9.1. Достижение надлежащего баланса между величинами рисков нарушения ИБ, связанных с наличием уязвимостей при выполнении процессов СОИБ, и ресурсным обеспечением ИБ, направленным на снижение указанных рисков путем обеспечения необходимого и достаточного уровня зрелости выполнения процессов СОИБ, рекомендуется обеспечивать путем определения и анализа целевых (контрольных) показателей эффективности использования финансовых средств, инвестированных в повышение уровня зрелости выполнения процессов СОИБ.
9.2. Показатели эффективности рекомендуется разделять на две группы:
- показатели, подлежащие анализу на этапе планирования инвестирования в повышение уровня зрелости выполнения процессов СОИБ;
- показатели, подлежащие анализу на этапе оценки результатов инвестирования в уровень зрелости выполнения процессов СОИБ.
9.3. В качестве основных показателей эффективности инвестирования в выполнение процессов СОИБ на этапе планирования рекомендуется рассматривать:
- ожидаемые результаты от снижения уровня рисков нарушения ИБ, связанных с повышением уровня зрелости выполнения процессов СОИБ;
- срок получения ожидаемых результатов по повышению уровня зрелости выполнения процессов СОИБ;
- согласованность со стратегией ИТ-развития организации БС РФ.
Указанные показатели эффективности рекомендуется оценивать экспертным путем с привлечением профильных подразделений организации БС РФ и включать в оценку финансовых средств, инвестированных в повышение уровня зрелости выполнения процессов СОИБ.
9.4. В качестве основного показателя эффективности инвестирования финансовых средств в повышение уровня зрелости выполнения процессов СОИБ на этапе оценки результатов инвестирования рекомендуется рассматривать соотношение фактического ущерба (финансового эквивалента понесенных потерь) от инцидентов ИБ, в том числе непосредственных финансовых потерь от инцидентов ИБ, финансовых потерь от нарушения непрерывности деятельности организации БС РФ, финансовых потерь от негативного влияния инцидентов ИБ на деловую репутацию, финансовые средства, затраченные для ликвидации последствий инцидентов ИБ, по отношению к предполагаемой на этапе планирования величине возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ.
9.5. При превышении фактических финансовых потерь от инцидентов ИБ значений, предполагаемых на этапе планирования, организации БС РФ рекомендуется определить основные факторы возникновения рисковых событий, приводящих к ущербу (финансовым потерям) и выработать планы, элементами которых могут являться:
- пересмотр модели угроз и нарушителя, применяемых требований к обеспечению ИБ;
- установление новых процессов СОИБ, в том числе связанных с изменениями состава актуальных угроз;
- повышение уровня зрелости выполнения установленных процессов СОИБ.
9.6. В качестве дополнительного показателя эффективности инвестирования в повышение уровня зрелости выполнения процессов СОИБ на этапе оценки результатов инвестирования рекомендуется рассматривать соответствие фактических сроков реализации планов по повышению уровня зрелости выполнения процессов СОИБ планируемым срокам.
9.7. Организации БС РФ рекомендуется выполнять с установленной периодичностью:
- анализ эффективности выполнения процессов СОИБ, в том числе выполняемый на основе показателей, установленных в пункте 9.2 настоящего документа; - анализ рисков нарушения ИБ с целью определения приоритетных направлений совершенствования процессов СОИБ.
Периодичность проведения анализа рекомендуется согласовывать с планами реализации или повышения уровня зрелости выполнения процессов СОИБ.