Какой из перечисленных стандартов является руководством по внедрению суиб

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ГОСТ Р исо/мэк 27003—

2012

Информационная технология

Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

ISO/IEC 27003:2010 Information technology — Security techniques — Information security management systems implementation guidance (IDT)

Издание официальное

Москва Стандарт* нформ

2014

ГОСТ Р ИСО/МЭК 27003—2012

Предисловие

1    ПОДГОТОВЛЕН Федеральным бюджетным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации — «Фирма «Интерстандарт» (ФБУ «КВФ «Интерстандарт») совместно с Евро-Азиатской ассоциацией производителей товаров и услуг в области безопасности (Ассоциация ЕВРААС) и ООО «Научно-испытательный институт систем обеспечения комплексной безопасности» (ООО «НИИ СОКБ») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. № 812-ст

4    Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27003:2010 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности» (ISO/IEC 27003:2010 «Information technology— Security techniques—Information security management systems implementation guidance»).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном указателе «Национальнью стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования—на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

©Стандартинформ, 2014

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

и

ГОСТ Р ИСО/МЭК 27003—2012

Содержание

1    Область применения………………………………… 1

2    Нормативные ссылки………………………………… 1

3    Термины и определения……………………………….. 2

4    Структура настоящего стандарта…………………………… 2

4.1    Общая структура разделов настоящего стандарта………………….. 2

4.2 Общая структура раздела настоящего стандарта………………….. 3

4.3 Схемы……………………………………… 3

5    Получение одобрения руководства для запуска проекта СМИБ……………… 5

5.1    Описание получения одобрения руководства для запуска проекта СМИБ……….. 5

5.2    Определение приоритетов организации для разработки СМИБ…………….. 5

5.3    Определение предварительной области действия СМИБ………………. 8

5.4    Разработка технического обоснования и плана проекта для получения санкции руководства . .    9

6    Определение области действия СМИБ. границ и политики СМИБ…………….. 11

6.1 Общее описание определения области действия СМИБ. границ и политики СМИБ……. 11

6.2    Определение организационной области действия и границ………………. 11

6.3    Определение области действия и границ для информационных и коммуникационных технологий

(ИКТ)……………………………………… 13

6.4    Определение физической области действия и границ…………………. 14

6.5 Объединение всех областей действия и границ для получения области действия и границ СМИБ    15

6.6    Разработка политики СМИБ и получение одобрения руководства…………… 16

7    Проведение анализа требований к информационной безопасности……………. 16

7.1    Общее описание проведения анализа требований к информационной безопасности…… 16

7.2    Определение требований к информационной безопасности для процесса СМИБ…….. 17

7.3    Определение активов в рамках области действия СМИБ………………. 19

7.4    Проведение оценки информационной безопасности…………………. 19

8    Проведение оценки риска и планирование обработки риска……………….. 20

8.1    Описание проведения оценки риска и планирования обработки риска…………. 20

8.2    Проведение оценки риска…………………………….. 21

8.3    Выбор целей и средств управления………………………… 23

8.4    Получение санкции руководства на внедрение и использование СМИБ………… 23

9    Разработка СМИБ………………………………….. 24

9.1    Описание разработки СМИБ……………………………. 24

9.2    Разработка информационной безопасности организации……………….. 25

9.3    Разработка информационной безопасности ИКТ и физических объектов………… 30

9.4    Создание условий для обеспечения надежного функционирования СМИБ……….. 32

9.5    Составление окончательного плана проекта СМИБ………………….. 34

Приложение А (справочное) Описание контрольного перечня……………….. 35

Приложение В (справочное) Роли и сферы ответственности в области информационной безопасности 40

Приложение С (справочное) Информация по внутреннему аудиту……………… 44

Приложение D (справочное)    Структура политики……………………… 45

Приложение Е (справочное)    Мониторинг и измерения…………………… 48

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

ссылочным национальным стандартам Российской Федерации……….. 53

Библиография…………………………………….. 54

III

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

Методы и средства обеспечения безопасности.

Системы менеджмента информационной безопасности.

Руководство по реализации системы менеджмента информационной безопасности

Information technology. Security techniques. Information security management systems. Implementation guidance

of information security management system

Дата введения —2013—12—01

1    Область применения

В настоящем стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до составления планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ. определяется проект внедрения СМИБ (упоминается в настоящем стандарте как проект СМИБ) и представлены рекомендации по планированию проекта СМИБ. в результате которого получается окончательный план внедрения СМИБ.

Настоящий стандарт предназначен для использования организациями, применяющими СМИБ. Он применяется ко всем типам организаций (например, коммерческим предприятиям, правительственным органам, некоммерческим организациям) любых размеров. Сложность структуры и риски каждой организации уникальны, и на внедрение СМИБ будут влиять ее особые требования. Небольшие организации могут посчитать, что действия, указанные в настоящем стандарте, применимы к ним и могут быть упрощены. Крупным организациям или организациям со сложной структурой для эффективного выполнения действий, указанных в настоящем стандарте, может потребоваться многоуровневая система организации или управления.

Однако в обоих случаях соответствующие действия можно планировать, применяя настоящий стандарт.

Настоящий стандарт содержит рекомендации и разъяснения; в нем не указано никаких требований. Настоящий стандарт предназначен для использования в сочетании с ISO/IEC 27001:2005 и ISO/IEC 27002:2005, но не предназначен для изменения или сокращения требований, указанных в ISO/IEC 27001:2005, или рекомендаций, содержащихся в ISO/IEC 27001:2005.

Предъявление требований на соответствие настоящему стандарту не применяется.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты (для недатированных ссылок следует использовать только последнее издание указанного стандарта, включая поправки).

ISO/IEC 27000:2009 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 27000:2009, Information technology — Security techniques — Information security management systems — Overview and vocabulary)

ISO/IEC 27001:2005 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005. Information technology — Security techniques — Information security management systems — Requirements)

Издание официальное

3    Термины и определения

В настоящем стандарте применены термины и определения по ISO/IEC 27000:2009, ISO/IEC 270012005, а также следующий термин с соответствующим определением.

3.1    проект СМИБ (ISMS project): Структурированные действия, предпринимаемые организацией для внедрения системы управления информационной безопасностью.

4    Структура настоящего стандарта

4.1    Общая структура раздела настоящего стандарта

Внедрение системы менеджмента информационной безопасности (СМИБ) является важным видом деятельности и обычно осуществляется в организации как проект. В настоящем стандарте объясняется внедрение СМИБ с подробным описанием запуска, планирования и определения проекта. Процесс планирования конечного внедрения СМИБ включает пять фаз, и каждая фаза представлена в отдельном пункте. Все разделы имеют одинаковую структуру, описываемую ниже. Эти пять фаз следующие:

a)    получение одобрения руководства для запуска проекта СМИБ (раздел 5);

b)    определения области действия и политики СМИБ (раздел 6);

c)    проведение анализа организации (раздел 7);

d)    проведение анализа рисков и планирование обработки рисков (раздел 8):

e)    разработка СМИБ (раздел 9).

На рисунке 1 представлены пять фаз планирования проекта СМИБ с указанием стандартов ISO/IEC и основных выходных документов.

Дополнительная информация приведена в приложениях:

Приложение А. Описание контрольного перечня.

Приложение В. Роли и сферы ответственности в области информационной безопасности. Приложение С. Информация по внутреннему аудиту.

Приложение D. Структура политики.

Приложение Е. Мониторинг и измерения.

2

ГОСТ Р ИСО/МЭК 27003—2012

4.2    Общая структура раздела настоящего стандарта

Каждый раздел содержит:

a)    цель или цели (начиная с того, чего необходимо достичь), указанные в начале каждого раздела в текстовом окне,

или

b)    действие или действия, необходимые для достижения цели или целей данной фазы.

Каждое действие описывается в соответствующем пункте.

Описания действий в каждом подпункте структурированы следующим образом:

Действие

Действие определяет, что необходимо сделать для выполнения данного действия, чтобы достичь всех целей или части целей данной фазы.

Исходные данные

В исходных данных представлено описание отправной точки, например, наличие документированных решений или выходных данных других действий, описываемых в настоящем стандарте. Исходные данные могут упоминаться как полный набор исходных данных в начале соответствующего пункта или конкретная информация по какому либо действию, которая может добавляться после ссылки на соответствующий пункт.

Рекомендации

В рекомендациях содержится подробная информация, позволяющая выполнить данное действие. Некоторые рекомендации могут не соответствовать для применения во всех случаях, и другие способы достижения результата могут быть более оптимальными.

Выходные данные

В выходных данных описывается результат(ы) или документ(ы) для сдачи, получаемые после выполнения действия. Выходные данные являются одинаковыми независимо от размера организации и области действия СМИБ.

