Керований подіями метод вимірювання ефективності контролю інформаційної безпеки в середовищах розробки програмного забезпечення

Анотація

Із зростанням вартості інцидентів кібербезпеки правильний розподіл ресурсів для контролю інформаційної безпеки (ISC) стає критичним для кожної організації. У цьому документі описано практичний підхід до вимірювання ефективності ISC у середовищах розробки програмного забезпечення (SDE) з використанням методу, незалежного від типу та дизайну керування та заснованого на подіях безпеки: зовнішнє вимірювання ефектів несправностей керування. Це разом із запропонованим підходом до розрахунку агрегованої оцінки для захисту SDE від категорій загроз дозволяє розробити ефективну структуру оцінки ризиків (RA) для SDE. У статті наведено приклад побудови такого RA інформаційної безпеки в загальну структуру управління ризиками SDE. Запропонована методологія SDE RA була реалізована за допомогою платформи Microsoft Power BI для аналітики, з основними даними, що надходять із SIEM (метрики щодо ефективності контролю та впровадження), ITSM (дані про статистику впровадження контролю та активи на проект), додаток, що використовується для проведення оцінок SDE RA та призначення варіантів ризику. У цьому документі демонструється використання уніфікованого методу вимірювання ефективності для SDE ISC на основі управління подіями та інцидентами безпеки (SIEM), а також методу консолідації цих вимірювань у показники високого рівня, які використовуються для оцінки загальної безпеки певного SDE або всієї групи SDE, що належать організації. Method пропонує новий підхід для збору значущих порівняльних даних від зацікавлених сторін без формальної освіти з інформаційної безпеки та надання результатів, які можуть безпосередньо використовуватися фахівцями, не пов’язаними з ІС, для прийняття управлінських рішень в організації.
Ключові слова: контроль інформаційної безпеки (КІБ), кібербезпека, управління ризиками, середовища розробки програмного забезпечення.