ГОСТ Р ИСО/МЭК 27004-2011. Национальный стандарт РФ: "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 01.12.2011 N 681-ст) (документ утратил силу)

Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27004-2011
"Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения"
(утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 681-ст)

Information technology. Security techniques. Information security management. Measurement

Дата введения - 1 января 2012 г.

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

0 Введение

0.1 Общие положения

Настоящий стандарт содержит рекомендации по разработке и использованию измерений и мер измерения для проведения оценки эффективности реализованной системы менеджмента информационной безопасности (СМИБ), а также мер и средств контроля и управления или их групп по ИСО/МЭК 27001.

Процесс измерений затрагивает политику, менеджмент риска информационной безопасности, меры и средства контроля и управления и цели их применения, процессы и процедуры, а также поддерживает процесс проверки СМИБ, помогая определить, требуется ли изменять или совершенствовать какие-либо из процессов или мер и средств контроля и управления СМИБ. Следует помнить, что никакие измерения мер и средств контроля и управления не могут обеспечить полной безопасности.

Процесс измерений реализуется в виде программы измерений, связанных с информационной безопасностью (далее - программа измерений). Программа измерений предназначена для оказания помощи руководству организации в выявлении и оценивании несоответствующих требованиям и неэффективных процессов, мер, средств контроля и управления СМИБ, а также в определении приоритетов действий, направленных на усовершенствование или изменение этих процессов и (или) мер и средств контроля и управления. Программа измерений также может помочь организации в демонстрации соответствия СМИБ требованиям ИСО/МЭК 27001 и создании дополнительного основания для проведения руководством организации проверки процессов менеджмента риска информационной безопасности.

В данном стандарте предполагается, что отправной точкой для разработки мер измерения и измерений является доскональное понимание рисков информационной безопасности, с которыми сталкивается организация, и корректное выполнение (на основе ИСО/МЭК 27005) действий организации по оценке риска в соответствии с требованиями ИСО/МЭК 27001. Программа измерений поможет организации в предоставлении соответствующим заинтересованным сторонам достоверной информации, касающейся рисков информационной безопасности и состояния реализованной СМИБ для управления этими рисками.

Эффективно реализованная программа измерений позволит укрепить доверие заинтересованных сторон к результатам измерений, а также даст возможность заинтересованным сторонам применять меры измерений для непрерывного улучшения информационной безопасности и СМИБ.

Накопленные результаты измерений позволят следить за прогрессом в достижении целей информационной безопасности за некоторый период времени в интересах реализации процесса непрерывного совершенствования СМИБ организации.

0.2 Краткая справка для должностных лиц

ИСО/МЭК 27001 содержит требования к организации "проводить регулярные проверки эффективности СМИБ, принимая в расчет результаты измерений эффективности" и "измерять эффективность мер и средств контроля и управления с тем, чтобы подтвердить удовлетворение требований безопасности". ИСО/МЭК 27001 также содержит требования к организации "определять, каким образом проводить измерение эффективности выбранных мер и средств контроля и управления и их групп, и устанавливать, каким образом должны использоваться меры измерений для оценки эффективности мер и средств контроля и управления с тем, чтобы получать воспроизводимые и сопоставимые результаты".

Подход, принятый организацией для выполнения требований к измерениям, определенных в ИСО/МЭК 27001, будет варьироваться в зависимости от ряда существенных факторов, включающих в себя риски информационной безопасности, с которыми сталкивается организация, размер организации, имеющихся ресурсов и применимых правовых, нормативных и договорных требований. Тщательный выбор и обоснование метода, используемого для выполнения требований к измерениям, важны для того, чтобы для этой деятельности СМИБ не выделялись чрезмерные ресурсы в ущерб другой необходимой деятельности. В идеальном случае текущая деятельность, связанная с постоянными измерениями, должна быть интегрирована в обычную деятельность организации с привлечением минимальных дополнительных ресурсов.

Настоящий стандарт предлагает рекомендации, касающиеся следующей деятельности, являющейся основой для выполнения организацией требований к измерениям, установленных в ИСО/МЭК 27001:

a) разработка мер измерений (например, основные меры измерений, производные меры измерений и показатели);

b) разработка и выполнение программы измерений;

c) сбор и анализ данных;

d) обработка результатов измерений;

e) сообщение обработанных результатов измерений заинтересованным сторонам;

f) использование результатов измерений для принятия решений, относящихся к СМИБ;

g) использование результатов измерений для выявления потребностей в совершенствовании реализованной СМИБ, включая ее область действия, политики, цели, меры и средства контроля и управления, процессы и процедуры;

h) содействие постоянному совершенствованию программы измерений.

Одним из факторов, влияющих на способность организации проводить измерения, является ее размер. В целом, масштабы и сложность основной деятельности организации в сочетании с важностью информационной безопасности влияют на объем требуемых измерений как с точки зрения числа выбираемых мер измерений, так и с точки зрения частоты сбора и анализа данных. В то время как для малых и средних организаций менее детализированная программа измерений будет достаточной, крупные организации будут внедрять и использовать многочисленные программы измерений.

Единственная программа измерений может быть достаточной для малых организаций, тогда как для крупных организаций может возникнуть потребность в многочисленных программах измерений.

Рекомендации, содержащиеся в настоящем стандарте, позволят подготовить документацию, помогающую подтвердить, что эффективность мер и средств контроля и управления измеряется и оценивается.

1 Область применения

Настоящий стандарт устанавливает рекомендации по разработке и использованию измерений и мер измерений для оценки эффективности реализованной системы менеджмента информационной безопасности, мер и средств контроля и управления и их групп в соответствии с ИСО/МЭК 27001.

Настоящий стандарт предназначен для организаций всех видов.

Примечание - В настоящем стандарте используются глагольные формы для формулировки положений (например, "должен", "не должен"; "следует", "не следует"; "может быть", "нет необходимости"; "может", "не может"), которые определены в документе ИСО/МЭК Директивы, часть 2, 2004, приложение Н. См. также ИСО/МЭК 27000:2009, приложение А.

2 Нормативные ссылки

Для применения настоящего стандарта необходимы следующие ссылочные документальные источники. Для датированных стандартов применимо только указанное издание. Для недатированных стандартов применяют последнее издание стандарта, включая опубликованные изменения.

ИСО/МЭК 27000:2009 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary)

ИСО/МЭК 27001:2005 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements)

3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:

3.1 аналитическая модель измерений (analytical model): Алгоритм или вычисление, объединяющие одну или более основных и /или производных мер измерения с соответствующими критериями принятия решений.

[ИСО/МЭК 15939:2007]

3.2 атрибут (attribute): Свойство или характеристика объекта, которые могут быть определены количественно или качественно вручную или автоматическими средствами.

[ИСО/МЭК 15939:2007]

3.3 основная мера [измерения]* (base measure): Мера измерения, определенная через атрибут и метод его количественной оценки.

[ИСО/МЭК 15939:2007]

Примечание - Основная мера функционально независима от других мер.

3.4 данные (data): Совокупность значений, присвоенных для основных мер измерений, производных мер измерений и (или) показателей.

[ИСО/МЭК 15939:2007]

3.5 критерии принятия решения (decision criteria): Пороговые величины, целевые значения или образцы, используемые для определения необходимости действия или дальнейшего исследования или для описания уровня уверенности в данном результате.

[ИСО/МЭК 15939:2007]

3.6 производная мера [измерения]* (derived measure): Мера измерения, которая определяется как функция двух или более значений основных мер измерений.

[ИСО/МЭК 15939:2007]

3.7 показатель (indicator): Мера измерения, дающая качественную или количественную оценку определенных атрибутов, выведенную на основе аналитической модели, разработанной для определенных информационных потребностей.

3.8 информационная потребность (information need): Знание (сведения), необходимое(ые) для управления целями, задачами, рисками и проблемами.

[ИСО/МЭК 15939:2007]

3.9 мера [измерения]** (measure): Переменная, которой присваивается некоторое значение, полученное в результате измерения.

[ИСО/МЭК 15939:2007]

Примечание - Термин "меры измерений" (measures) используется для обозначения совокупности основных мер измерений, производных мер измерений и показателей.

Пример - Сравнение измеренной интенсивности отказов с расчетной интенсивностью отказов вместе с оценкой того, указывает ли различие интенсивностей на наличие проблемы или нет.

3.10 измерение (measurement): Процесс получения информации об эффективности СМИБ, а также мер и средств контроля и управления с использованием метода измерения, функции измерения, аналитической модели и критериев принятия решения.

3.11 функция измерения (measurement function): Алгоритм или вычисление, выполняемое для комбинирования двух или более основных мер измерения.

[ИСО/МЭК 15939:2007]

3.12 метод измерения (measurement method): Описанная в общем виде логическая последовательность операций, которая используется для количественного измерения атрибута относительно определенной шкалы.

[ИСО/МЭК 15939:2007]

Примечание - Вид метода измерения зависит от характера операций, используемых, для количественного измерения атрибута. Можно выделить следующие два вида метода измерения:

- субъективный: количественная оценка с использованием суждения человека;

- объективный: количественная оценка, основанная на числовых правилах.

3.13 результаты измерения (measurement results): Один или более показателей и их соответствующая интерпретация, предназначенные для информационной потребности.

3.14 объект (object): Элемент, который может быть охарактеризован посредством измерения его атрибутов.

3.15 шкала (scale): Упорядоченная совокупность значений, непрерывная или дискретная, или совокупность категорий, на которые отображается атрибут.

[ИСО/МЭК 15939:2007]

Примечание - Вид шкалы зависит от характера взаимосвязи между значениями на шкале. Обычно различают четыре вида шкал:

- номинальная: значением измерения является категория;

- порядковая (ранговая): значениями измерений являются ранги;

- интервальная: значения измерений отстоят одно от другого на равные расстояния, соответствующие одинаковым значениям атрибута;

- шкала отношений: значения измерений имеют равные расстояния, соответствующие одинаковым значениям атрибута, где нулевое значение соответствует отсутствию данного атрибута.

Представлены только примеры видов шкалы.

3.16 единица измерения (unit of measurement): Конкретная величина, определенная и принятая по соглашению, с которой сравниваются другие величины того же вида, чтобы выразить их значение относительно данной величины.

[ИСО/МЭК 15939:2007]

3.17 валидация (validation): Подтверждение посредством представления объективных свидетельств того, что требования в отношении конкретного использования или применения были выполнены.

3.18 верификация (verification): Подтверждение посредством предоставления объективных свидетельств того, что установленные требования были выполнены.

[ИСО 9000:2005]

Примечание - В качестве синонима может использоваться термин "проверка соответствия".

4 Структура

В настоящем стандарте представлены меры измерений и виды деятельности, связанные с измерениями, необходимыми для оценки эффективности реализации требований СМИБ к менеджменту необходимых и достаточных мер и средств контроля и управления безопасностью в соответствии с 4.2 ИСО/МЭК 27001:2005.

Настоящий стандарт имеет следующую структуру:

- общий обзор программы измерений и модели измерений, связанных с информационной безопасностью*** (см. раздел 5);

- обязанности руководства в отношении измерений, связанных с информационной безопасностью (см. раздел 6);

- конструктивные элементы и процессы измерений (такие, как планирование и разработка, реализация и функционирование, а также совершенствование измерений: распространение результатов измерений), подлежащие реализации в рамках программы измерений (см. разделы 7-10).

Кроме того, в приложении А представлена типовая форма конструктивных элементов измерения, составными частями которой являются элементы модели измерений (см. раздел 7). В приложении В представлены примеры конструктивных элементов измерения для конкретных мер и средств контроля и управления, а также процессов СМИБ с использованием типовой формы, представленной в приложении А.

Данные примеры предназначены для содействия организациям в проведении измерений, связанных с информационной безопасностью, а также документировании процессов измерений и их результатов.

5 Общий обзор измерений, связанных с информационной безопасностью

5.1 Цели измерений, связанных с информационной безопасностью

Цели измерений, связанных с информационной безопасностью, в контексте СМИБ включают в себя:

a) оценивание эффективности реализованных мер и средств контроля и управления или их групп [см. 4.2.2, перечисление d), рисунок 1];

b) оценивание эффективности реализованной СМИБ [см. 4.2.3, перечисление b), рисунок 1];

c) верификацию степени, до которой были удовлетворены установленные требования безопасности [см. 4.2.3, перечисление с), рисунок 1];

d) содействие повышению результативности информационной безопасности с точки зрения общих рисков основной деятельности организации;

е) предоставление сведений для проверки, проводимой руководством с целью содействия принятию решений, касающихся СМИБ, и обоснования необходимых улучшений в реализованной СМИБ.

Циклическая взаимосвязь видов деятельности, связанных с измерениями (их "входов-выходов"), по отношению к циклу "планирование - осуществление - проверка - действие" (PDCA-Plan-Do-Check-Act), определенному в ИСО/МЭК 27001, показана на рисунке 1. Цифры перед текстом в каждой фигуре обозначают номера подпунктов ИСО/МЭК 27001:2005.

Конкретной организации следует устанавливать цели измерений на основе ряда факторов, включающих в себя:

a) роль информационной безопасности в поддержке различных видов основной деятельности организации и рисков, с которыми она сталкивается;

b) соответствующие правовые, нормативные и договорные требования;

c) структуру организации;

d) расходы и выгоды от реализации мер, связанных с обеспечением информационной безопасности;

e) критерии принятия риска для организации;

f) необходимость сравнения нескольких СМИБ, имеющихся в одной и той же организации.

5.2 Программа измерений

Организации следует создать программу измерений и управлять ею для достижения установленных целей измерений и внедрения модели "планирование - осуществление - проверка - действие" в масштабах всей измерительной деятельности организации. Организации следует также разрабатывать и реализовывать конструктивные элементы измерений для получения воспроизводимых, объективных и пригодных результатов измерений, основанных на модели измерений (см. 5.4).

Программа измерений и разработанные конструктивные элементы измерений должны обеспечивать эффективное налаживание организацией объективных и повторяемых процессов измерения, а также предоставление результатов измерений соответствующим заинтересованным сторонам для определения потребностей в усовершенствовании реализованной СМИБ, включая область ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры.

Программа измерений должна включать в себя следующие процессы:

a) разработка измерений и мер измерений (см. раздел 7);

b) проведение измерений (см. раздел 8);

c) анализ данных и распространение результатов измерений (см. раздел 9);

d) оценивание и совершенствование программы измерений, связанных с информационной безопасностью (см. раздел 10).

Организационную и эксплуатационную структуру программы измерений следует определять, учитывая масштабы и сложность СМИБ, частью которой эта программа является. Во всех случаях роли и обязанности, касающиеся программы измерений, должны быть явным образом назначены компетентному персоналу (см. 7.5.8).

Меры, выбранные и реализованные в рамках программы измерений, следует непосредственно связывать с функционированием СМИБ, другими мерами измерений, а также процессами основной деятельности организации. Измерения могут быть интегрированы в обычные процессы функционирования или могут выполняться через постоянные интервалы времени, определенные руководством СМИБ.

5.3 Факторы успеха

Ниже перечислены некоторые факторы, способствующие успеху программы измерений в содействии непрерывному совершенствованию СМИБ:

a) поддержка со стороны руководства, подкрепляемая соответствующими ресурсами;

b) наличие процессов и процедур СМИБ;

c) воспроизводимый процесс, способный фиксировать и сообщать значимые данные для выведения важных тенденций за некий период времени;

d) меры безопасности, основанные на целях СМИБ, эффективность которых может быть оценена количественно;

e) легко получаемые данные, которые могут быть использованы для измерений;

f) оценивание эффективности программы измерений и реализация намеченных улучшений;

g) последовательный периодический сбор, анализ и четкое представление результатов измерений;

h) использование результатов измерений соответствующими заинтересованными сторонами для выявления потребностей в совершенствовании реализованной СМИБ, включая сферу ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры;

i) получение ответной реакции на результаты измерений от соответствующих заинтересованных сторон;

j) оценивание полезности результатов измерений и реализация намеченных усовершенствований.

После успешной реализации программа измерений может:

1) продемонстрировать выполнение организацией применимых правовых или нормативных требований и договорных обязательств;

2) способствовать выявлению ранее необнаруженных или неизвестных проблем информационной безопасности;

3) содействовать удовлетворению потребностей руководства в отчетности, когда определены меры измерений завершенных и текущих видов деятельности;

4) использоваться в качестве источника данных для процесса менеджмента риска информационной безопасности, внутренних аудитов СМИБ и проводимых руководством проверок.

5.4 Модель измерений

Примечание - Понятия "модель измерений" и "конструктивные элементы измерений", принятые в настоящем стандарте, основаны на понятиях, установленных в ИСО/МЭК 15939. Термин "информационный продукт" ("information product"), используемый в ИСО/МЭК 15939, является синонимом термина "результаты измерений" ("measurement results") настоящего стандарта, а термин "процесс измерений" ("measurement process"), используемый в ИСО/МЭК 15939, является синонимом термина "программа измерений" ("measurement programme") настоящего стандарта.

5.4.1 Общие положения

Модель измерений представляет собой структуру, связывающую информационную потребность с соответствующими объектами измерений и их атрибутами. В число объектов могут входить планируемые и реализованные процессы, процедуры, проекты и ресурсы.

Модель измерений описывает, как соответствующие атрибуты количественно оцениваются и преобразуются в показатели, служащие основой для принятия решений. Модель измерений показана на рисунке 2.

В дальнейших подпунктах описываются отдельные элементы модели. Также в них приводятся примеры использования этих отдельных элементов.

Информационные потребности или цель измерений, используемые в примерах, содержащихся в таблицах 1-4, заключаются в оценке состояния осведомленности соответствующего персонала о соответствии политике безопасности организации (см. А.8.2 "Цель применения мер и средств контроля и управления" приложения А, а также А.8.2.1 и А.8.2.2 "Меры и средства контроля и управления" приложения А ИСО/МЭК 27001:2005).

5.4.2 Основная мера измерения и метод измерений

Основная мера измерения является самой простой мерой, которая может быть получена. Основная мера измерения является результатом применения метода измерений к выбранным атрибутам объекта измерений. У объекта измерения может быть множество атрибутов, но лишь некоторые из них могут предоставлять полезные значения, которые могут быть присвоены основной мере измерения. Один и тот же атрибут может использоваться для нескольких различных основных мер измерений.

Метод измерений - это логическая последовательность операций, используемых для количественной оценки атрибута по отношению к заданной шкале. Операция может включать в себя такие действия, как подсчет событий или наблюдение за ходом времени.

Метод измерений должен основываться на атрибутах объекта измерений. Примерами объектов измерений наряду с прочим могут служить:

- результативность мер и средств контроля и управления, реализованных в СМИБ;

- состояние информационных активов, защищенных мерами и средствами контроля и управления;

- результативность процессов, реализованных в СМИБ;

- поведение персонала, ответственного за реализацию СМИБ;

- деятельность подразделений организации, ответственных за информационную безопасность;

- степень удовлетворенности заинтересованных сторон.

Метод измерений может использовать объекты измерений и атрибуты из разнообразных источников, таких как:

- результаты анализа риска и оценки риска;

- анкеты и личные беседы;

- отчеты о внутренних и (или) внешних аудитах;

- документированную информацию о событиях, например, протоколы, статистические данные отчетов и журналы регистрации;

- сообщения об инцидентах, особенно о тех, вследствие которых был причинен ущерб;

- результаты тестирования, например, полученные в результате тестирования на проникновение, использования социальной инженерии, инструментальных средств обеспечения соответствия, а также инструментальных средств аудита безопасности;

- документированную информацию, полученную из процедур и программ организации, связанных с обеспечением информационной безопасности, например, результаты программ обучения, направленных на повышение осведомленности об информационной безопасности.

В таблицах 1 - 4 показано применение модели информационной безопасности для следующих мер и средств контроля и управления:

- "мера и средство контроля и управления 2" - ссылается на меру и средство контроля и управления по А.8.2.1 "Обязанности руководства", приложение А ИСО/МЭК 27001:2005 ("Руководство организации должно требовать, чтобы сотрудники, подрядчики и пользователи сторонней организации были ознакомлены с правилами и процедурами обеспечения мер безопасности в соответствии с установленными требованиями"). "Мера и средство контроля и управления 2" реализуется следующим образом: "Весь персонал, имеющий отношение к СМИБ, должен быть ознакомлен с соответствующими обязательствами пользователей до получения доступа к информационной системе";

- "мера и средство контроля и управления 1" - ссылается на меру и средство контроля и управления по А.8.2.2 "Осведомленность, обучение и переподготовка в области информационной безопасности", приложение А ИСО/МЭК 27001:2005 ("Все сотрудники организации и, при необходимости, подрядчики и пользователи сторонних организаций должны проходить соответствующее обучение и переподготовку в целях регулярного получения информации о новых требованиях правил и процедур организации безопасности, необходимых для выполнения ими должностных функций"). "Мера и средство контроля и управления 1" реализуется следующим образом: "Весь персонал, имеющий отношение к СМИБ, до получения доступа к информационной системе должен пройти обучение, направленное на повышение осведомленности в сфере информационной безопасности".

Соответствующие конструктивные элементы измерений содержатся в В.1 (приложение В).

Примечание - Таблицы 1 - 4 состоят из столбцов (таблица 1 - из четырех столбцов, таблицы 2 - 4 - из трех), обозначенных буквенным идентификатором. Каждый блок, находящийся в пределах отдельных столбцов, обозначен числовым идентификатором. Комбинации из буквы и числового идентификатора используются в последующих блоках для ссылки на предыдущие блоки. Стрелками обозначены потоки данных между отдельными элементами модели измерений в рамках конкретного примера.

Пример взаимосвязей между объектом измерений, атрибутом, методом измерений и основной мерой измерения при измерении объектов, установленных для реализованных мер и средств контроля и управления, описанных выше, представлен в таблице 1.

Таблица 1 - Пример основной меры измерения и метода измерения

5.4.3 Производная мера измерения и функция измерения

Производная мера измерения является комбинацией двух или более основных мер измерений. Данная основная мера измерения может служить в качестве входных данных для нескольких производных мер измерения.

Функцией измерения является вычисление, используемое для комбинирования основных мер измерения, с целью получения производной меры измерения.

Шкала и единица измерения производной меры измерения зависят от шкал и единиц измерения основных мер измерения, на основе которых она получена, а также от того, как они комбинировались функцией измерения.

Функция измерения может использовать разнообразные методы, такие как вычисление среднего значения основных мер измерений, применение весовых коэффициентов к основным мерам измерений или присвоение основным мерам измерений качественных значений. Функция измерения может объединять основные меры измерений, используя разные значения шкалы, например, процентные соотношения и результаты качественных оценок.

Пример взаимосвязи других элементов при использовании модели измерений, т. е. основная мера измерения, функция измерения и производная мера измерения, приведен в таблице 2.

Таблица 2 - Пример производной меры измерения и метода измерения

5.4.4 Показатели и аналитическая модель

Показатель является мерой, дающей качественную или количественную оценку определенных атрибутов, полученную на основе аналитической модели в отношении определенной информационной потребности. Показатели получают путем применения аналитической модели к основной и (или) производной мере измерений и комбинирования их с использованием критериев принятия решений. Шкала и метод измерения влияют на выбор аналитических методов, используемых для получения показателей.

Пример взаимосвязи между производными мерами измерений, аналитической моделью и показателями для применения модели измерений приведен в таблице 3.

Таблица 3 - Пример показателя и аналитической модели

Примечание - Если показатель представлен в графической форме, то должна быть предусмотрена возможность его использования лицами с ограничениями по зрению, а также в случае изготовления монохромных копий. С этой целью описание показателя должно охватывать использование цвета, штриховки и полутонов, шрифты и другие способы визуального представления.

5.4.5 Результаты измерений и критерии принятия решений

Результаты измерений формируются путем интерпретации применимых показателей на основе определенных критериев принятия решений и должны рассматриваться в контексте общих целей измерения эффективности СМИБ. Критерии принятия решений используются для того, чтобы определить необходимость действия или дальнейшего исследования и характеризовать степень уверенности в результатах измерения. Критерии принятия решений могут применяться для ряда показателей, например, для проведения анализа трендов на основе показателей, полученных в разные моменты времени.

Целевые значения задают детализированные требования результативности, применимые к организации или ее частям, выведенные из целей информационной безопасности, таких как цели СМИБ и цели применения мер и средств контроля и управления, которые должны быть установлены и выполнены для достижения этих целей.

Пример взаимосвязей конечных элементов применения модели измерений (т.е. показателя, критериев принятия решений и результатов измерений) приведен в таблице 4.

Таблица 4 - Пример взаимосвязей конечных элементов применения модели измерений

6 Обязанности руководства

6.1 Общие положения

В обязанности руководства входит установление программы измерений с привлечением соответствующих заинтересованных сторон (см. 7.5.8) к видам деятельности по измерению с использованием результатов измерений в качестве входных данных для осуществляемой руководством проверки и с использованием результатов измерений в видах деятельности по улучшению в рамках СМИБ.

Для достижения этого руководству следует:

a) установить цели программы измерений;

b) установить политику программы измерений;

c) установить роли и обязанности в отношении программы измерений;

d) обеспечить адекватные ресурсы для проведения измерений, включая персонал, финансирование, инструментальные средства и инфраструктуру;

e) обеспечить достижение целей программы измерений;

f) обеспечить поддержание инструментальных средств и оборудования, используемых для сбора данных, в надлежащем состоянии;

g) установить цель измерения для каждого конструктивного элемента измерений;

h) обеспечить, чтобы измерения предоставляли заинтересованным сторонам достаточное количество информации, касающейся эффективности СМИБ и потребностей в усовершенствовании реализованной СМИБ, включая сферу ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры;

i) обеспечить, чтобы измерения предоставляли достаточное количество информации заинтересованным сторонам относительно эффективности мер и средств контроля и управления и их групп, а также потребности в совершенствовании реализованных мер и средств контроля и управления.

Посредством соответствующего распределения связанных с измерениями ролей и обязанностей руководство должно обеспечить, чтобы на результаты измерений не оказывали влияния владельцы информации (см. 7.5.8). Этого можно достичь разделением обязанностей или, если это невозможно, использованием подробной документации, делающей возможными независимые проверки.

6.2 Менеджмент ресурсов

Руководству следует выделить и предоставить ресурсы для поддержки ключевых видов деятельности, связанных с такими измерениями, как сбор, анализ, хранение, регистрация и распространение данных. При распределении ресурсов следует установить:

a) лиц, ответственных за все аспекты программы измерений;

b) соответствующую финансовую поддержку;

c) соответствующую инфраструктурную поддержку, например, физическую инфраструктуру и инструментальные средства, используемые для осуществления процесса измерений.

Примечание - В 5.2.1 ИСО/МЭК 27001:2005 установлено требование обеспечения ресурсов для реализации и функционирования СМИБ.

6.3 Обучение, осведомленность и компетентность, связанные с измерениями

Руководство организации должно обеспечить:

a) обучение должным образом заинтересованных сторон (см. 7.5.8) для успешного выполнения их ролей и обязанностей и соответствующую квалификацию;

b) понимание заинтересованных сторон того, что в их обязанности входит внесение предложений по совершенствованию реализованной программы измерений.

7 Разработка измерений и мер измерений

7.1 Общие положения

Настоящий раздел представляет собой руководство по разработке измерений и мер измерений с целью оценки эффективности реализованной СМИБ и мер и средств контроля и управления и их групп, а также формирования характерных для организации совокупностей конструктивных элементов измерений. Виды деятельности, необходимые для разработки измерений и мер измерений, следует устанавливать и документировать, используя:

a) определение области применения измерений (см. 7.2);

b) выявление информационной потребности (см. 7.3);

c) выбор объекта измерений и его атрибутов (см. 7.4);

d) разработку конструктивных элементов измерений (см. 7.5);

e) применение конструктивных элементов измерений (см. 7.6);

f) установление процессов и инструментальных средств сбора и анализа данных (см. 7.7);

g) определение подхода к реализации измерений и документации (см. 7.8).

При установлении этих видов деятельности организации следует учитывать финансовые, кадровые и инфраструктурные (физические и связанные с инструментальными средствами) ресурсы.

7.2 Определение области применения измерений

В зависимости от возможностей и ресурсов организации первоначальная область деятельности организации в части измерений, связанных с информационной безопасностью, может быть ограничена такими элементами, как специфические меры и средства контроля и управления, информационные активы, защищенные специфическими мерами и средствами контроля и управления, специфические виды деятельности, направленные на обеспечение информационной безопасности, которым руководство присваивает наивысший приоритет. С течением времени область применения видов деятельности, связанных с измерениями, будет расширяться для того, чтобы рассматривать дополнительные компоненты реализованной СМИБ, а также меры и средства контроля и управления и их группы, учитывая приоритеты заинтересованных сторон.

Необходимо, чтобы были определены соответствующие заинтересованные стороны, которым следует принимать участие в определении области применения измерений. Соответствующие заинтересованные стороны могут быть внутренними или внешними по отношению к подразделениям организации, например, руководителями проектов, администраторами информационных систем или лицами, принимающими решения по обеспечению информационной безопасности. Специфические результаты измерений эффективности отдельных мер и средств контроля и управления и их групп следует определять и доводить до сведения соответствующих заинтересованных сторон.

Организация может рассмотреть ограничение числа результатов измерений, о которых должно быть сообщено лицам, принимающим решения в течение конкретного периода времени, с тем чтобы обеспечить им возможность влиять на совершенствование СМИБ, основанное на сообщенных результатах измерений. Чрезмерное число сообщенных результатов измерений будет влиять на возможность лица, принимающего решения, фокусировать усилия и назначать приоритеты для будущих видов деятельности по совершенствованию. Приоритеты рассмотрения результатов измерений следует основывать на важности соответствующих информационных потребностей и связанных с ними целей СМИБ.

Примечание - Область применения измерений относится к сфере применения СМИБ, установленной в соответствии с перечислением а) 4.2.1 ИСО/МЭК 27001:2005.

7.3 Выявление информационной потребности

Каждому конструктивному элементу измерений должна соответствовать, по меньшей мере, определенная информационная потребность. Пример информационной потребности, описываемой в начальной точке как цель измерения и завершающейся получением критериев, необходимых для принятия решения, представлен в приложении А.

Для выявления значительных информационных потребностей следует выполнить следующие действия:

a) исследовать СМИБ и ее процессы, такие как:

1) политика и цели СМИБ, цели применения мер и средств контроля и управления, а также меры и средства контроля и управления,

2) правовые, нормативные, договорные и организационные требования обеспечения информационной безопасности,

3) результаты процесса менеджмента риска информационной безопасности по ИСО/МЭК 27001;

b) назначать приоритеты выявленным информационным потребностям на основе критериев, таких как:

1) приоритеты обработки риска,

2) возможности и ресурсы организации,

3) интересы заинтересованных сторон,

4) политика информационной безопасности,

5) информация, необходимая для удовлетворения правовых, нормативных и договорных требований,

6) ценность информации, касающейся стоимости измерений;

c) выбирать подмножество информации, подлежащей рассмотрению в видах деятельности, связанных с измерениями, из списка приоритетов;

d) документировать информационные потребности и сообщать о них всем соответствующим заинтересованным сторонам.

Все необходимые меры измерения, применяемые для реализованной СМИБ, для мер и средств контроля и управления и их групп следует реализовывать в соответствии с установленными информационными потребностями.

7.4 Выбор объекта и атрибута

Объект измерений и его атрибуты следует определять в общем контексте и сфере применения СМИБ. Следует заметить, что объект измерений может иметь несколько применимых атрибутов.

Объект и его атрибуты, которые применяются при измерении, следует выбирать на основе приоритетов соответствующих информационных потребностей.

Значения, которые должны присваиваться соответствующей основной мере измерения, получают путем применения надлежащего метода измерения к выбранным атрибутам. Этот выбор должен также обеспечивать, чтобы:

- соответствующая основная мера измерения и надлежащий метод измерения могли быть определены;

- значимые результаты измерений могли быть выведены на основе полученных значений и разработанных мер измерений.

По характеристикам выбранных атрибутов определяют, какой вид метода измерений необходимо использовать для получения значений, которые придаются основным мерам измерений (например, качественные или количественные).

Выбранный объект и атрибуты следует документировать наряду с логическим обоснованием выбора.

Данные, характеризующие объект измерения и соответствующие атрибуты, следует использовать в качестве значений, которые присваиваются основным мерам измерений. Примерами объектов измерений могут служить:

- продукты и услуги;

- процессы;

- используемые активы, такие как оборудование, прикладные программы и информационные системы в соответствии с ИСО/МЭК 27001:2005 (см. А.7.1.1 "Инвентаризация активов" приложения А);

- основные подразделения организации;

- географическое местоположение;

- услуги сторонней организации.

Атрибуты следует анализировать для обеспечения того, чтобы:

a) были выбраны соответствующие атрибуты для измерений;

b) был определен сбор данных, обеспечивающий представление достаточного числа атрибутов, с тем чтобы сделать возможным эффективное измерение.

Следует выбирать только те атрибуты, которые являются подходящими для соответствующей основной меры измерения. Хотя при выборе атрибутов необходимо учитывать степень сложности получения атрибутов для измерения, измерение не должно проводиться только на легко получаемых данных или легко измеряемых атрибутах.

7.5 Разработка конструктивных элементов измерений

7.5.1 Краткий обзор

В подразделе 7.5 рассматривается разработка конструктивных элементов измерений (см. 7.5.2 "Выбор меры" - 7.5.8 "Заинтересованные стороны").

7.5.2 Выбор меры измерения

Необходимо определить меры измерений, которые могли бы удовлетворять потребность в выбранной информации. Определяемые меры измерений должны быть сформулированы достаточно подробно для того, чтобы сделать возможным выбор мер измерений, подлежащих реализации. Вновь определяемые меры измерений могут включать в себя адаптацию существующей меры измерений.

Примечание - Определение основных мер измерений тесно связано с определением объектов измерения и их атрибутов.

Необходимо выбирать определяемые меры измерений, которые имели бы возможность удовлетворять потребность в выбранной информации. Следует также учитывать информацию контекста, необходимую для интерпретации или нормализации мер измерений.

Примечание - Для рассмотрения специфической информационной потребности могут быть выбраны многие различные комбинации мер измерений (т. е. основные меры измерений, производные меры измерений и показатели).

Выбранные меры измерений должны отражать приоритет информационных потребностей. Ниже перечислены критерии, которые могут быть использованы при выборе мер измерений:

- простота сбора данных;

- доступность кадровых ресурсов для сбора и управления данными;

- доступность соответствующих инструментальных средств;

- число потенциально подходящих показателей, поддерживаемых основной мерой измерения;

- простота интерпретации;

- число пользователей разработанных результатов измерений;

- доказательство адекватности меры измерения для цели или информационной потребности;

- расходы на сбор, управление и анализ данных.

7.5.3 Метод измерения

Для каждой отдельной основной меры измерения должен быть определен метод измерения. Метод измерения используется для того, чтобы количественно определять объект измерения путем придания атрибутам значения, которое придается основной мере измерения.

Метод измерения может быть субъективным или объективным. Субъективные методы основаны на количественной оценке с использованием суждения человека, тогда как объективные методы используют количественную оценку, основанную на математических правилах, таких как подсчет, который может быть реализован вручную или машинным способом.

Метод измерения количественно определяет атрибуты как значения посредством применения соответствующей шкалы. Для каждой шкалы используются свои единицы измерения. Только величины, выраженные в одних и тех же единицах измерения, являются напрямую сравнимыми.

Для каждого метода измерений следует устанавливать и документировать процесс верификации. Верификация должна обеспечивать уровень доверия значению, которое достигается применением метода измерений к атрибуту объекта измерения и назначается для основной меры измерения. Если необходимо установить достоверное значение, инструментальные средства, используемые для получения атрибутов, должны быть стандартизированы и проверены в установленные промежутки времени.

Следует принимать во внимание точность метода измерения и фиксировать связанное с ним отклонение или несоответствие.

Метод измерения должен оставаться единообразным в течение времени, с тем чтобы значения, приданные основной мере измерения, полученные в разное время, были сопоставимыми и были также сопоставимыми значения, приданные производной мере измерения и показателю.

7.5.4 Функция измерения

Для каждой отдельной производной меры измерения следует определять функцию измерения, которая применяется к двум или более значениям, приданным основным мерам измерения. Эта функция измерения используется для преобразования значений, приданных двум или более основным мерам измерения, в значение, которое должно быть придано производной мере измерения. В некоторых случаях основная мера измерения может обеспечивать входные данные непосредственно для аналитической модели в дополнение к производной мере измерения.

Функция измерения (например, вычисление) может включать в себя разнообразные приемы, такие как усреднение, присвоение качественных значений или применение весовых коэффициентов для значений, придаваемых основным мерам измерений, перед их объединением в значение, которое должно придаваться производной мере измерения. Функция измерения может комбинировать значения, придаваемые основным мерам измерений, используя различные шкалы, такие, например, как процентные отношения и результаты качественной оценки.

7.5.5 Аналитическая модель

Для каждого показателя следует определять аналитическую модель с целью преобразования одного или более значений, придаваемых основной и (или) производной мере измерения в значение, придаваемое показателю.

Аналитическая модель комбинирует соответствующие меры измерений таким способом, который дает результат, являющийся значимым для заинтересованных сторон.

При определении аналитической модели также следует рассматривать критерии принятия решений, применяемые к показателю.

Иногда аналитическая модель может быть настолько простой, что может заключаться в преобразовании единственного значения, приданного производной мере измерения, в значение, которое должно быть придано показателю.

7.5.6 Показатели

Значения, которые должны быть приданы показателям, определяются объединением значений, приданных производной мере измерения, и интерпретацией этих значений на основе критериев принятия решения. Для каждого показателя, о котором будет проинформирован заказчик измерения, следует определять формат представления показателя как часть форматов отчетности (см. 7.7).

Форматы представления показателя наглядно изображают меры измерений и дают словесное толкование показателям. Форматы представления показателя должны быть адаптированы так, чтобы удовлетворять потребности заказчика в информации.

7.5.7 Критерии принятия решений

Критерии принятия решений, соответствующие каждому показателю, следует определять и документировать на основе целей информационной безопасности для предоставления рекомендаций, обладающих исковой силой, для заинтересованных сторон. В этих рекомендациях следует рассматривать ожидаемые результаты прогресса и пороговые значения первоначальных улучшающих действий, основанных на показателях.

Критерии принятия решений устанавливают цель, в соответствии с которой определяется успех (см. 5.3) и даются рекомендации по интерпретации показателя относительно приближения к цели.

Необходимо, чтобы цели были определены для каждого элемента, касающегося выполнения процессов СМИБ и мер и средств контроля и управления, выполнения задач и для эффективности СМИБ, подлежащей оцениванию.

Руководство организации может принять решение не устанавливать цели для показателей, пока не будут собраны начальные данные. После того как будут определены корректирующие действия, основанные на начальных данных, могут быть определены соответствующие критерии принятия решений и этапы реализации, реальные для конкретной СМИБ. Если в тот момент критерии принятия решений не могут быть установлены, руководство должно оценить, обеспечат ли объекты измерения и соответствующие меры измерений ожидаемое значение для организации.

Установление критериев принятия решений может быть облегчено, если данные за прошлый период, относящиеся к созданию или выбору мер измерений, являются доступными. Тенденции, наблюдаемые в прошлом, дадут представление о существовавших ранее диапазонах функционирования и рекомендации по созданию реалистичных критериев принятия решений. Критерии принятия решений могут быть вычислены или основаны на концептуальном понимании ожидаемого поведения. Критерии принятия решений могут быть получены из данных за прошлый период, планов и эвристик или вычислены как пределы статистического контроля или пределы статистической достоверности.

7.5.8 Заинтересованные стороны

Для каждой основной и (или) производной меры измерения должны быть определены и документированы соответствующие заинтересованные стороны. В число заинтересованных сторон могут входить:

a) заказчики измерений: руководство или другие заинтересованные стороны, которые запрашивают или требуют информацию об эффективности СМИБ, мер и средств контроля и управления и их групп;

b) контролер измерения: лицо или подразделение организации, которое подтверждает, что разработанные конструктивные элементы измерений являются соответствующими для оценки эффективности СМИБ, мер и средств контроля и управления и их групп;

c) владелец информации: лицо или подразделение организации, которое владеет информацией об объектах измерения и атрибутах и является ответственным за измерения;

d) сборщик информации: лицо или подразделение организации, отвечающее за сбор, фиксирование и хранение данных;

e) субъект, отвечающий за передачу информации: лицо или подразделение организации, отвечающее за проведение анализа данных и сообщение о результатах измерения.

7.6 Конструктивные элементы измерений

Конструктивные элементы измерения должны включать в себя, как минимум, следующую информацию:

a) назначение измерения;

b) цель применения меры и средства контроля и управления, которой следует достичь с помощью мер и средств контроля и управления, а также специфических мер и средств контроля и управления, их групп, и процесса СМИБ, подлежащего измерению;

c) объект измерения;

d) данные, подлежащие сбору и использованию;

e) процессы сбора и анализа данных;

f) процесс, касающийся отчетности о результатах измерений и включающий в себя форматы отчетности;

g) роли и обязанности соответствующих заинтересованных сторон;

h) цикл проверки измерения для того, чтобы удостовериться в его полезности относительно информационной потребности.

Типовая форма конструктивных элементов измерений, включающая в себя информацию по перечислениям а) - h), приведена в приложении А. Примеры конструктивных элементов измерений, применяемых для измерения процессов и мер и средств контроля и управления СМИБ, приведены в приложении В.

7.7 Сбор, анализ и распространение данных

Необходимо устанавливать процедуры сбора и анализа данных, а также процессы распространения результатов разработанных измерений. При необходимости также следует устанавливать поддерживающие инструментальные средства, оборудование и технологию измерений. Эти процедуры, инструментальные средства, оборудование и технология измерений предназначены для следующих видов деятельности:

a) сбор данных, включая хранение и верификацию данных (см. 8.3). Процедуры должны определять то, каким образом должны собираться данные при использовании метода измерений, функции измерений и аналитической модели, а также, как и где они будут храниться вместе с какой-либо контекстной информацией, необходимой для понимания и верификации данных. Верификация данных может осуществляться посредством проверки данных относительно контрольного перечня, который создается для подтверждения того, что объем недостающих данных является минимальным, а значение, которое должно придаваться каждой мере измерения, - действительным.

Примечание - Верификация значений, которые должны придаваться основным мерам измерения, тесно связана с верификацией метода измерений (см. 7.5.3);

b) анализ данных и распространение результатов разработанных измерений. Процедуры должны точно определять способы анализа данных (см. 9.2), частоту, формат и методы сообщения результатов измерений. Должен быть определен диапазон инструментальных средств, которые могут потребоваться для выполнения анализа данных.

Примеры форматов сообщения включают в себя:

- протоколы результатов для предоставления стратегической информации путем интеграции высокоуровневых показателей;

- исполнительные и операционные инструментальные панели, менее сосредоточенные на стратегических целях и более связанные с эффективностью определенных мер и средств контроля и управления, а также процессов;

- отчеты, от простых и статических по характеру, таких как список мер измерений за данный период времени, до более сложных отчетов с перекрестными ссылками, имеющих вложенные группировки, скользящие таблицы итогов, динамическое углубление в данные или связывание. Отчеты лучше всего использовать, если пользователю нужно просматривать исходные данные в удобном для чтения формате;

- показатели для представления динамических значений данных, включая предупреждения, дополнительные графические элементы и маркировку конечных точек.

7.8 Реализация и документирование измерений

Общий подход к измерениям следует отразить в плане реализации. В план реализации следует включать, как минимум, следующую информацию:

a) реализация программы измерений для организации;

b) спецификация измерений, включая:

1) общие конструктивные элементы измерений организации,

2) специфические конструктивные элементы измерений организации,

3) определение диапазона и процедур для сбора и анализа данных;

c) календарный план выполнения видов деятельности, связанных с измерениями;

d) регистрационные данные, формируемые во время выполнения видов деятельности, связанных с измерениями, включая регистрационные данные о собранных сведениях и их анализ;

e) форматы сообщения о результатах измерений, подлежащих сообщению руководству / заинтересованным сторонам (см. раздел 7 "Анализ со стороны руководства" ИСО/МЭК 27001:2005).

8 Процесс измерений

8.1 Общие положения

Процесс измерений, связанных с информационной безопасностью, включает в себя виды деятельности, являющиеся важными для предоставления в результатах разработанных измерений точной информации, касающейся эффективности реализованной СМИБ, мер и средств контроля и управления и их групп, а также необходимости соответствующих действий по совершенствованию.

Эта стадия включает в себя:

a) интеграцию процедур измерений в общий процесс СМИБ;

b) сбор, хранение и верификацию данных.

8.2 Интеграция процедур

Программа измерений должна быть полностью интегрирована в СМИБ и использована ею. Процедуры измерения должны быть скоординированы с видами деятельности в рамках СМИБ, включая:

a) определение и документирование ролей, полномочий и обязанностей, относящихся к разработке, реализации и поддержке измерений, связанных с информационной безопасностью;

b) сбор данных, а при необходимости, изменение текущего процесса СМИБ для согласования видов деятельности по генерации и сбору данных;

c) сообщение об изменениях в деятельностях по сбору данных соответствующим заинтересованным сторонам;

d) поддержку компетентности сборщиков информации и понимания ими необходимых видов данных, инструментальных средств сбора данных и процедур сбора данных;

e) разработку политик и процедур, определяющих использование измерений в рамках организации, распространение связанной с измерениями информации, аудит и проверку программы измерений;

f) интеграцию анализа и сообщения данных в соответствующие процессы для обеспечения регулярного функционирования этих процессов;

g) мониторинг, анализ и оценивание результатов измерений;

h) создание процесса постепенной замены существующих мер измерений новыми в целях обеспечения их актуальности для организации;

i) установление процесса определения и поддержки сроков хранения архивных данных, необходимых для анализа трендов и динамки изменений.

8.3 Сбор, хранение и верификация данных

Деятельности, связанные со сбором, хранением и верификацией данных, включают в себя:

a) сбор необходимых данных через постоянные интервалы времени с использованием назначенного метода измерения;

b) документирование сбора данных, которое должно содержать:

1) дату, время и место сбора данных,

2) сборщика информации,

3) владельца информации,

4) любые вопросы, возникающие во время сбора данных, которые могут быть полезными,

5) информацию для верификации данных и валидации измерений;

c) верификацию собранных данных с использованием критериев выбора мер измерения и критериев валидации из конструктивных элементов измерений.

Собранные данные и любая необходимая контекстная информация должны быть сгруппированы и сохранены в форме, подходящей для анализа данных.

9 Анализ данных и отчетность по результатам измерений

9.1 Общие положения

Собранные данные следует анализировать для изложения результатов измерений, а информацию об изложенных результатах измерений необходимо распространять. Эта деятельность включает в себя:

a) анализ данных и изложение результатов измерений;

b) сообщение о результатах измерений соответствующим заинтересованным сторонам.

9.2 Анализ данных и изложение результатов измерений

Собранные данные следует анализировать и интерпретировать с точки зрения критериев принятия решений. До проведения анализа данные могут быть агрегированы, трансформированы или перекодированы. Во время выполнения этой задачи обрабатываемые данные должны сформировать значения соответствующих показателей. Может быть применено несколько методов анализа. Глубина анализа должна определяться характером данных и информационной потребностью.

Примечание - Руководство по проведению статистического анализа можно найти в ИСО/ТО 10017 (Руководство по статистическим методам ИСО 9001).

Результаты анализа данных необходимо интерпретировать. Лицо, анализирующее результаты (субъект, ответственный за передачу информации), должно быть достаточно компетентным для того, чтобы делать некоторые первоначальные выводы на основе этих результатов. Однако, поскольку субъект(ы), ответственный(е) за передачу информации, может(гут) быть не напрямую вовлечен(ы) в технические и управленческие процессы, то такие выводы должны проверять и другие заинтересованные стороны. Все интерпретации должны учитывать контекст мер измерения.

Анализ данных должен определять расхождения между ожидаемыми и фактическими результатами измерения реализованной СМИБ, мер и средств контроля и управления и их групп. Выявленные расхождения будут указывать на необходимость совершенствования реализованной СМИБ, включая сферу ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры.

Следует определять показатели, демонстрирующие несоответствие или недостаточную эффективность, которые могут быть классифицированы следующим образом:

a) несостоятельность плана по обработке риска в отношении реализации или достаточной реализации, эксплуатации и менеджмента мер и средств контроля и управления или процессов СМИБ (например, угрозы могут обходить меры и средства контроля и управления и процессы СМИБ);

b) несостоятельность оценки риска:

1) меры и средства контроля и управления или процессы СМИБ являются неэффективными, поскольку они недостаточны как для противостояния оцененным угрозам (например, по причине недооценки правдоподобия угроз), так и для противостояния новым угрозам,

2) меры и средства контроля и управления или процессы СМИБ не реализованы по причине незамеченных угроз.

Отчеты, которые используются для сообщения информации о результатах измерений соответствующим заинтересованным сторонам, следует подготавливать, используя соответствующие форматы сообщения (см. 7.7), в соответствии с планом реализации программы измерений.

Заключения по результатам анализа должны проверяться соответствующими заинтересованными сторонами для обеспечения надлежащей интерпретации данных. Результаты анализа данных следует документировать для сообщения заинтересованным сторонам.

9.3 Распространение результатов измерений

Лицу или подразделению организации, передающему информацию, следует решить, каким образом результаты измерений, связанных с информационной безопасностью, распространять, в т. ч. определять:

- о каких результатах измерений необходимо сообщать внутри организации и вне ее пределов;

- перечень мер измерений, соответствующих отдельным лицам и заинтересованным сторонам;

- результаты специфических измерений, которые должны быть предоставлены, и вид представления, приспособленные к потребностям каждой группы;

- способ получения обратной связи от заинтересованных сторон, который следует использовать для оценивания полезности результатов измерений и эффективности программы измерений.

Информацию о результатах измерений следует сообщать ряду внутренних заинтересованных сторон, помимо прочих включая в нее:

- заказчиков измерений (см. 7.5.8);

- владельцев информации (см. 7.5.8);

- персонал, в обязанности которого входит менеджмент риска информационной безопасности, особенно там, где выявлены ошибки в оценке риска;

- персонал, который несет ответственность за выявленные области, требующие совершенствования.

В некоторых случаях может потребоваться, чтобы организация распространяла отчеты с результатами измерений среди внешних сторон, включая регулирующие органы, акционеров, заказчиков измерений и поставщиков. Рекомендуется, чтобы отчеты с результатами измерений, подлежащие внешнему распространению, содержали только предназначенные для внешнего использования данные и утверждались руководством и соответствующими заинтересованными сторонами перед их выпуском.

10 Оценивание и совершенствование программы измерений

10.1 Общие положения

Организация через запланированные интервалы времени должна оценивать:

а) эффективность реализованной программы измерений для обеспечения уверенности в том, что она:

1) представляет результаты измерений эффективным образом,

2) выполняется, как было запланировано,

3) рассматривает изменения в реализованной СМИБ и (или) мерах и средствах контроля и управления,

4) рассматривает изменения в среде (например, требований, законов или технологии);

b) полезность изложенных результатов измерений для обеспечения уверенности в том, что они удовлетворяют соответствующие потребности в информации.

Руководство должно точно определить частоту повторений таких оцениваний, периодических проверок плана и устанавливать механизмы для возможности выполнения таких проверок (см. 7.2 ИСО/МЭК 27001:2005).

Соответствующими видами деятельности, являются:

1) определение критериев оценивания для программы измерений (см. 10.2);

2) мониторинг, проверка и оценивание измерений (см. 10.3);

3) реализация совершенствований (см. 10.4).

10.2 Определение критериев оценивания программы измерений

Организации следует определять критерии оценивания эффективности программы измерений, а также пригодности результатов измерений. Критерии следует определять в начале реализации программы измерений, принимая в расчет контекст технических целей и целей основной деятельности организации.

Если организации следует оценивать и совершенствовать программу измерений, то наиболее применимыми критериями являются:

- изменение целей основной деятельности организации;

- изменения законодательных или нормативных требований и договорных обязательств, связанных с информационной безопасностью;

- изменения требований организации, связанных с информационной безопасностью;

- изменения, связанные с рисками информационной безопасности организации;

- повышение доступности более детализированные или подходящих данных и/или методов сбора данных для целей проведения измерений;

- изменение объекта измерений и (или) его атрибутов.

Для оценивания изложенных результатов измерений могут применяться следующие критерии:

a) результаты измерений являются:

1) легкими для понимания,

2) распространенными своевременно,

3) объективными, сравнимыми и повторяемыми;

b) установленные процессы для изложения результатов измерений являются:

1) правильно определенными,

2) легко выполняемыми,

3) надлежащим образом соблюдаемыми;

c) результаты измерений являются полезными для повышения информационной безопасности;

d) результаты измерений адресованы соответствующим информационным потребностям.

10.3 Мониторинг, проверка и оценивание программы измерений

Организации следует осуществлять мониторинг, проверку и оценивание своей программы измерений по отношению к установленным критериям (см. 10.2).

Организации следует выявлять возможную потребность в совершенствовании программы измерений, включая:

a) обновление или отмену применяемых конструктивных элементов измерений, ставших неактуальными;

b) перераспределение ресурсов для поддержки программы измерений.

Организации следует также выявлять возможную потребность в совершенствовании реализованной СМИБ, включая область ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры, и документировать решения руководства, чтобы сделать возможным сравнение и анализ тенденций во время последующих проверок.

О результатах такого оценивания и выявленной возможной потребности в совершенствовании следует информировать соответствующие заинтересованные стороны для принятия решений, касающихся необходимых усовершенствований.

Организации следует обеспечивать, чтобы заинтересованные стороны стремились к установлению обратной связи по результатам такого оценивания и выявленной возможной потребности в усовершенствовании. Организации следует понимать, что обратная связь является одним из аспектов, способствующих эффективности программы измерений.

10.4 Реализация совершенствований

Организации следует обеспечить, чтобы важные заинтересованные стороны установили необходимые совершенствования программы измерений [см. 7.3, перечисление е) ИСО/МЭК 27001:2005]. Установленные совершенствования должны быть одобрены руководством. Одобренные планы совершенствования следует документировать и информировать о них соответствующие заинтересованные стороны.

Организации следует обеспечивать реализацию утвержденных усовершенствований программы измерений, как было запланировано.

Для выполнения этих усовершенствований организация может применять методы управления проектом.

______________________________

* См. 3.9.

** В контексте настоящего стандарта термин "measure" следует понимать как "мера измерения".

*** Далее - модель измерений.

Библиография

[1]	ISO 9000:2005*,	Quality management systems - Fundamentals and vocabulary
[2]	ISO/IEC 27002:2005	Information technology - Security techniques - Code of practice for information security management
[3]	ISO/IEC 15504-3:2004	Information technology - Process assessment - Part 3: Guidance on performing an assessment
[4]	ISO/IEC 15939:2007	Systems and software engineering - Measurement process
[5]	ISO/IEC 27005:2008	Information technology - Security techniques - Information security risk management
[6]	ISO/TR 10017:2003*	Guidance on statistical techniques for ISO 9001:2000
[7]	ISO Guide 99:2007*	International vocabulary of metrology - Basic and general concepts and associated terms (VIM)
[8]	N 1ST Special Publication 800-55, Revision 1, Performance Measurement Guide for I information Security, July 2008.
[9]	ISO/IEC TR 18044:2004*	Information technology - Security techniques - Information security incident management