Дополнительная информация

В разделе дополнительной информации содержится дополнительная информация, которая может помочь в выполнении действия, например, ссылки на другие стандарты.

Примечание — Фазы и действия, описываемые в данном стандарте, включают предлагаемую последовательность выполнения действий на основе зависимостей, определяемых на основе описаний «исходных данных» и «выходных данных» для каждого действия. Однако в зависимости от множества различных факторов (например, эффективности существующей системы управления, понимания важности информационной безопасности, причин внедрения СМИБ) организация может выбирать в любом порядке любые действия, необходимые для подготовки к учреждению и внедрению СМИБ.

4.3    Схемы

Проект часто изображается в графическом виде или в виде схем, показывающих выполняемые действия и их результаты.

На рисунке 2 показаны условные обозначения на схемах, указываемых в пункте обзора каждой фазы. Схемы обеспечивают обзор высокого уровня действий, входящих в каждую фазу.

8 верхнем прямоугольнике показаны фазы планирования проекта СМИБ. Фаза, разъясняемая в конкретном пункте, затем указывается вместе с ключевыми выходными документами.

Нижняя схема (действия в фазе) показывает ключевые действия в указанной фазе верхнего прямоугольника и основные выходные документы каждой фазы.

Временная шкала на нижней схеме основывается на временной шкале верхней схемы.

Действия А и В могут выполняться одновременно. Действие С следует начинать после завершения действий А и В.

3

ГОСТ Р ИСО/МЭК 27003—2012

4

Действия в фазе

Временная шкала

Временная шкала

Рисунок 2 — Условные обозначения на блок-схеме

ГОСТ Р ИСО/МЭК 27003—2012

5 Получение одобрения руководства для запуска проекта СМИБ

5.1    Описание получения одобрения руководства для запуска проекта СМИБ

Существует несколько факторов, которые необходимо учитывать при принятии решения о внедрении СМИБ. Для того чтобы учесть эти факторы, руководство должно рассмотреть деловые аргументы в пользу внедрения проекта СМИБ и утвердить его. Следовательно, цель этой фазы — получить одобрение руководства для запуска проекта СМИБ посредством определения случая применения СМИБ для данного предприятия и плана проекта.

Чтобы получить одобрение руководства, организация должна составить описание случая применения СМИБ для данного предприятия, включающее приоритеты и цели внедрения СМИБ, а также структуру организации для СМИБ. Наряду с этим следует составить начальный план проекта СМИБ.

Работа, выполняемая в данной фазе, позволит организации понять важность СМИБ и определить роли и сферы ответственности в области информационной безопасности внутри организации, требуемые для проекта СМИБ.

Ожидаемым результатом этой фазы будет предварительное разрешение руководства и принятие им обязательства по внедрению СМИБ и выполнению действий, описываемых в настоящем стандарте. Выходные данные 8 этом пункте включают описание случая применения СМИБ для данного предприятия и предварительный план проекта СМИБ с описанием ключевых этапов.

На рисунке 3 показан процесс получения одобрения руководства для запуска проекта СМИБ.

Примечание — Выходные данные раздела 5 (документированное поручение руководства на планирование и внедрение СМИБ) и один из документов с выходными данными раздела 7 (документированное описание состояния информационной безопасности) не являются требованиями ISO/IEC 27001:2005. Однако выходные данные по этим действиям являются рекомендованными исходными данными для других действий, описываемых в данном документе.

5.2    Определение приоритетов организации для разработки СМИБ

Действия

Цели внедрения СМИБ должны учитываться при рассмотрении приоритетов и требований организации к информационной безопасности.

Исходные данные:

a)    стратегические цели организации;

b)    обзор существующих систем управления;

c)    перечень правовых, нормативных и договорных требований к информационной безопасности, применяемых в организации.

Рекомендации

Для запуска проекта СМИБ обычно требуется одобрение руководства. Следовательно, первое действие, которое необходимо выполнить, — сбор существенной информации, показывающей значение СМИБ для организации. Организация должна определить, зачем нужна СМИБ, определить цели внедрения СМИБ и запустить проект СМИБ.

Цели внедрения СМИБ можно определить, ответив на следующие вопросы;

a)    менеджмент риска — как может СМИБ улучшить управление рисками для информационной безопасности?

b)    результативность — как может СМИБ улучшить управление информационной безопасностью?

c)    преимущества для предприятия — как может СМИБ создать конкурентные преимущества для организации?

Чтобы ответить на приведенные выше вопросы, необходимо рассмотреть приоритеты и требования организации в области информационной безопасности на основе следующих факторов:

а) важнейшие сферы деятельности предприятия и организации:

1    Что является важнейшими сферами деятельности предприятия и организации?

2    Какие сферы деятельности организации обеспечивают ведение бизнеса и чему уделяется особое внимание?

3    Какие существуют взаимоотношения и соглашения с третьими сторонами?

4    Привлекаются ли сторонние организации для оказания каких-либо услуг?

5

ГОСТ Р ИСО/МЭК 27003—2012

b)    засекреченная или ценная информация:

1    Какая информация является наиболее важной для организации?

2    Какими могли бы быть возможные последствия при разглашении определенной информации неуполномоченным сторонам (например, потеря конкурентных преимуществ, ущерб по отношению к бренду или репутации, судебный иск и т. д.)?

c)    законы, делающие обаятельным принятие мер информационной безопасности:

1    Какие законы, относящиеся к обработке риска или информационной безопасности, применяются в организации?

2    Является ли организация публичной глобальной организацией, для которой требуется внешняя финансовая отчетность?

d)    контрактные или организационные соглашения, относящиеся к информационной безопасности:

1    Какие требования предъявляются к хранению данных (включая сроки хранения)?

2    Существуют ли контрактные требования, связанные с секретностью или качеством (например, соглашение об уровне услуг — SLA)?

e)    отраслевые требования, определяющие конкретные способы управления и меры информационной безопасности:

1 Какие требования, характерные для данной отрасли, применяются к организации?

f)    угрозы:

1    Какие нужны виды защиты и от каких угроз?

2    Для каких отдельных категорий информации требуется защита?

3    Каковы отдельные типы информационной деятельности, требующие защиты?

д)    Конкурентные движущие факторы:

1    Какие минимальные требования к информационной безопасности существуют на рынке?

2    Какие дополнительные способы менеджмента информационной безопасности могут быть стимулированы конкурентными преимуществами организации?

h) требования непрерывности бизнес-процессов

1    Какие существуют важнейшие бизнес-процессы?

2    Как долго организация может выдерживать приостановки каждого из важнейших бизнес-процессов?

Предварительную область действия СМИБ можно определить, ответив на приведенные выше вопросы. Это также необходимо для того, чтобы определить случай применения СМИБ для данного предприятия и общий план проекта СМИБ для утверждения руководством. Подробная область действия СМИБ должна быть определена во время составления проекта СМИБ.

Требования, указанные в ISO/IEC 27001:2005. пункт 4.2.1, а), определяют область действия на основе характеристик предприятия, организации, местонахождения, активов и технологий. Определению этих факторов способствует информация, полученная на основе вышеуказанных вопросов.

Перечень некоторых тем, которые необходимо рассмотреть при принятии первоначальных решений, касающихся области действия СМИБ:

a)    каковы обязательные требования к менеджменту информационной безопасности, определенные руководством организации, и обязательства, накладываемые на организацию извне?

b)    несут ли ответственность за предлагаемые системы в рамках области действия СМИБ руководящие группы (например, сотрудники разных филиалов и отделов)?

c)    как будут передаваться документы, связанные с СМИБ. внутри организации (например, на бумаге или через корпоративную сеть)?

d)    могут ли существующие системы управления удовлетворять потребности организации? Являются ли они полнофункциональными, поддерживаются ли в работоспособном состоянии и функционируют ли, как это необходимо?

Примеры целей управления, которые могут использоваться в качестве исходных данных для определения предварительной области действия СМИБ. включают:

a)    содействие непрерывности бизнес-процессов и восстановлению их в чрезвычайных ситуациях:

b)    повышение устойчивости к инцидентам;

c)    внимание к соответствию законам (условиям) контракта и обязательствам;

d)    обеспечение возможности сертификации по другим стандартам ISO/IEC;

е)    обеспечение развития и положения организации;

f) снижение затрат на управление безопасностью;

д) защита стратегически важных активов;

7

Таблица

Государственные стандарты Российской Федерации
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»
ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»
Р 50.1.056-2005 «Техническая защита информации. Основные термины и определения»
ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»
ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»
ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности»
ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»
ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»
ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»
ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»
ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер»
ГОСТ Р ИСО/МЭК ТО 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети»
ГОСТ Р ИСО/ТО 13569-2007 «Финансовые услуги. Рекомендации по информационной безопасности»
ГОСТ Р ИСО/МