проделано, а где еще нужна доработка.

Как управлять метриками

Мы определились с важностью метрик, поняли для каких процессов ИБ будем их собирать. Остается только собрать все эти сотни показателей и посчитать. Как? Рассмотрим варианты, доступные для нас сегодня.

1. Старый добрый Excel
   
   Пока соберешь все данные, успеешь передумать. Долго, рутинно, муторно.

2. Сбор метрик с систем защиты информации
   
   Этот вариант интереснее — межсетевые экраны, SIEM, антивирусные средства и т. д. Данные поступают автоматически, на выходе получаем всегда готовую и актуальную метрику, дашборды уже нарисованы. Но, к сожалению, у каждого средства защиты доступен только свой ограниченный набор метрик. На практике мы получаем множество консолей, с которых необходимо агрегировать всю информацию, чтобы увидеть полную картину состояния ИБ, и для этого нам... придется вернуться в Exel

3. Business intelligence (BI) системы
   
   Они позволят собрать данные из различных источников и построить красивые дашборды. И вот оно, вроде бы, метрико‑центричное счастье. Но к сожалению, такие решения не отвечают на вопрос, а что с метриками делать дальше? Метрики из BI систем не участвуют в операционных процессах службы информационной безопасности. Не предупреждают о нарушении допустимых порогов, не заводят задачи. На них можно только смотреть. А ведь хочется быстро, просто и, главное, с автоматическим обновлением и реагированием.

4. Специализированные системы для управления метриками ИБ
   
   Да, такие есть. Например Сервис управления информационной безопасностью SECURITM с бесплатным Community доступом

Как собирать данные

Системы для управления метриками ИБ централизовано проводят автоматический и ручной сбор организационных и технических показателей:

1. Первый источник — это техническая инфраструктура, передающая данные через прямые интеграции, по API или же через файлы с данными.

2. Второй источник, очень важный, но о нём регулярно забывают — это люди. Здорово, когда можно подключиться к средству защиты напрямую или отправить что‑то по API, но как подключиться к человеку? Соответственно, вторая часть данных собирается с людей, через систему опросов и заявок. Полученная информация поступает в модуль активов, на базе которого формируются данные для модуля метрик.

Дальше по собранным данным системы управления метриками начинают формировать телеметрии — сложные фильтры на базе активов, настраиваемые в системе и позволяющие показать какую‑то одну величину. Например, количество рабочих мест, у которых статус антивируса «активен» или количество документов, у которых дата выпуска старее одного года. И уже следующим шагом из полученных телеметрий как из переменных в уравнении формируются метрики ИБ.

Например, метрика % покрытия АВЗ у серверов будет считаться так:

(Кол-во серверов у которых поле Антивирус установлен = да / Общее количество серверов ) * 100

Что делать с метриками

Вот мы уже собираем множество показателей с технической инфраструктуры и с людей, формируем из них телеметрии и метрики, «видим» нашу безопасность. Давайте теперь выжмем из метрик максимум пользы для ИБ.

1. Создаем дашборды для отдельных направлений и руководителей.
   
   Каждый будет видеть те показатели которые его касаются, на улучшение которых он может повлиять

2. Создаем автоматизации и задачи
   
   Если заданная метрика достигла критического порога, можно автоматически поставить задачу на соответствующего сотрудника или отдел, запустить Bash/Python/PS скрипт, уведомить о событии внешнюю систему или выполнить другое действие. То есть изменения метрик, которые происходят автоматически или в результате опроса дальше генерируют за собой создание задач и запуск процессов.
   
   Например, метрика Актуальность анкет ИСПДн упала ниже 80%? — автоматически заводим задачу на ответственного за обработку персональных данных чтобы он провел актуализацию анкет ИСПДн. Покрытие системами защиты в филиале упало? — кидаем задачу в ИТ отдел филиала. И все это автоматически.

3. Оцениваем соответствие требованиям регуляторов и стандартов (Compliance) через метрики безопасности
   
   Многие (не все) требования стандартов можно подвязать на технические и организационные метрики, получив автоматическую переоценку уровня соответствия при изменении метрик безопасности

4. Считаем оценку рисков безопасности через метрики
   
   Сюда же подпадает история с KRI, ключевыми индикаторами рисков. Величины рисков изменяются под влиянием изменений в инфраструктуре.

При таком подходе метрики становятся не целью и результатом работы, а источником для автоматических действий и реакций в службе ИБ.

Интересно еще про метрики? Мы с командой SECURITM выпустили вебинар о метриках в информационной безопасности. Вебинар содержит много практики для безопасников, для тех кто уже пользуется метриками или в начале пути.