Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение Е
(справочное)
Мониторинг и измерения
В данном приложении представлены дополнительные рекомендации по поддержке планирования и разработки мониторинга и измерений.
Информация о назначении мониторинга и измерений
Разработка особых требований к СМИБ включает программу мониторинга и измерения безопасности для СМИБ, поддерживающую проверки, осуществляемые руководством.
Разработка мониторинга
На рисунке Е.1 представлена последовательность процесса мониторинга.
Рисунок Е.1 - Последовательность процесса мониторинга
Подготовка и координация: Определение соответствующих активов для мониторинга Следует отметить, что мониторинг является непрерывным процессом, и при его разработке следует учитывать наладку процесса мониторинга, а также разработку фактических потребностей и действий по мониторингу. Эти действия необходимо координировать, что является частью процесса разработки.
На основе предыдущей информации, установленной на основе определенной области действия и активов, в сочетании с результатами анализа риска и выбора средств управления можно определить цели мониторинга. Эти цели должны включать:
- что нужно определить;
- когда;
- против чего.
С практической точки зрения ранее установленные действия (процессы) в организации и связанные с ними активы являются основной областью действия для мониторинга (пункт "против чего" выше). Для разработки мониторинга может потребоваться выбор, чтобы охватить активы, важные с точки зрения информационной безопасности. Также следует принять во внимание обработку риска и выбор средств управления, чтобы определить, что нужно отслеживать в активах и связанных с ними действиях (процессах) в организации. (При этом устанавливаются пункты "что нужно определить" и "когда").
Поскольку мониторинг может включать юридические аспекты, разработку мониторинга необходимо проверять, чтобы он не имел юридических последствий.
Для обеспечения реальной эффективности мониторинга важно координировать и проводить конечную разработку всех действий по мониторингу.
Действия по мониторингу
Для поддержания уровня информационной безопасности меры и средства контроля и управления информационной безопасностью, определенные как подходящие, должны правильно применяться; обнаружение инцидентов безопасности и реагирование на них должны производиться своевременно, а функционирование системы менеджмента информационной безопасности должно регулярно отслеживаться. Необходимо проводить регулярные проверки, чтобы определить, все ли меры и средства контроля и управления применяются и внедряются, как запланировано в концепции информационной безопасности. В число этих проверок должны входить проверки соответствия технических средств управления (например, в отношении конфигурации) и организационных средств управления (например, процессов, процедур и операций). Проверки, прежде всего, должны быть направлены на устранение недостатков. Если проверки подлежат принятию, важно, чтобы эта мотивация осознавалась всеми вовлеченными сотрудниками как цель проверки. Необходимо обсуждать возможные решения проблем с участниками во время проверок и заранее готовить соответствующие средства для устранения недостатков.
Проверки должны тщательно подготавливаться для обеспечения как можно более эффективного достижения их целей, вызывая как можно меньше нарушений в обычной работе организации. Общее осуществление проверок должно заранее координироваться с руководством. Действия по разработке можно заключить в три различные основные формы:
- отчеты об инцидентах;
- подтверждение соответствия или несоответствия функциональности средств управления;
- другие регулярные проверки.
Кроме того, необходимо разработать представление результатов действия в отношении того, как выполняется запись и как информация передается руководству. Необходимо составлять официальную документацию для описания разработки, принципа действий и их цели, а также различных сфер ответственности.
Требования к результатам мониторинга
Результаты должны быть следующими:
a) записи действий по мониторингу с требуемой степенью детализации.
По результатам действий по мониторингу руководству должен быть представлен отчет. Вся информация, которая требуется руководству для выполнения надзорных и управленческих функций, должна быть записана в отчете с требуемой степенью детализации;
b) информация, необходимая руководству для принятия решений, когда это требуется для принятия срочных мер.
Отчет для руководства всегда заканчивается перечнем рекомендуемых действий с четко определенными приоритетами вместе с реальной оценкой предполагаемых затрат на выполнение каждого из этих действий. Это обеспечивает возможность принятия руководством решений без лишних задержек.
Планирование программы измерений, связанных с информационной безопасностью. Обзор разработки программы измерений, связанных с информационной безопасностью.
Процесс измерения должен быть плавно введен в цикл СМИБ проекта или организации и использоваться для непрерывного усовершенствования процессов, связанных с безопасностью, и результатов в рамках этого процесса или организации. Это называется программой измерения информационной безопасности (ISO/IEC 27004:2009). Разработку программы необходимо рассматривать в отношении цикла СМИБ. На рисунке Е.2 показано, как процесс измерения вписывается в цикл СМИБ.
Следующие функции систем управления требуются для обеспечения выполнения требований и ожиданий, таких как структурирование необходимых PDCA, измерение и подтверждение выходных данных и их эффективности, и обеспечение передачи результатов измерений руководителю процесса.
Чтобы провести правильные измерения, необходима ранее полученная информация, особенно:
a) политика СМИБ, включая область действия и границы;
b) результаты оценки риска;
c) выбор средств управления;
d) цели управления;
e) конкретные цели информационной безопасности;
f) заданные процессы и ресурсы и их классификация.
Руководство должно назначить и сохранять обязательства по всему процессу измерения. При осуществлении процесса измерения руководство должно:
a) принять требования к измерениям; подробности см. в стандарте ISO/IEC 27004:2009;
b) уделить внимание потребностям в информации, подробности см. в стандарте ISO/IEC 27004:2009;
c) установить обязательства персонала по следующим критериям:
- организация должна продемонстрировать свои обязательства, например, посредством политики измерений для организации, распределения ответственности и обязанностей, обучения и распределения бюджета и других ресурсов;
- должно быть назначено лицо или подразделение организации, отвечающее за программу измерения;
- должно быть назначено лицо или подразделение организации, отвечающее за обмен информацией по значимости и результатам измерений СМИБ во всей организации для обеспечения их принятия и использования, и это лицо или подразделение должно получать поддержку руководства;
- необходимо обеспечить сбор и анализ данных по измерениям СМИБ и их передачу директору по информационным технологиям и другим заинтересованным сторонам;
- необходимо обучить линейных руководителей программы использованию результатов измерений СМИБ для учреждения политики, распределения ресурсов и принятия решений, касающихся бюджета.
Программа измерения информационной безопасности и ее разработка подразумевают следующие роли:
a) высшее руководство;
b) пользователи программных продуктов, связанных с безопасностью;
c) лица, отвечающие за информационные системы;
d) лица, отвечающие за информационную безопасность.
Программа измерения информационной безопасности учреждается для того, чтобы получить показатели эффективности СМИБ, целей и средств управления. Программа описывается в стандарте ISO/IEC 27004:2009.
Для выполнения этих целей необходимо провести соответствующие измерения в фазе планирования.
Подходящие программы измерения информационной безопасности могут различаться в зависимости от структуры организации, а именно:
- размера;
- сложности;
- общего профиля риска в информационной безопасности.
Чем больше организация и чем сложнее ее структура, тем более обширная программа измерений ей требуется. Но уровень общего риска также влияет на объем программы. Если влияние слабой информационной безопасности серьезно, сравнительно небольшим организациям может потребоваться более обширная программа измерения, чтобы охватить риск, чем для более крупных организаций, не испытывающих такого влияния. Объем программы измерения можно оценить на основе выбора средств управления, которые необходимо охватить, и результатов анализа риска.
Разработка программы измерения информационной безопасности
Лицо, ответственное за программу измерения информационной безопасности, должно принять во внимание следующее:
- область действия;
- измерения;
- выполнение измерений;
- периоды измерений;
- отчетность.
Область действия программы измерения должна охватывать область действия, цели управления и меры и средства контроля и управления СМИБ. В частности, цели и границы измерения СМИБ должны устанавливаться в отношении характеристики организации, самой организации, ее местонахождения, активов и технологий и включать детализацию и обоснование любых исключений из области действия СМИБ. Это может быть одно из средств управления безопасностью, процесс, система, область деятельности, целое предприятие, одно подразделение или организация, состоящая из нескольких подразделений.
При выборе одиночного измерения стандарт ISO/IEC 27004:2009 требует, чтобы начальной точкой выступал объект измерения. Для учреждения программы измерений необходимо определить эти объекты. Этими объектами могут быть процессы или ресурсы. (Дополнительные подробности см. в стандарте ISO/IEC 27004:2009). При разработке программы измерений объекты, определенные областью действия СМИБ, часто расчленяются для выявления конкретных объектов, подлежащих измерению. Этот процесс определения можно проиллюстрировать в виде следующего примера: Организация - это весь объект - процесс в организации А/или система информационных технологий X - это часть объекта, которая сама образует объект - объекты в рамках этого процесса, влияющие на информационную безопасность (люди, правила, сети, программные приложения, оборудование и т.д.), обычно являются объектами измерения, помогающими увидеть эффективность защиты информации.
При выполнении программы измерения информационной безопасности необходимо учитывать, что объекты измерения могут служить для выполнения многих процессов в организации в рамках области СМИБ и, следовательно, могут оказывать более сильное влияние на эффективность СМИБ и цели управления. Обычно в рамках области действия программы следует уделять особое внимание таким объектам, например безопасности организации и связанным с ней процессам, компьютерному залу, коллегам, имеющим отношение к информационной безопасности и т.д.
Интервалы измерений могут различаться, но желательно, чтобы измерения проводились или суммировались с определенными интервалами для включения их в проверки, проводимые руководством в процессе непрерывного усовершенствования СМИБ. Это условие должно быть учтено при разработке программы.
Отчетность по результатам должна быть организована таким образом, чтобы обеспечить передачу информации в соответствии с ISO/IEC 27004:2009.
Разработка программы измерения информационной безопасности должна быть отражена в документе, определяющем процедуру, который должен быть утвержден руководством. Этот документ должен охватывать следующие аспекты:
a) сферы ответственности за программу измерения информационной безопасности;
b) сферы ответственности за осуществление связи;
c) область действия измерений;
d) как должна выполняться программа (основной используемый метод, внешнее и внутреннее выполнение и т.д.);
e) когда должна выполняться программа;
f) как должна осуществляться отчетность.
Если организация разрабатывает собственные цели измерения, они должны быть документированы как часть фазы разработки; дополнительную справочную информацию см. в стандарте ISO/IEC 27004:2009. Этот документ может быть достаточно обширным и не обязательно должен подписываться руководством, поскольку детали могут изменяться при выполнении программы.
Измерение эффективности СМИБ
При установлении области действия программы измерения информационной безопасности, подлежащей выполнению, необходимо обеспечить, чтобы объектов не было слишком много. Если объектов много, имеет смысл разделить программу на разные части. Область действия этих частей может быть представлена как отдельные измерения для сравнения, но преобладает их основная цель: сочетание измерений обеспечивает показания для оценки эффективности СМИБ. Эти вспомогательные области действия обычно представляют собой подразделения организации, которые могут быть определены с четкими границами. Сочетание объектов, которые служат многим процессам в организации и измерениям объектов в рамках этих вспомогательных областей действия, вместе могут образовывать необходимую область действия для программы измерения информационной безопасности. Это сочетание также можно представить в виде серии действий по СМИБ, которые могут рассматриваться как состоящие из двух или более процессов (объектов). Следовательно, эффективность всей системы СМИБ можно измерить на основе измерения результатов этих двух или более процессов (объектов).
Поскольку целью является измерение эффективности СМИБ, важно измерить цели, определить меры и средства контроля и управления. Один аспект - это количество средств управления, а другой аспект - это достаточность этих средств управления для оценки эффективности СМИБ. Эти аспекты измерения эффективности СМИБ с помощью процесса PDCA и примеры процессов внутри организации приведены на рис. Е.2. (Могут быть и другие причины для ограничения области действия программы измерения информационной безопасности, которые упоминаются в ISO/IEC 27004:2009).
Рисунок Е.2 - Два аспекта измерения эффективности СМИБ с помощью процесса PDCA и примеры процессов внутри организации
При использовании результатов измерения для оценки эффективности СМИБ, целей управления и средств управления необходимо, чтобы руководство было проинформировано об области действия программы измерения информационной безопасности. Лицо, ответственное за программу измерений, должно получить от руководства утверждение области действия программы измерения информационной безопасности перед запуском программы.
Примечания
1 Требование, относящееся к измерению эффективности, в стандарте ISO/IEC 27001:2005 - это "измерение мер и средств контроля и управления или серии средств управления" (см. 4.2.2, d) в ISO/IEC 27001:2005).
2 Требование, относящееся к эффективности всей системы СМИБ, в стандарте ISO/IEC 27001:2005 - это только "проверка эффективности всей системы СМИБ", и "измерение всей системы СМИБ" не требуется (см. 0.2.2 в ISO/IEC 27001:2005).
Фактически проведение измерений может осуществляться работниками организации, специалистами со стороны или теми и другими вместе. Размеры, структура и культура организации - это факторы, которые необходимо принимать во внимание при оценке внутренних или внешних ресурсов. Малые и средние компании имеют больше выгоды от использования поддержки со стороны, чем большие организации. Результаты использования внешних ресурсов могут также обеспечить более надежные результаты в зависимости от культуры организации. Если в организации постоянно проводится внутренний аудит, внутренняя проверка может принести более надежные результаты.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.