Bezpečnostní metriky – 4. díl

V tomto příspěvku se podíváme na to, co by u každé metriky mělo být uvedeno.

Ve svém doporučení vycházím z požadavků uvedených v ISO/IEC 27004, standardu NIST 800-55, nejlepších praktik a dále pak vlastních zkušeností. Předpokládám, že seznam všech metrik budete někde evidovat, a u každé metriky pak budete evidovat i řadu atributů jako:

  • identifikátor – číslo metriky, aby se na ní dalo odkazovat, stačí pořadové číslo, časem může přejít na nějaké hierarchické členění;
  • status – active/passive zda je či není reportována;
  • verze – DRAFT – číslo verze metriky, neboť může být aktualizována po revizi 0.x, FINAL 1.x;
  • vlastník – osoba, která je autorem dané metriky, a které de facto i vyplňuje většinu zde uvedených atributů;
  • název – název metriky;
  • popis – slovní popis toho, co tato metrika vyjadřuje, jaký je její účel;
  • kategorie – typ metriky, pokud byste se je třeba časem rozhodli nějak seskupovat, ale tenhle atribut není nutné vůbec vyplňovat, obzvláš´t, pokud s metrikami teprve začínáte;
  • generátor – od koho lze metriku získat, kdo je odpovědný za její poskytnutí;
  • zdroj – jaký je datový zdroj;
  • model – jaká data vstupují do výpočtu;
  • výpočet – jak se metrika vypočítá;
  • jednotky – v jakých jednotkách je metrika;
  • interpretace – jak hodnotu metriky interpretovat, co znamená, když číslo roste, klesá, nemění se, k jaké hodnotě se má blížit;
  • kritéria – definice krajních mezí, u procent je to jasné, tam to bude 0 a 100. Ale kardinálních čísel si musí každá organizace stanovit vlastní hodnotu a při překročení jaké hodnoty je třeba reagovat a jak;
  • frekvence – jak často bude metrika aktualizována a reportována;
  • vizualizace – bude metrika zobrazována jen jako číslo nebo bude generován nějaký graf a jaký;
  • příjemce – komu má být metrika posílána;
  • revize – jak často bude metrika vlastníkem revidována ve smyslu její správnosti a účelnosti.

Metriky by měl být SMARTER, aby bylo jasné, co dané metrika vyjadřuje (specific) a jak se bude měřit (measured), a zároveň všemi odsouhlasená (agreed) a dostupná s minimálními náklady (resources) v požadovaném čase (terminated), vyhodnocována (evaluated) a oceněna (rewarded).

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Bezpečnostní metriky – 4. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: