Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение В
(справочное)
Примеры конструктивных элементов измерений
В приведенных ниже пунктах представлены примеры конструктивных элементов измерений, предназначенные для того, чтобы наглядно показать, каким образом применять настоящий стандарт, используя типовую форму, представленную в приложении А.
Содержание
Обучение, связанное со СМИБ |
|
Персонал, получивший обучение, связанное со СМИБ |
|
Обучение обеспечению информационной безопасности |
|
Соответствие политике осведомленности в отношении информационной безопасности |
|
Политики паролей |
|
Качество паролей, генерируемых вручную |
|
Качество паролей, генерируемых автоматизированным способом |
|
Процесс проверки СМИБ |
|
Непрерывное улучшение СМИБ |
|
Эффективность менеджмента инцидентов информационной безопасности |
|
Реализация корректирующих действий |
|
Обязательства руководства |
|
Защита от вредоносных программ |
|
Меры и средства контроля и управления физическим доступом |
|
Анализ журналов регистрации |
|
Менеджмент периодического технического обслуживания |
|
Вопросы безопасности в соглашениях со сторонними организациями |
Взаимосвязанные процессы и меры и средства контроля и управления (пункт или номер меры и средства контроля и управления в приложении А ИСО/МЭК 27001) |
Примеры взаимосвязанных конструктивных элементов измерений (ссылка в настоящем приложении) |
Названия примеров конструктивных элементов измерений |
Пункт 4.2.2, перечисление h) |
Эффективность менеджмента инцидентов информационной безопасности |
|
Пункт 5.2.2, перечисление d) |
Персонал, получивший обучение, связанное со СМИБ |
|
Пункт 8.2 |
Реализация корректирующих действий |
|
Мера и средство контроля и управления по А.6.1.8 приложения А |
Процесс проверки СМИБ |
|
Мера и средство контроля и управления по А.6.1.1 и А.6.1.2 приложения А |
Обязательства руководства |
|
Мера и средство контроля и управления по А.6.2.3 приложения А |
Вопросы безопасности в соглашениях со сторонними организациями |
|
Мера и средство контроля и управления по А.8.2 и А.8.2.2 приложения А |
Обучение обеспечению информационной безопасности |
|
Мера и средство контроля и управления по А.9.1.2 приложения А |
Меры и средства контроля и управления физическим доступом |
|
Мера и средство контроля и управления по А.9.2.4 приложения А |
Менеджмент периодического технического обслуживания |
|
Мера и средство контроля и управления по А.10.4.1 приложения А |
Защита от вредоносных программ |
|
Мера и средство контроля и управления по А.10.10.1 и А.10.10.2 приложения А |
Анализ журналов регистрации |
|
Мера и средство контроля и управления по А.11.3.1 приложения А |
Качество паролей, генерируемых вручную |
|
Мера и средство контроля и управления по А.11.3.1 приложения А |
Качество паролей, генерируемых автоматизированным способом |
В.1 Обучение, связанное со СМИБ
В.1.1 Персонал, получивший обучение, связанное со СМИБ
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Персонал, получивший обучение, связанное со СМИБ |
Числовой идентификатор |
Характерный для организации |
Назначение конструктивного элемента измерений |
Для установления соответствия меры и средства контроля и управления политике информационной безопасности организации |
Цель применения процесса меры и средства контроля и управления |
Пункт 5.2.2 [ИСО/МЭК 27001:2005]. Подготовка, осведомленность и квалификация персонала |
Мера и средство контроля и управления (1) / процесс (1) |
Пункт 5.2.2, перечисление d) [ИСО/МЭК 27001:2005]. Подготовка, осведомленность и квалификация персонала. Организация должна обеспечить необходимую квалификацию персонала, на который возложены обязанности выполнения задач в рамках СМИБ путем: d) ведение записей об образовании, подготовке, навыках, опыте и квалификации сотрудников |
Мера и средство контроля и управления (2)/процесс (2) |
Дополнительно: другие меры и средства контроля и управления в пределах группы, включенной в ту же меру измерения, если это применимо (запланированную или реализованную) |
Объект измерения и атрибуты | |
Объект измерения |
База данных сотрудников |
Атрибут |
Записи, касающиеся обучения |
Спецификация основной меры измерения(1) | |
Основная мера измерения |
Число сотрудников, получивших обучение, связанное со СМИБ, в соответствии с ежегодным планом обучения, связанного со СМИБ. Число сотрудников, которые должны получить обучение, связанное со СМИБ |
Метод измерения |
Подсчет в журналах регистрации/реестрах сведений о сфере обучения/последовательности обучения, связанной со СМИБ, с пометкой "Получено" |
Вид метода измерения |
Объективный |
Шкала |
Числовая |
Вид шкалы |
Шкала отношений |
Единица измерения |
Сотрудник |
Спецификация производной меры измерения | |
Производная мера измерения |
Выраженная в процентах численность персонала, получившего обучение, связанное со СМИБ |
Функция измерения |
Разделить число сотрудников, получивших обучение, связанное со СМИБ, на число сотрудников, которые должны получить обучение, связанное со СМИБ, и умножить на 100 |
Спецификация показателя | |
Показатель |
Использование цветовой кодировки с цветовыми идентификаторами. Гистограмма, изображающая соответствие за несколько отчетных периодов относительно пороговых значений (красный, желтый, зеленый), определяемых аналитической моделью. Число отчетных периодов, которые будут использоваться в диаграмме, должно определяться организацией |
Аналитическая модель |
0%-60% - красный цвет; 60%-90% - желтый; 90%-100% - зеленый. В отношении желтого цвета (если не достигается), по крайней мере, увеличение значения на 10% за квартал, оценка автоматически становится красной |
Спецификация критериев принятия решений | |
Критерии принятия решения |
Красный цвет - требуется вмешательство: должен быть проведен анализ для определения причин несоответствия и плохого функционирования. Желтый цвет - за показателем следует внимательно наблюдать на предмет возможного "сползания" к красному цвету. Зеленый цвет - никаких действий не требуется |
Результаты измерений | |
Интерпретация показателя |
Характерная для организации |
Форматы отчетности |
Гистограмма с цветовой кодировкой столбцов на основе критериев принятия решения. К гистограмме должно прилагаться краткое изложение того, что означает мера измерения, и возможных действий руководства |
Заинтересованные стороны | |
Заказчик измерения |
Руководители, отвечающие за СМИБ |
Контролер измерения |
Руководители, отвечающие за СМИБ |
Владелец информации |
Руководитель, отвечающий за обучение, - штат сотрудников |
Сборщик информации |
Менеджмент обучения - отдел кадров |
Субъект, ответственный за передачу информации |
Руководители, отвечающие за СМИБ |
Частота/период | |
Частота сбора данных |
Ежемесячно/первый рабочий день месяца |
Частота анализа данных |
Ежеквартально |
Частота сообщения результатов измерений |
Ежеквартально |
Пересмотр измерений |
Ежегодно проводить проверку |
Период измерений |
Ежегодно |
В.1.2 Обучение обеспечению информационной безопасности
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Обучение обеспечению информационной безопасности |
Числовой идентификатор |
Характерный для организации |
Назначение конструктивного элемента измерения |
Для оценивания соответствия необходимости ежегодного обучения, направленного на повышение осведомленности в отношении информационной безопасности |
Цель применения меры и средства контроля и управления / процесса |
А.8.2 приложения А [ИСО/МЭК 27001:2005] Работа по трудовому договору. Цель: обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации осведомлены об угрозах и проблемах информационной безопасности, их ответственности и обязательствах, ознакомлены с правилами и обучены процедурам для поддержания мер безопасности организации при выполнении ими своих служебных обязанностей и снижения риска человеческого фактора для информационной безопасности |
Мера и средство контроля и управления (1)/процесс (1) |
А.8.2.2 приложения А [ИСО/МЭК 27001:2005] Осведомленность, обучение и переподготовка в области информационной безопасности. Все сотрудники организации и, при необходимости, подрядчики и пользователи сторонних организаций должны проходить соответствующее обучение и переподготовку в целях регулярного получения информации о новых требованиях правил и процедур организации безопасности, необходимых для выполнения ими должностных функций |
Объект измерения и атрибуты | |
Объект измерения |
База данных сотрудников |
Атрибуты |
Записи, касающиеся обучения |
Спецификация основной меры измерения (1) | |
Основная мера измерения |
Число сотрудников, получивших ежегодное обучение, направленное на повышение осведомленности в отношении информационной безопасности. Число сотрудников, которые должны получить ежегодное обучение, направленное на повышение осведомленности в отношении информационной безопасности |
Метод измерения |
Подсчет в журналах регистрации/реестрах сведений, относящихся к ежегодному обучению сотрудников, направленному на повышение осведомленности в отношении информационной безопасности, с пометкой "получено" |
Вид метода измерения |
Объективный |
Шкала |
Числовая |
Вид шкалы |
Шкала отношений |
Единица измерения |
Сотрудник |
Спецификация производной меры измерения | |
Производная мера измерения |
Выраженная в процентах численность персонала, получившего ежегодное обучение, направленное на обеспечение осведомленности в отношении информационной безопасности |
Функция измерения |
Разделить число сотрудников, получивших ежегодное обучение, направленное на повышение осведомленности в отношении информационной безопасности, на число сотрудников, которые должны получить ежегодное обучение, направленное на повышение осведомленности в отношении информационной безопасности, и умножить на 100 |
Спецификация показателя | |
Показатель |
Гистограмма, отображающая соответствие пороговым значениям (красный, желтый, зеленый, с цветовыми идентификаторами), за несколько отчетных периодов, определяемых аналитической моделью. Число отчетных периодов, которые будут использоваться в диаграмме, должно определяться организацией |
Аналитическая модель |
0%-60% - красный цвет; 60%-90% - желтый цвет; 90%-100% - зеленый цвет. В отношении желтого цвета, если не достигается увеличение значения, по крайней мере, на 10% за квартал, то оценка автоматически становится красной |
Спецификация критериев принятия решений | |
Критерии принятия решений |
Красный цвет - требуется вмешательство: должен быть проведен анализ для определения причин несоответствия и плохого функционирования. Желтый цвет - за показателем следует внимательно наблюдать на предмет возможного "сползания" к красному цвету. Зеленый цвет - никаких действий не требуется |
Интерпретация показателя |
Характерная для организации |
Форматы отчетности |
Гистограмма с цветовой кодировкой столбцов на основе критериев принятия решений. К этой столбчатой диаграмме должно прилагаться краткое изложение того, что означает мера измерения, и возможных действий руководства |
Заинтересованные стороны | |
Заказчик измерения |
Руководители, отвечающие за СМИБ. Менеджмент безопасности. Менеджмент обучения |
Контролер измерения |
Руководитель, отвечающий за безопасность |
Владелец информации |
Лицо, ответственное за информационную безопасность, и руководитель, отвечающий за обучение |
Сборщик информации |
Менеджмент обучения - отдел кадров |
Субъект, ответственный за передачу информации |
Руководители, отвечающие за СМИБ |
Частота/период | |
Частота сбора данных |
Ежемесячно, в первый рабочий день месяца |
Частота анализа данных |
Ежеквартально |
Частота сообщения результатов измерений |
Ежеквартально |
Пересмотр измерений |
Ежегодно проводить проверку |
Период измерений |
Ежегодно |
В.1.3 Соответствие политике осведомленности в отношении информационной безопасности
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Соответствие политике осведомленности в отношении информационной безопасности |
Числовой идентификатор |
Характерный для организации |
Назначение конструктивного элемента измерения |
Для оценки состояния соответствия политике осведомленности в отношении информационной безопасности среди соответствующего персонала |
Цель применения меры и средства контроля и управления/процесса |
А.8.2 приложения А [ИСО/МЭК 27001:2005] Работа по трудовому договору. Обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации осведомлены об угрозах и проблемах информационной безопасности, об их ответственности и обязательствах, ознакомлены с правилами и обучены процедурам для поддержки мер безопасности организации при выполнении ими своих служебных обязанностей и для снижения риска человеческого фактора для информационной безопасности |
Мера и средство контроля и управления (1)/процесс (1) |
А.8.2.2 приложения А [ИСО/МЭК 27001:2005] Все сотрудники организации и, при необходимости, подрядчики и пользователи сторонних организаций должны проходить соответствующее обучение и переподготовку в целях регулярного получения информации о новых требованиях правил и процедур организации безопасности, необходимых для выполнения ими должностных функций. Реализация: весь персонал, имеющий отношение к СМИБ, должен получать обучение, направленное на повышение осведомленности об информационной безопасности, до получения доступа к информационной системе. Обучение включает в себя ... |
Мера и средство контроля и управления (2)/процесс (2) |
А.8.2.1 приложения А [ИСО/МЭК 27001:2005] Руководство организации должно требовать, чтобы сотрудники, подрядчики и пользователи сторонней организации были ознакомлены с правилами и процедурами обеспечения мер безопасности в соответствии с установленными требованиями. Реализация: весь персонал, имеющий отношение к СМИБ, должен подписывать пользовательские обязательства до получения доступа к информационной системе |
Объект измерения и атрибуты | |
Объект измерения |
1.1 План/график обучения, способствующий осведомленности в сфере информационной безопасности. 1.2 Персонал, завершивший обучение или находящийся в процессе обучения. 2.1 План/график подписания пользовательских обязательств. 2.2 Персонал, подписавший пользовательские обязательства |
Атрибуты |
1.1 Персонал, включенный в план обучения. 1.2 Состояние персонала в отношении обучения. 2.1 Персонал, включенный в план/график подписания. 2.2 Состояние персонала в отношении подписания пользовательских обязательств |
Спецификация основной меры измерения | |
Основная мера измерения |
1.1 Численность персонала, который должен пройти обучение и подписать пользовательские обязательства к установленному сроку. 1.2 Численность персонала, подписавшего пользовательские обязательства. 2.1 Численность персонала, включенного в план/график подписания пользовательских обязательств к установленному сроку. 2.2 Численность персонала, подписавшего пользовательские обязательства к установленному сроку |
Метод измерения |
1.1 Подсчет численности персонала, включенного в план/график подписания пользовательских обязательств и завершившего обучение к установленному сроку. 1.2 Опрос ответственного лица о процентном показателе завершивших обучение из числа персонала, подписавшего пользовательские обязательства. 2.1 Подсчет численности персонала, включенного в план/график подписания пользовательских обязательств к установленному сроку. 2.2 Подсчет численности персонала, подписавшего пользовательские обязательства |
Вид метода измерения |
1.1 Объективный. 1.2 Субъективный. 2.1 Объективный. 2.2 Объективный |
Шкала |
1.1 Целые числа от нуля до бесконечности. 1.2 Целые числа от нуля до ста. 2.1 Целые числа от нуля до бесконечности. 2.2 Целые числа от нуля до бесконечности |
Вид шкалы |
1.1 Порядковая. 1.2 Шкала отношений. 2.1 Порядковая. 2.2 Порядковая |
Единица измерения |
1.1 Персонал. 1.2 Значение в процентах. 2.1 Персонал. 2.2 Персонал |
Спецификация производной меры измерения | |
Производная мера измерения |
1 Ход выполнения на данный момент. 2 Ход выполнения подписания пользовательских обязательств к установленному сроку |
Функция измерения |
1 Суммировать состояние всего персонала, подписавшего пользовательские обязательства и запланированного к завершению обучения к установленному сроку. 2 Разделить значение [численность персонала, подписавшего пользовательские обязательства на данный момент] на значение [численность персонала, включенного в план/график подписания пользовательских обязательств к установленному сроку] |
Спецификация показателя | |
Показатель |
a) состояние, выраженное как комбинация показателей; b) тренд |
Аналитическая модель |
a) разделить [достигнутый к установленному сроку прогресс] на [численность персонала, запланированного к установленному сроку, умноженную на 100] и достигнутый к установленному сроку прогресс в отношении подписания пользовательских обязательств; b) сравнить состояние с предыдущими значениями |
Спецификация критериев принятия решений | |
Критерии принятия решений |
a) итоговые показатели должны располагаться между 0,9 и 1,1 и между 0,99 и 1,01 для принятия решения о достижении цели применения мер и средств контроля и управления соответственно; вмешательство руководства не требуется; b) тренд должен быть восходящим или стабильным |
Результаты измерений | |
Интерпретация показателя |
Интерпретация показателя по перечислению а) должна быть следующей: - критерии организации на соответствие политике осведомленности о безопасности организации были реализованы удовлетворительно, если первый показатель и второй показатель (набраны прямым шрифтом); - критерии организации были реализованы неудовлетворительно, если первый показатель < 0,9 или первый показатель > 1,1 и второй показатель (набраны курсивом); - критерии организации не были реализованы, если второй показатель < 0,99 или второй показатель > 1,01 (набраны полужирным шрифтом). Интерпретация показателя по перечислению b) должна быть следующей: - тренд повышения указывает на улучшенное соответствие, тренд понижения указывает на ухудшенное соответствие. Порядок изменения тренда может способствовать пониманию эффективности реализации мер и средств контроля и управления. Резкие изменения в любом направлении показывают, что реализация мер и средств контроля и управления требует пристального изучения, чтобы установить их причину. Негативные тренды могут потребовать вмешательства руководства. Позитивные тренды следует изучать с целью определения возможных наилучших практик |
Форматы отчетности |
Прямой шрифт - критерии были реализованы удовлетворительно. Курсив - критерии были реализованы неудовлетворительно. Полужирный шрифт - критерии не были реализованы |
Заинтересованные стороны | |
Заказчик измерения |
Руководители, отвечающие за СМИБ. Менеджмент безопасности. Менеджмент обучения |
Контролер измерения |
Руководитель, отвечающий за безопасность |
Владелец информации |
Лицо, ответственное за информационную безопасность, и руководитель, отвечающий за обучение |
Сборщик информации |
Менеджмент обучения - отдел кадров |
Субъект, ответственный за передачу информации |
Руководители, отвечающие за СМИБ |
Частота/период | |
Частота сбора данных |
Ежемесячно, в первый рабочий день месяца |
Частота проведения исследования данных |
Ежеквартально |
Частота сообщения результатов измерений |
Ежеквартально |
Пересмотр измерений |
Ежегодно проводить проверку |
Период измерений |
Ежегодно |
В.2 Политики паролей
В.2.1 Качество паролей, генерируемых вручную
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Качество паролей |
Числовой идентификатор |
Характерный для организации |
Назначение конструктивного элемента измерения |
Для оценки качества паролей, применяемых пользователями для доступа к системам ИТ организации |
Цель применения меры и средства контроля и управления/процесса |
Предотвратить выбор пользователями небезопасных паролей |
Мера и средство контроля и управления (1)/процесс (1) |
А.11.3.1 приложения А [ИСО/МЭК 27001:2005] Пользователи должны соблюдать правила безопасности при выборе и использовании паролей. Реализация: все пользователи должны выбирать надежные пароли для каждой системы: 1) длиной более восьми знаков; 2) не основанные на том, что можно легко отгадать или получить при использовании информации, связанной с личностью, например, на именах, телефонных номерах, датах рождения и т. п.; 3) не состоящие из слов, включенных в словари; 4) не содержащих следующих один за другим идентичных, полностью цифровых или полностью буквенных знаков. Все имена учетных записей и пароли пользователей для систем ИТ организации должны контролироваться системой обеспечения/контроля деятельности сотрудников |
Объект измерения и атрибуты | |
Объект измерения |
База данных паролей пользователей |
Атрибуты |
Личные пароли |
Спецификация основной меры измерения | |
Основная мера измерения |
1 Число зарегистрированных паролей. 2 Число паролей, которые соответствуют политике качества паролей организации для каждого пользователя |
Метод измерения |
1 Подсчет числа паролей в базе данных паролей пользователей. 2 Опрос каждого пользователя о том, какое число паролей соответствует политике паролей организации |
Вид метода измерения |
1 Объективный. 2 Субъективный |
Шкала |
1 Целые числа от нуля до бесконечности. 2 Целые числа от нуля до бесконечности |
Вид шкалы |
1 Порядковая. 2 Порядковая |
Единица измерения |
1 Пароли. 2 Пароли |
Спецификация производной меры измерения | |
Производная мера измерения |
Общее число паролей, соответствующее политике качества паролей организации |
Функция измерения |
Сумма числа паролей каждого пользователя, соответствующая политике качества паролей организации |
Спецификация показателя | |
Показатель |
a) Показатель для паролей, которые реализованы в соответствии с политикой качества паролей организации; b) тренд состояния соответствия относительно политики качества паролей |
Аналитическая модель |
a) Разделить общее число паролей, соответствующих политике качества паролей организации, на число зарегистрированных паролей; b) сравнить показатель с предыдущим показателем |
Спецификация критериев принятия решений | |
Критерии принятия решений |
Цель применения мер и средств контроля и управления достигнута, и никакое действие не требуется, если результирующий показатель превышает 0,9. Если результирующий показатель находится в диапазоне между 0,8 и 0,9, то цель применения мер и средств контроля и управления не достигнута, однако позитивный тренд указывает на улучшение. Если результирующий показатель меньше 0,8, то следует принять немедленные меры |
Результаты измерений | |
Интерпретация показателя |
Интерпретация показателя по перечислению а) должна быть следующей: - критерии организации на соответствие политике паролей организации реализованы удовлетворительно при показателе > 0,9; - критерии организации на соответствие политике паролей организации реализованы неудовлетворительно при [ показатель ]; - критерии организации на соответствие политике паролей организации не реализованы при показателе < 0,8. Интерпретация показателя по перечислению Ь) должна быть следующей: - восходящий тренд показывает улучшенное соответствие; нисходящий тренд показывает ухудшенное соответствие; - порядок изменения тренда может способствовать пониманию эффективности реализованных мер и средств контроля и управления; - негативный тренд может потребовать дополнительных мер и средств контроля и управления, таких как осведомленность, или технических средств для того, чтобы заставлять выбирать надежные пароли или периодически менять пароли; - позитивные тренды следует изучать для того, чтобы оценивать необходимые сроки реализации политики паролей, начиная с текущего результирующего показателя. Влияние/воздействие нереализованных критериев приводит к повышающемуся риску конфиденциальности. К возможным причинам отклонения относятся: недостаточная осведомленность о безопасности, технические недостатки реализации и нехватка времени для реализации на всех системах ИТ |
Форматы отчетности |
Линия тренда, которая отображает число паролей, соответствующих политике качества паролей организации, наложенная на линии тренда, полученные в течение предыдущих периодов отчетности |
Заинтересованные стороны | |
Заказчик измерения |
Руководители, отвечающие за СМИБ. Руководитель, отвечающий за безопасность |
Контролер измерения |
Менеджмент безопасности |
Владелец информации |
Системный администратор |
Сборщик информации |
Персонал, отвечающий за безопасность |
Субъект, ответственный за передачу информации |
Персонал, отвечающий за безопасность |
Частота/период | |
Частота сбора данных |
Ежегодно |
Частота проведения исследования данных |
Ежегодно |
Частота сообщения результатов измерений |
Ежегодно |
Пересмотр измерений |
Проверка и обновление каждый год |
Период измерений |
Один раз в год |
В.2.2 Качество паролей, генерируемых автоматизированным способом
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Качество паролей |
Числовой идентификатор |
Характерный для организации |
Назначение конструктивного элемента измерения |
Для оценки качества паролей, применяемых пользователями для доступа к системам ИТ организации |
Цель применения меры и средства контроля и управления/процесса |
Предотвратить выбор пользователями небезопасных паролей |
Мера и средство контроля и управления (1)/процесс (1) |
А.11.3.1 приложения А [ИСО/МЭК 27001:2005] Пользователи должны соблюдать правила безопасности при выборе и использовании паролей. Реализация: все пользователи должны выбирать надежные пароли для каждой системы: 1) длина которых более восьми знаков; 2) не основанные на том, что можно легко отгадать или получить при использовании информации, связанной с личностью, например, на именах, телефонных номерах, датах рождения и т. п.; 3) не состоящие из слов, включенных в словари; 4) не содержащих следующих один за другим идентичных, полностью цифровых или полностью буквенных знаков. Все имена учетных записей и пароли пользователей для систем ИТ организации должны контролироваться системой обеспечения/контроля деятельности сотрудников. Надежность паролей должна проверяться с использованием программного обеспечения по тестированию качества паролей |
Объект измерения и атрибуты | |
Объект измерения |
База данных, содержащая имена учетных записей сотрудников |
Атрибуты |
Личные пароли, хранящиеся в системных учетных записях сотрудников |
Спецификация основной меры измерения | |
Основная мера измерения |
1 Общее число паролей. 2 Общее число качественных паролей |
Метод измерения |
1 Запуск запроса об учетных записях сотрудников. 2 Запуск инструмента тестирования качества паролей к системным учетным записям сотрудников, использующего гибридную атаку |
Вид метода измерения |
1 Объективный. 2 Субъективный |
Шкала |
1 Целые числа от нуля до бесконечности. 2 Целые числа от нуля до бесконечности |
Вид шкалы |
1 Порядковая. 2 Порядковая |
Единица измерения |
1 Пароли. 2 Пароли |
Спецификация производной меры измерения | |
Производная мера измерения |
Отсутствует |
Функция измерения |
Отсутствует |
Спецификация показателя | |
Показатель |
1 Показатель паролей, взломанных в течение 4 ч. 2 Тренд отношения 1 |
Аналитическая модель |
a) разделить [число качественных паролей] на [общее число паролей]; b) сравнить показатель с предыдущим показателем |
Спецификация критериев принятия решений | |
Критерии принятия решений |
Цель применения мер и средств контроля и управления достигнута, и никакое действие не требуется, если результирующий показатель превышает 0,9. Если результирующий показатель находится в диапазоне между 0,8 и 0,9, то цель применения мер и средств контроля и управления не достигнута, однако позитивный тренд указывает на улучшение. Если результирующий показатель меньше 0,8, то следует принять немедленные меры |
Результаты измерений | |
Интерпретация показателя |
Интерпретация показателя по перечислению а) должна быть следующей: - критерии организации на соответствие политике паролей организации реализованы удовлетворительно при показателе > 0,9; - критерии организации на соответствие политике паролей организации реализованы неудовлетворительно при [ показатель ]; - критерии организации на соответствие политике паролей организации не реализованы при показателе < 0,8. Интерпретация показателя по перечислению b) должна быть следующей: - восходящий тренд указывает на улучшенное соответствие; нисходящий тренд указывает на ухудшенное соответствие; - порядок изменения тренда может способствовать пониманию эффективности реализованных мер и средств контроля и управления; - позитивные тренды следует изучать для того, чтобы оценивать необходимые сроки реализации политики паролей, начиная с текущего результирующего показателя. Влияние/воздействие нереализованных критериев приводит к повышающемуся риску компрометации паролей, что может привести к несанкционированному доступу к системе. К возможным причинам отклонения относятся недостаточная осведомленность о безопасности, технические недостатки реализации и нехватка времени для реализации на всех системах ИТ |
Форматы отчетности |
Линия тренда, которая отображает возможность взлома паролей для всех протестированных записей, наложенная на линии трендов, полученных в течение предыдущих тестов |
Заинтересованные стороны | |
Заказчик измерения |
Руководители, отвечающие за СМИБ. Руководитель, отвечающий за безопасность |
Контролер измерения |
Менеджмент безопасности |
Владелец информации |
Системный администратор |
Сборщик информации |
Персонал, отвечающий за безопасность |
Субъект, ответственный за передачу информации |
Персонал, отвечающий за безопасность |
Частота/период | |
Частота сбора данных |
Еженедельно |
Частота проведения исследования данных |
Еженедельно |
Частота сообщения результатов измерений |
Еженедельно |
Пересмотр измерений |
Проверка и обновление каждый год |
Период измерений |
Один раз в три года |
В.3 Процесс проверки СМИБ
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Процесс проверки СМИБ |
Числовой идентификатор |
Характерный для организации |
Назначение конструктивного элемента измерения |
Для оценки уровня выполнения независимого анализа информационной безопасности |
Цель применения меры и средства контроля и управления/процесса |
Менеджмент информационной безопасности в пределах организации |
Мера и средство контроля и управления (1)/процесс (1) |
А.6.1.8 приложения А [ИСО/МЭК 27001:2005] Порядок организации и управления информационной безопасностью и ее реализация (например, изменение целей и мер управления, политики, процессов и процедур обеспечения информационной безопасности) должны быть подвергнуты независимой проверке (аудиту) через определенные промежутки времени или при появлении существенных изменений в способах реализации мер безопасности. Реализация: подход организации к менеджменту информационной безопасности и его реализации проверяется консультантом по безопасности сторонней организации ежеквартально |
Объект измерения и атрибуты | |
Объект измерения |
1 Отчеты о проверках, проводимых сторонней организацией. 2 Планы проверок, проводимых сторонней организацией |
Атрибуты |
1 Представленный отчет о проверках, проводимых сторонней организацией. 2 Запланированные проверки, проводимые сторонней организацией |
Спецификация основной меры измерения | |
Основная мера измерения |
1 Число проверок, проведенных сторонней организацией. 2 Общее число проверок, запланированных к проведению сторонней организацией |
Метод измерения |
1 Подсчет числа отчетов о регулярных проверках, проведенных сторонней организацией. 2 Подсчет общего числа проверок, запланированных к проведению сторонней организацией |
Вид метода измерения |
1 Объективный. 2 Объективный |
Шкала |
1 Целые числа от нуля до бесконечности. 2 Целые числа от нуля до бесконечности |
Вид шкалы |
1 Порядковая. 2 Порядковая |
Единица измерения |
1 Анализ. 2 Анализ |
Спецификация производной меры измерения | |
Производная мера измерения |
Отсутствует |
Функция измерения |
Отсутствует |
Спецификация показателя | |
Показатель |
Показатель хода завершенных независимых проверок |
Аналитическая модель |
Разделить [число проведенных сторонней организацией проверок] на [общее число проверок, запланированных к проведению сторонней организацией] |
Спецификация критериев принятия решений | |
Критерии принятия решений |
Результирующее значение показателя должно находиться, в основном, между 0,8 и 1,1 для достижения цели применения мер и средств контроля и управления и чтобы не потребовалось принимать никаких мер. Оно должно превышать 0,6, если не выполняется основное условие |
Результаты измерений | |
Интерпретация показателя |
Интерпретация показателя должна быть следующей: - критерии организации, касающиеся менеджмента информационной безопасности в рамках организации в течение анализа, проводившегося сторонней организацией, были реализованы удовлетворительно при показатель ; - критерии организации были реализованы неудовлетворительно при [0,6 показатель < 0,8 или при показателе > 1,1]. Для того чтобы убедиться в том, что соответствующее продвижение сделано, требуется проведение мониторинга; - критерии организации не реализованы при [ показатель < 0,6]. Для того чтобы убедиться в том, что соответствующий прогресс осуществляется, требуется проведение мониторинга. Если в конце второго квартала показатель по перечислению а) является неудовлетворительным, необходимо принять корректирующие меры и проинформировать руководство, отвечающее за СМИБ. Если в конце года показатель по перечислению а) является неудовлетворительным, следует проинформировать высшее руководство и попросить его поддержки Влиянием/воздействием нереализованных критериев является неэффективный процесс проверки, осуществляемый руководством. К возможным причинам отклонения относятся: недостаточный бюджет, ненадлежащее планирование и невыполнение критических обязательств персоналом/руководством |
Форматы отчетности |
Гистограмма, отражающая соответствие пороговым значениям в течение нескольких отчетных периодов, определенных критериями принятия решений |
Заинтересованные стороны | |
Заказчик измерения |
Руководители, отвечающие за СМИБ. Руководитель системы качества |
Контролер измерения |
Руководители, отвечающие за СМИБ |
Владелец информации |
Руководители, отвечающие за СМИБ |
Сборщик информации |
Внутренний аудитор. Руководитель по качеству |
Субъект, ответственный за передачу информации |
Внутренний аудитор. Руководители системы качества, отвечающие за СМИБ |
Частота/период | |
Частота сбора данных |
Ежеквартально |
Частота проведения исследования данных |
Ежеквартально |
Частота сообщения результатов измерений |
Ежеквартально |
Пересмотр измерений |
Проверка и обновление каждые два года |
Период измерений |
Один раз в два года |
В.4 Непрерывное улучшение СМИБ
В.4.1 Эффективность менеджмента инцидентов информационной безопасности
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Эффективность менеджмента инцидентов информационной безопасности |
Числовой идентификатор |
Характерный для организации |
Назначение конструктивного элемента измерения |
Для оценки эффективности менеджмента инцидентов информационной безопасности |
Цель применения меры и средства контроля и управления/процесса |
Создание возможности быстрого обнаружения событий, связанных с безопасностью, и реагирование на инциденты безопасности |
Мера и средство контроля и управления (1)/процесс (1) |
Пункт 4.2.2, перечисление h) [ИСО/МЭК 27001:2005] |
Объект измерения и атрибуты | |
Объект измерения |
СМИБ |
Атрибуты |
Отдельный инцидент |
Спецификация основной меры измерения | |
Основная мера измерения |
Предварительно определенное пороговое значение |
Метод измерения |
Подсчет числа случаев возникновения инцидентов информационной безопасности, о которых сообщено к установленному сроку |
Вид метода измерения |
Объективный |
Шкала |
Цифровая |
Вид шкалы |
Порядковая |
Единица измерения |
Инцидент |
Спецификация производной меры измерения | |
Производная мера измерения |
Инциденты, выходящие за пределы порогового значения |
Функция измерения |
Сравнение общего числа инцидентов с пороговым значением |
Спецификация показателя | |
Показатель |
Линейный график, отображающий непрерывную горизонтальную линию (линии), иллюстрирующую(ие) пороговое(ые) значение(я), и общее число инцидентов за несколько отчетных периодов |
Аналитическая модель |
Красный цвет используется, если общее число инцидентов превышает пороговое значение (выходит за линию); желтый - если общее число инцидентов находится в пределах 10% порогового значения; зеленый - если общее число инцидентов находится ниже порогового значения на 10% или более |
Спецификация критериев принятия решений | |
Критерии принятия решений |
Красный цвет - требуется немедленное исследование причин увеличения числа инцидентов. Желтый цвет - число инцидентов необходимо подвергнуть тщательной проверке и, если оно не изменяется в лучшую сторону, следует начать исследование. Зеленый цвет - никакого действия не требуется |
Результаты измерений | |
Интерпретация показателя |
Если красный цвет наблюдается в двух отчетных циклах, требуется проверка процедур менеджмента инцидентов для исправления существующих процедур или определения дополнительных процедур. Если характер изменения тренда в течение двух последующих отчетных периодов не меняется на противоположный, то требуются корректирующие меры, например, внесение предложения о расширении сферы применения СМИБ |
Форматы отчетности |
Линейный график |
Заинтересованные стороны | |
Заказчик измерения |
Комитет по управлению СМИБ. Руководители, отвечающие за СМИБ. Менеджмент безопасности. Менеджмент инцидентов |
Контролер измерения |
Руководители, отвечающие за СМИБ |
Владелец информации |
Руководители, отвечающие за СМИБ |
Сборщик информации |
Руководитель, отвечающий за менеджмент инцидентов |
Субъект, ответственный за передачу информации |
Комитет по управлению СМИБ |
Частота/период | |
Частота сбора данных |
Ежемесячно |
Частота проведения исследования данных |
Ежемесячно |
Частота сообщения результатов измерений |
Ежемесячно |
Пересмотр измерений |
Каждые шесть месяцев |
Период измерений |
Ежемесячно |
В.4.2 Реализация корректирующих действий
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Реализация корректирующих действий |
Числовой идентификатор |
Идентификатор, характерный для организации |
Назначение конструктивного элемента измерения |
Оценка эффективности реализации корректирующего действия |
Цель применения меры и средства контроля и управления/процесса |
Пункт 8.2 [ИСО/МЭК 27001:2005] "Корректирующие действия" Организация должна проводить мероприятия по устранению причин несоответствий требованиям СМИБ с целью предупреждения их повторного возникновения |
Мера и средство контроля и управления (1)/процесс (1) |
Документированная процедура корректирующего действия должна определять требования к: a) выявлению несоответствий; b) установлению причин несоответствий; c) оцениванию потребности в действиях для обеспечения того, чтобы несоответствия не возникали снова; d) определению и реализации необходимого корректирующего действия; e) регистрации результатов предпринятого действия (см. 4.3.3 ИСО/МЭК 27001:2005); f) проведению проверки предпринятого корректирующего действия. (Реализовано) Организация определяет требуемые корректирующие действия и выпускает отчет о корректирующем действии, документируя информацию, касающуюся несоответствия, его причины и срока выполнения предпринятого корректирующего действия. Требуется, чтобы после получения отчета руководитель, отвечающий за сферу, где было обнаружено несоответствие, обеспечил, чтобы действия по устранению обнаруженных несоответствий и их причин предпринимались без чрезмерной задержки. Если корректирующее действие не реализовано как требовалось, необходимо определить причину невыполнения, а также альтернативы первоначальному корректирующему действию, которое было установлено как соответствующее. Предпринятые действия следует документировать с соответствующей датой и результатами. Если корректирующее действие не реализовано как планировалось, то необходимо зафиксировать как причину этого, так и альтернативное действие. Отчет следует предоставлять руководителю, отвечающему за информационную безопасность |
Объект измерения и атрибуты | |
Объект измерения |
Отчеты о корректирующих действиях |
Атрибуты |
Срок выполнения корректирующего действия в отчете. Дата выполнения корректирующего действия в записи отчета. Причина задержки и невыполнения действия |
Спецификация основной меры измерения | |
Основная мера измерения |
1 Число корректирующих действий, запланированных на данный момент. 2 Число корректирующих действий, реализованных как планировалось, на данный момент. 3 Число корректирующих действий, не реализованных на данный момент по какой-либо причине |
Метод измерения |
1 Подсчет корректирующих действий, реализация которых запланирована на данный момент. 2 Подсчет корректирующих действий, зафиксированных как реализованные, с датой срока исполнения. 3 Подсчет корректирующих действий, зафиксированных как запланированные действия, но не выполненных по какой-либо причине |
Вид метода измерения |
1-3 Объективный |
Шкала |
1-3 Целые числа от нуля до бесконечности |
Вид шкалы |
1-3 Порядковая |
Единица измерения |
1-3 Корректирующее действие |
Спецификация производной меры измерения | |
Производная мера измерения |
a) Корректирующее действие, не реализованное к установленной дате; b) корректирующее действие, не реализованное без серьезной причины |
Функция измерения |
a) Вычесть [число корректирующих действий, выполненных как планировалось к установленному сроку] из [числа корректирующих действий, запланированных к установленному сроку]; b) вычесть [число корректирующих действий, не реализованных к установленному сроку] из [числа корректирующих действий, не выполненных как планировалось по какой-либо причине к установленному сроку] |
Спецификация показателя | |
Показатель |
a) Состояние, выраженное как показатель корректирующего действия, которое не реализовано; b) состояние, выраженное как показатель корректирующего действия, которое не реализовано без какой-либо причины; c) тренд состояний |
Аналитическая модель |
a) Разделить [число корректирующих действий, не реализованных к установленному сроку] на [количество корректирующих действий, запланированных к установленному сроку]; b) разделить [число корректирующих действий, не реализованных без какой-либо причины] на [число корректирующих действий, запланированных к установленному сроку]; c) сравнить состояние с предыдущими состояниями |
Спецификация критериев принятия решений | |
Критерии принятия решений |
Для того, чтобы сделать вывод о достижении цели и о том, что никакого действия не требуется, значения показателя по перечислению а) и показателя по перечислению Ь) должны находиться между 0,4 и 0,0 и между 0,2 и 0,0, соответственно, и тренд показателя по перечислению с) должен быть снижен в течение двух отчетных периодов. Показатель по перечислению с) должен быть представлен в сравнении с предыдущими показателями, с тем чтобы можно было изучать тренд в реализации корректирующего действия |
Результаты измерений | |
Интерпретация показателя |
Интерпретация показателя по перечислению а) и показателя по перечислению Ь) должна быть следующей: - запланированные корректирующие действия должны быть реализованы, если только не произошло изменения в приоритетах организации, что привело бы к необходимости реализации других корректирующих действий или перенаправления ресурсов, выделенных для реализации корректирующих действий. Если более 40% корректирующих действий не реализовано (независимо от причины), требуется вмешательство руководства. Если более 20% корректирующих действий не реализовано (без уважительной причины), требуется вмешательство руководства. Корректирующие действия, которые не были реализованы, следует изучать, с тем чтобы установить причину нереализации. В зависимости от общего процентного показателя нереализованных корректирующих действий и причин нереализации, может потребоваться дополнительное действие. Интерпретация показателя по перечислению с) должна быть следующей: - тенденцию в реализации корректирующих действий следует изучать на предмет выявления какого-либо общего ухудшения результативности или значительного ухудшения результативности; - если процентный показатель реализованных корректирующих действий устойчиво снижался за два последних отчетных периода, требуется вмешательство руководства, несмотря на отсутствие причин несоответствия. Влиянием/воздействием нереализованных критериев является возможное отсутствие непрерывного улучшения СМИБ. К возможным причинам могут относиться: нехватка ресурсов, ненадлежащее планирование, а также невыполнение критических обязательств персоналом и руководством |
Форматы отчетности |
Многоярусная гистограмма с кратким изложением результатов измерений, включая основные положения выводов и возможных действий руководства, отражающая общее число корректирующих действий, разделенных на реализованные, не реализованные при отсутствии серьезной причины и не реализованные по серьезной причине |
Заинтересованные стороны | |
Заказчик измерения |
Руководители, отвечающие за СМИБ. Руководитель по обеспечению информационной безопасности |
Контролер измерения |
Руководители, отвечающие за СМИБ |
Владелец информации |
Руководители, отвечающие за СМИБ |
Сборщик информации |
Руководители, отвечающие за СМИБ |
Субъект, ответственный за передачу информации |
Руководители, отвечающие за СМИБ |
Частота/период | |
Частота сбора данных |
Ежеквартально |
Частота проведения исследования данных |
Ежеквартально |
Частота сообщения результатов измерений |
Ежеквартально |
Пересмотр измерений |
Ежегодная проверка |
Период измерений |
Один год |
В.5 Обязательства руководства
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Частота проверок, проводимых руководством |
Числовой идентификатор |
Характерный для организации |
Назначение конструктивного элемента измерения |
Оценка обязательств руководства и действий по проверке информационной безопасности относительно действий по проводимой руководством проверке |
Цель применения меры и средства контроля и управления/процесса |
А.6.1 приложения А [ИСО/МЭК 27001:2005] Обеспечение управления информационной безопасностью в организации. (Запланировано) Осуществлять менеджмент информационной безопасности в пределах организации посредством регулярно проводимых руководством проверок |
Мера и средство контроля и управления (1)/процесс (1) |
А.6.1.1 приложения А [ИСО/МЭК 27001:2005] Обязанности руководства по обеспечению информационной безопасности. Руководство организации должно постоянно поддерживать заданный уровень информационной безопасности путем внедрения системы менеджмента, а также распределения обязанностей и ответственности персонала за ее обеспечение. (Реализовано) В организации должны ежемесячно проводиться заседания, касающиеся проводимых руководством проверок, для поддержки безопасности в пределах организации посредством четкого управления, демонстрируемых обязательств, точных поручений и подтверждения информационной безопасности. Проверку СМИБ, осуществляемую руководством, следует объединять с проверкой системы менеджмента качества , осуществляемой руководством |
Мера и средство контроля и управления (2)/процесс (2) |
А.6.1.2 приложения А [ИСО/МЭК 27001:2005] Координация вопросов обеспечения информационной безопасности. Действия по обеспечению информационной безопасности должны координироваться представителями различных подразделений организации, имеющими соответствующие функции и должностные обязанности. (Реализовано) Представителям различных подразделений, наделенным соответствующими ролями и обязанностями, следует координировать проводимые руководством проверки и участвовать в них |
Объект измерения и атрибуты | |
Объект измерения |
1 План/график проверки информационной безопасности, проводимой руководством. 2 Записи протоколов совещаний, посвященных проводимым руководством проверкам |
Атрибуты |
1.1 Даты совещаний, касающихся проводимых руководством проверок, зафиксированные в плане. 1.2 Руководители, присутствие которых Запланировано на совещаниях, касающихся проводимых руководством проверок. 2.1 Даты совещаний, касающихся проводимых руководством проверок, зафиксированные в протоколах совещаний. 2.2 Руководители, присутствие которых на совещаниях, касающихся проводимых руководством проверок, зафиксировано |
Спецификация основной меры измерения | |
Основная мера измерения |
1.1 Число совещаний, касающихся проводимых руководством проверок, запланированных к установленному сроку. 1.2 Число руководителей, присутствие которых на совещаниях, касающихся проводимым руководством проверок, запланировано. 2.1.1 Число запланированных совещаний, касающихся проводимых руководством проверок, проведенных к установленному сроку. 2.1.2 Число незапланированных совещаний, касающихся проводимых руководством проверок, проведенных к установленному сроку. 2.1.3 Число повторно запланированных совещаний, касающихся проводимых руководством проверок, проведенных к установленному сроку. 2.2 Число руководителей, присутствовавших на совещаниях, касающихся проводимых руководством проверок, к установленному сроку |
Метод измерения |
1.1 Подсчет совещаний, касающихся проводимых руководством проверок, запланированных на данный момент. 1.2 Из расчета совещаний, касающихся проводимых руководством проверок, на данный момент, подсчитать количество руководителей, присутствие которых было запланировано, и добавить новые данные со значением по умолчанию для незапланированных чрезвычайных совещаний. 2.1.1 Подсчет числа запланированных совещаний, касающихся проводимых руководством проверок, проведенных к установленному сроку. 2.1.2 Подсчет числа незапланированных совещаний, касающихся проводимых руководством проверок, проведенных к установленному сроку. 2.1.3 Подсчет числа повторно запланированных совещаний, касающихся проводимых руководством проверок, проведенных к установленному сроку. 2.2 Для всех проведенных совещаний, касающихся проводимых руководством проверок, подсчитать число руководителей, принимавших в них участие |
Вид метода измерения |
1.1 Объективный. 1.2 Объективный или субъективный. 2.1.1 Объективный. 2.1.2 Объективный. 2.1.3 Объективный. 2.2 Объективный |
Шкала |
1.1 Целые числа от нуля до бесконечности. 1.2 Целые числа от нуля до бесконечности. 2.1.1 Целые числа от нуля до бесконечности. 2.1.2 Целые числа от нуля до бесконечности. 2.1.3 Целые числа от нуля до бесконечности. 2.2 Целые числа от нуля до бесконечности |
Вид шкалы |
1.1 Порядковая. 1.2 Порядковая. 2.1.1 Порядковая. 2.1.2 Порядковая. 2.1.3 Порядковая. 2.2 Порядковая |
Единица измерения |
1.1 Совещание. 1.2 Персонал. 2.1.1 Совещание. 2.1.2 Совещание. 2.1.3 Совещание. 2.2 Персонал |
Спецификация производной меры измерения | |
Производная мера измерения |
a) Число совещаний, касающихся проводимых руководством проверок, проведенных к установленному сроку; b) коэффициент участия в совещаниях, касающихся проводимых руководством проверок, проведенных к установленному сроку |
Функция измерения |
а) Сложить [число запланированных совещаний, касающихся проводимых руководством проверок, проведенных к установленному сроку], [число незапланированных совещаний, касающихся проводимых руководством проверок, проведенных к установленному сроку] и [число повторно запланированных совещаний, касающихся проводимых руководством проверок, проведенных к установленному сроку]; b) для каждого совещания, касающегося проводимых руководством проверок, разделить [число руководителей, присутствовавших на совещаниях, касающихся проводимых руководством проверок] на [число руководителей, присутствие которых на совещаниях, касающихся проводимых руководством проверок, было запланировано] |
Спецификация показателя | |
Показатель |
a) Совещания, касающиеся проводимых руководством проверок, завершенных к установленному сроку; b) показатели общего участия в совещаниях, касающихся проводимых руководством проверок, к установленному сроку |
Аналитическая модель |
a) Разделить [число проведенных совещаний, касающихся проведенных руководством проверок] на [число запланированных совещаний, касающихся проведенных руководством проверок]; b) вычислить среднее и стандартное отклонение от всех показателей участия для совещаний, касающихся проводимых руководством проверок |
Спецификация критериев принятия решений | |
Критерии принятия решений |
Результирующее значение показателя по перечислению а) должно находиться в диапазоне между 0,7 и 1,1 для того, чтобы сделать вывод о достижении цели применения мер и средств контроля и управления и не требовалось никакого действия. Даже если это условие не выполняется, значение все же должно превышать 0,5, чтобы сделать вывод о минимальном достижении цели. Что касается показателя по перечислению b), то вычисленные границы доверительного интервала, основанные на стандартном отклонении, показывают вероятность того, что будет достигнут фактический результат, близкий к коэффициенту общего участия. Очень широкие границы доверительного интервала наводят на мысль о наибольшем отклонении и необходимости планирования чрезвычайных обстоятельств с тем, чтобы оперировать этим результатом |
Результаты измерений | |
Интерпретация показателя |
Интерпретация для показателя по перечислению а) должна быть следующей: - критерии организации относительно менеджмента информационной безопасности в пределах организации в течение проводимой руководством проверки были реализованы удовлетворительно при 0,7 показатель 1,1; - критерии организации были реализованы неудовлетворительно при [ показатель < 0,7 или при показателе > 1,1]. Этот результат может указывать на отсутствие обязательств руководства и потребовать корректирующего действия. Последующие результаты измерений следует подвергать мониторингу и оцениванию на предмет их улучшения; - критерии организации не реализованы при [ показатель < 0,5]. Этот результат указывает на отсутствие обязательств руководства и требует незамедлительного вмешательства для реализации соответствующего корректирующего действия. О результате необходимо сообщать высшему руководству. Показатель, близкий к нулю, может указывать на отсутствие обязательств высшего руководства. Если руководители СМИБ не рассматривают проверки СМИБ, проводимые руководством в качестве приоритетных, то на них может воздействовать высшее руководство; - результатом влияния/воздействия нереализованных критериев является возможное отсутствие непрерывного и эффективного процесса проводимой руководством проверки. К возможным причинам отклонения в показателе по перечислению b) могут относиться ненадлежащее планирование, недостаточные обязательства руководителей, отвечающих за СМИБ, несовместимые приоритеты и (или) чрезмерная загруженность работой, влияющая на руководителей СМИБ |
Форматы отчетности |
Линейная диаграмма, отражающая показатель вместе с критериями за несколько периодов сбора данных и отчетных периодов с изложением результатов измерений. Число периодов сбора данных и отчетных периодов определяется организацией |
Заинтересованные стороны | |
Заказчик измерения |
Руководители, отвечающие за СМИБ. Руководитель системы качества |
Контролер измерения |
Специалист по программе внутреннего аудита СМИБ |
Владелец информации |
Руководитель системы качества. Предполагаемая объединенная система менеджмента качества и СМИБ |
Сборщик информации |
Менеджер по качеству. Менеджер, отвечающий за информационную безопасность |
Субъект, ответственный за передачу информации |
Менеджер, отвечающий за информационную безопасность. Менеджер по качеству |
Частота/период | |
Частота сбора данных |
Ежемесячно |
Частота проведения исследования данных |
Ежеквартально |
Частота сообщения результатов измерений |
Ежеквартально |
Пересмотр измерений |
Проверка и обновление каждые два года |
Период измерений |
Два года |
В.6 Защита от вредоносных программ
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Защита от вредоносного программного средства |
Числовой идентификатор |
Характерный для организации |
Назначение конструктивного элемента измерения |
Оценка эффективности системы защиты от атак вредоносного программного средства |
Цель применения меры и средства контроля и управления/процесса |
Цель применения меры и средства контроля и управления А.10.4 [ИСО/МЭК 27001:2005]. Защищать целостность программного обеспечения и массивов информации. (Запланировано). Защита целостности программного обеспечения и информации от вредоносного программного средства |
Мера и средство контроля и управления (1)/процесс (1) |
Мера и средство контроля и управления А.10.4.1 приложения А [ИСО/МЭК 27001:2005]. Меры и средства контроля и управления, предназначенные для защиты от вредоносных программ. Должны быть реализованы меры и средства контроля и управления по обнаружению, предотвращению проникновения и восстановлению после проникновения вредоносной программы, а также должны быть установлены процедуры обеспечения соответствующего оповещения пользователей |
Объект измерения и атрибуты | |
Объект измерения |
1 Отчеты об инцидентах. 2 Журналы регистрации программного обеспечения контрмер, направленных на вредоносное программное средство |
Атрибуты |
Инциденты, вызванные вредоносным программным средством |
Спецификация основной меры измерения | |
Основная мера измерения |
1 Число инцидентов безопасности, вызванных вредоносным программным средством. 2 Общее число блокированных атак, вызванных вредоносным программным средством |
Метод измерения |
1 Подсчет числа инцидентов безопасности, вызванных вредоносным программным средством, в отчетах об инцидентах. 2 Подсчет числа записей о блокированных атаках |
Вид метода измерения |
1 Объективный. 2 Объективный |
Шкала |
1 Целые числа от нуля до бесконечности. 2 Целые числа от нуля до бесконечности |
Вид шкалы |
1 Порядковая. 2 Порядковая |
Единица измерения |
1 Инцидент безопасности. 2 Записи |
Спецификация производной меры измерения | |
Производная мера измерения |
Стойкость защиты от вредоносного программного средства |
Функция измерения |
Число инцидентов безопасности, вызванных вредоносным программным средством / число обнаруженных и блокированных атак, вызванных вредоносным программным средством |
Спецификация показателя | |
Показатель |
Тренд числа обнаруженных атак, которые не были блокированы в течение многих отчетных периодов |
Аналитическая модель |
Сравнить показатель с предыдущим процентным показателем |
Спецификация критериев принятия решений | |
Критерии принятия решений |
Линии, определяющие тренд, должны находиться в соответствии с определенным числом. Результирующий тренд должен быть нисходящим или постоянным |
Результаты измерений | |
Интерпретация показателя |
Восходящий тренд показывает ухудшающееся соответствие, нисходящий тренд показывает улучшающееся соответствие. При сильном возрастании тренда потребуются исследование причины и возможность для внедрения дополнительной контрмеры |
Форматы отчетности |
Линия тренда отображает показатель обнаружения и предотвращения вредоносного программного средства по отношению к линиям, полученным в течение последних отчетных периодов |
Заинтересованные стороны | |
Заказчик измерения |
Менеджмент безопасности |
Контролер измерения |
Менеджмент безопасности |
Владелец информации |
Системный администратор |
Сборщик информации |
Менеджмент безопасности. Системный администратор. Руководитель, ответственный за функционирование сети |
Субъект, ответственный за передачу информации |
Служба согласования |
Частота/период | |
Частота сбора данных |
Ежедневно |
Частота проведения исследования данных |
Ежемесячно |
Частота сообщения результатов измерений |
Ежемесячно |
Дата пересмотра |
Проверка один раз в год |
Период измерений |
Один год |
В.7 Меры и средства контроля и управления физическим доступом
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Меры и средства контроля и управления физическим доступом с использованием карт доступа |
Числовой идентификатор |
Характерный для организации |
Назначение конструктивного элемента измерения |
Демонстрация наличия, границ и качества системы, используемой для управления доступом |
Цель применения меры и средства контроля и управления/процесса |
Цель меры и средства контроля и управления по А.9.1 приложения А [ИСО/МЭК 27001:2005]. Предотвращать несанкционированные физический доступ, повреждение и воздействия на помещения и информацию организации |
Мера и средство контроля и управления (1)/процесс (1) |
Мера и средство контроля и управления по А.9.1.2 приложения А [ИСО/МЭК 27001:2005]. Контроль доступа в охраняемую зону. Охраняемая зона должна быть защищена соответствующими средствами контроля входа, предполагающими обеспечить уверенность в том, что только авторизованный персонал может получить доступ в зону |
Объект измерения и атрибуты | |
Объект измерения |
Безопасные зоны |
Атрибуты |
Записи, касающиеся управления идентификационными данными |
Спецификация основной меры измерения | |
Основная мера измерения |
Меры и средства контроля и управления физическим доступом с использованием карт доступа |
Метод измерения |
Относительный метод измерения, где каждый уровень подмножества является частью приведенного выше уровня. Проверяется вид системы мер и средств контроля и управления входом и рассматриваются следующие аспекты: - наличие системы карт управления доступом; - использование PIN-кода; - функциональные возможности журнала регистрации; - биометрическая аутентификация |
Вид метода измерения |
Субъективный |
Шкала |
0-5 0 - не существует никакой системы управления доступом 1 - существует система доступа там, где для контроля входа используется PIN-код (однофакторная система). 2 - существует система карт управления доступом там, где для контроля входа используется карта прохода (однофакторная система). 3 - существует система карт доступа, где для контроля входа используется карта прохода и PIN-код. 4 - предыдущее + активированные функциональные возможности журнала регистрации. 5 - предыдущее + PIN-код заменен на биометрическую аутентификацию (отпечатки пальцев, распознавание голоса, сканирование сетчатки глаза и т.д.) |
Вид шкалы |
Порядковая |
Единица измерения |
Не применяется |
Спецификация производной меры измерения | |
Производная мера измерения |
Отсутствует |
Функция измерения |
Отсутствует |
Спецификация показателя | |
Показатель |
Индикатор выполнения. Красный - до 0,8. Зеленый - от 0,8 до 1 |
Аналитическая модель |
Анализ мер измерения |
Спецификация критериев принятия решений | |
Критерии принятия решений |
Значение 3 - удовлетворительно |
|
Результаты измерений |
Интерпретация показателя |
Ниже значения 3 - неудовлетворительно (3 - фактический уровень, эквивалентный недостатку обеспечения безопасности), где должны быть приняты меры в зависимости от степени недостатка обеспечения безопасности. Выше значения 3 - чаще всего удовлетворительно, где уровень может указывать на избыточные инвестиции в отношении измеряемого объекта |
Форматы отчетности |
Графическое представление |
Заинтересованные стороны | |
Заказчик измерения |
Комитет по управлению |
Контролер измерения |
Внутренний аудитор/внешний аудитор |
Владелец информации |
Руководитель, отвечающий за оборудование |
Сборщик информации |
Внутренний аудитор/внешний аудитор |
Субъект, ответственный за передачу информации |
Внутренний аудитор и менеджер безопасности |
Частота/период | |
Частота сбора данных |
Ежегодно |
Частота проведения исследования данных |
Ежегодно |
Частота сообщения результатов измерений |
Ежегодно |
Дата пересмотра |
12 месяцев |
Период измерений |
12 месяцев |
В.8 Анализ журналов регистрации
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Анализ журналов регистрации |
Числовой идентификатор |
Уникальный характерный для организации числовой идентификатор |
Назначение конструктивного элемента измерения |
Оценка состояния соответствия регулярной проверки журналов регистрации критических систем |
Цель применения меры и средства контроля и управления/процесса |
Цель применения меры и средства контроля и управления по А.10.10 приложения А [ИСО/МЭК 27001:2005]. Обнаруживать несанкционированные действия, связанные с обработкой информации. (Запланировано). Обнаружение несанкционированных деятельностей, связанных с обработкой информации из системного журнала регистрации критических систем |
Мера и средство контроля и управления (1) |
Мера и средство контроля и управления по А.10.10.2 приложения А [ИСО/МЭК 27001:2005]. Должны быть установлены процедуры, позволяющие вести мониторинг и регулярный анализ результатов мониторинга использования средств обработки информации |
Объект измерения и атрибуты | |
Объект измерения |
Система |
Атрибуты |
Отдельные журналы регистрации |
Спецификация основной меры измерения (1) | |
Основная мера измерения |
Число журналов регистрации |
Метод измерения |
Подсчет общего числа журналов регистрации, перечисленных в списке проверяемых журналов регистрации |
Вид метода измерения |
Объективный |
Шкала |
Целые числа от нуля до бесконечности |
Вид шкалы |
Порядковая |
Единица измерения |
Журнал регистрации |
Спецификация основной меры измерения (2) | |
Основная мера измерения |
Число проверенных журналов регистрации |
Метод измерения |
Подсчет общего числа журналов регистрации по всем системам, находящимся в рамках сферы применения СМИБ |
Вид метода измерения |
Объективный |
Шкала |
Числовая |
Вид шкалы |
Шкала отношений |
Единица измерения |
Журнал регистрации |
Спецификация основной меры измерения (3) | |
Основная мера измерения |
Число систем, находящихся в рамках сферы применения СМИБ |
Метод измерения |
Определение числа проверенных журналов регистрации |
Вид метода измерения |
Объективный |
Шкала |
Числовая |
Вид шкалы |
Шкала отношений |
Единица измерения |
Журнал регистрации |
Спецификация производной меры измерения | |
Производная мера измерения |
Процентное отношение проверенных (при необходимости) журналов регистрации (аудита) за определенный временной период |
Функция измерения |
Разделить (число проверенных журналов регистрации в течение определенного временного периода) на (общее число журналов регистрации) и умножить на 100 |
Спецификация показателя | |
Показатель |
Линейный график тренда частоты проверки журналов регистрации (аудита) за период времени |
Аналитическая модель |
Желателен восходящий тренд, стремящийся к 100% |
Спецификация критериев принятия решений | |
Критерии принятия решений |
Результат ниже 20% должен быть изучен на предмет выявления причин результативности ниже установленной нормы |
Результаты измерений | |
Интерпретация показателя |
Значения, ниже определенного организацией значения, являются неудовлетворительными, где определенное организацией значение - фактическое значение, эквивалентное недостатку безопасности. Требуется действие руководства в зависимости от степени недостатка безопасности. Значения, которые выше значения, определенного организацией, могут указывать на чрезмерное инвестирование, если эти механизмы управления доступом не требуются согласно оценке риска |
Форматы отчетности |
Линейный график, отражающий тренд суммарных результатов и какие-либо рекомендуемые действия руководства |
Заинтересованные стороны | |
Заказчик измерения |
Руководители, отвечающие за СМИБ. Руководитель, отвечающий за обеспечение безопасности |
Контролер измерения |
Руководитель, отвечающий за обеспечение безопасности |
Владелец информации |
Руководитель, отвечающий за обеспечение безопасности |
Сборщик информации |
Персонал, отвечающий за обеспечение безопасности |
Субъект, ответственный за передачу информации |
Персонал, отвечающий за обеспечение безопасности |
Частота/период | |
Частота сбора данных |
Ежемесячно |
Частота проведения исследования данных |
Ежемесячно |
Частота сообщения результатов измерений |
Ежеквартально |
Дата пересмотра |
Проверка и обновление каждые два года |
Период измерений |
Два года |
В.9 Менеджмент периодического технического обслуживания
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Менеджмент периодического технического обслуживания |
Числовой идентификатор |
Характерный для организации |
Назначение конструктивного элемента измерения |
Оценка своевременности деятельностей, связанных с техническим обслуживанием, по отношению к расписанию |
Цель применения меры и средства контроля и управления/процесса |
Цель меры и средства контроля и управления по А.9.2 приложения А [ИСО/МЭК 27001:2005]. Предотвращать потерю, повреждение, хищение или компрометацию активов и прекращение деятельности организации. (Запланировано). Предотвращение потери, ущерба, кражи или компрометации активов и прерывания деятельностей организации с помощью периодического технического обслуживания системы |
Мера и средство контроля и управления (1)/процесс (1) |
Мера и средство контроля и управления по А.9.2.4 приложения А [ИСО/МЭК 27001:2005]. Должно проводиться надлежащее регулярное техническое обслуживание оборудования для обеспечения его непрерывной работоспособности и сохранности |
Объект измерения и атрибуты | |
Объект измерения |
1 План/график технических обслуживаний системы. 2 Записи о технических обслуживаниях системы |
Атрибуты |
1 Даты, на которые запланировано/предусмотрено графиком техническое обслуживание системы. 2 Даты проведенного технического обслуживания системы |
Спецификация основной меры измерения (1-4) | |
Основная мера измерения |
1 Даты запланированного технического обслуживания. 2 Даты проведенного технического обслуживания. 3 Общее число запланированных мероприятий по техническому обслуживанию. 4 Общее число проведенных мероприятий по техническому обслуживанию |
Метод измерения |
1 Выписать запланированные даты из плана технического обслуживания системы. 2 Выписать даты проведения из записей о техническом обслуживании системы. 3 Подсчитать число запланированных мероприятий по техническому обслуживанию в плане технического обслуживания системы. 4 Подсчитать записи о выполнении технического обслуживания |
Вид метода измерения |
Объективный |
Шкала |
1 Временная. 2 Временная. 3 Целые числа от нуля до бесконечности. 4 Целые числа от нуля до бесконечности |
Вид шкалы |
1 Упорядоченная. 2 Упорядоченная. 3 Порядковая. 4 Порядковая |
Единица измерения |
1 Интервал. 2 Интервал. 3 Мероприятия по техническому обслуживанию. 4 Мероприятия по техническому обслуживанию |
Спецификация производной меры измерения | |
Производная мера измерения |
Задержка технического обслуживания на проведенное мероприятие по техническому обслуживанию |
Функция измерения |
Для каждого проведенного мероприятия найти разницу между [датой фактического технического обслуживания] и [датой запланированного технического обслуживания] |
Спецификация показателя | |
Показатель |
1 Среднее значение задержки технического обслуживания. 2 Показатель проведенных мероприятий по техническому обслуживанию. 3 Тренд среднего значения задержки технического обслуживания. 4 Тренд показателя проведенных мероприятий по техническому обслуживанию |
Аналитическая модель |
1 Разделить суммарное значение [задержки технического обслуживания] на [число проведенных мероприятий по техническому обслуживанию]. 2 Разделить [число проведенных мероприятий по техническому обслуживанию] на [число запланированных мероприятий по техническому обслуживанию]. 3 Сравнить показатель по перечислению 1 за несколько временных периодов. 4 Сравнить показатель по перечислению 2 за несколько временных периодов |
Спецификация критериев принятия решений | |
Критерии принятия решений |
1 Характерные для организации, например, если средняя величина задержки последовательно оказывается более трех дней, необходимо изучить ее причины. 2 Показатель проведенных мероприятий по техническому обслуживанию должен превышать 0,9. 3 Тренд должен быть стабильным или близким к нулю. 4 Тренд должен быть стабильным или восходящим |
Результаты измерений | |
Интерпретация показателя |
Показатель помогает оценить качество процесса технического обслуживания оборудования |
Форматы отчетности |
Линейный график, который отражает среднюю величину отклонения задержки технического обслуживания, совмещаемый с линиями, получаемыми в течение предыдущих отчетных периодов и количествами систем, входящих в сферу применения. Пояснение результатов и рекомендация возможных действий руководства |
Заинтересованные стороны | |
Заказчик измерения |
Руководители, отвечающие за СМИБ. Руководитель, отвечающий за обеспечение безопасности |
Контролер измерения |
Руководитель, отвечающий за обеспечение безопасности |
Владелец информации |
Системный администратор |
Сборщик информации |
Персонал, отвечающий за обеспечение безопасности |
Субъект, ответственный за передачу информации |
Персонал, отвечающий за обеспечение безопасности |
Частота/период | |
Частота сбора данных |
Ежегодно |
Частота проведения исследования данных |
Ежегодно |
Частота сообщения результатов измерений |
Ежегодно |
Дата пересмотра |
Ежегодно |
Период измерений |
Ежегодно |
В.10 Вопросы безопасности в соглашениях со сторонними организациями
Определение конструктивных элементов измерения | |
Название конструктивного элемента измерения |
Вопросы безопасности в соглашениях со сторонними организациями |
Числовой идентификатор |
Характерный для организации |
Назначение конструктивного элемента измерения |
Оценивание уровня, на котором рассматриваются вопросы безопасности в соглашениях со сторонней организацией, касающиеся обработки личной информации |
Цель применения меры и средства контроля и управления/процесса |
Цель меры и средства контроля и управления А.6.2 приложения А [ИСО/МЭК 27001:2005]. Поддерживать безопасность информации и средств обработки информации организации при наличии доступа к ним сторонних организаций в процессах обработки и передачи этой информации |
Мера и средство контроля и управления (1)/процесс (1) |
Мера и средство контроля и управления А.6.2.3 приложения А [ИСО/МЭК 27001:2005]. Соглашения со сторонними организациями должны содержать все требования безопасности, включающие в себя правила доступа к процессам обработки, передачи информации или к управлению информацией или средствами обработки информации организации, а также в случае приобретения дополнительных программных продуктов или организации сервисного обслуживания средств обработки информации |
Объект измерения и атрибуты | |
Объект измерения |
Соглашения со сторонними организациями |
Атрибуты |
Положения или требования безопасности в каждом соглашении со сторонней организацией |
Спецификация основной меры измерения (1) | |
Основная мера измерения |
Число соглашений со сторонними организациями |
Метод измерения |
Проверка соглашений со сторонними организациями, подсчет числа соглашений |
Вид метода измерения |
Объективный |
Шкала |
Целые числа от нуля до бесконечности |
Вид шкалы |
Порядковая |
Единица измерения |
Соглашение со сторонними организациями |
Спецификация основной меры измерения (2) | |
Основная мера измерения |
Число стандартных требований безопасности, необходимых для соглашений со сторонними организациями |
Метод измерения |
Определение числа требований безопасности, подлежащих рассмотрению в каждом соглашении согласно политике |
Вид метода измерения |
Объективный |
Шкала |
Целые числа от нуля до бесконечности |
Вид шкалы |
Порядковая |
Единица измерения |
Требование |
Спецификация основной меры измерения (3) | |
Основная мера измерения |
Число требований безопасности, рассмотренных в каждом соглашении со сторонними организациями |
Метод измерения |
Проверка соглашений со сторонними организациями, подсчет числа требований безопасности, рассмотренных в каждом соглашении |
Вид метода измерения |
Объективный |
Шкала |
Целые числа от нуля до бесконечности |
Вид шкалы |
Порядковая |
Единица измерения |
Требование |
Спецификация производной меры измерения | |
Производная мера измерения |
Среднее процентное отношение значимых требований безопасности, рассмотренных в соглашениях со сторонними организациями |
Функция измерения |
Отношение суммы разностей между числом необходимых требований и количеством рассмотренных требований для каждого соглашения к числу соглашений |
Спецификация показателя | |
Показатель |
1 Средний показатель отличия стандартных требований от рассмотренных требований. 2 Тренд этого показателя |
Аналитическая модель |
1 Отношение суммы разностей между общим числом рассмотренных требований безопасности и общим числом стандартных требований безопасности для каждого соглашения к числу соглашений со сторонними организациями. 2 Сравнить с предыдущим показателем по перечислению 1 |
Спецификация критериев принятия решений | |
Критерии принятия решений |
1 Показатель по перечислению 1 должен превышать 0,9. 2 Показатель по перечислению 2 должен быть стабильным или восходящим |
Результаты измерений | |
Интерпретация показателя |
Этот показатель обеспечивает понимание способности функции аутсорсинга рассматривать требования безопасности |
Форматы отчетности |
Линейный график, отражающий тренд за несколько отчетных периодов. Краткое изложение результатов и возможных действий руководства |
Заинтересованные стороны | |
Заказчик измерения |
Руководители, отвечающие за СМИБ. Руководитель, отвечающий за обеспечение безопасности |
Контролер измерения |
Руководитель, отвечающий за обеспечение безопасности |
Владелец информации |
Учреждение, указанное в контракте |
Сборщик информации |
Персонал, отвечающий за обеспечение безопасности |
Субъект, ответственный за передачу информации |
Персонал, отвечающий за обеспечение безопасности |
Частота/период | |
Частота сбора данных |
Ежемесячно |
Частота проведения исследования данных |
Ежеквартально |
Частота сообщения результатов измерений |
Ежеквартально |
Дата пересмотра |
Два года |
Период измерений |
Два года |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.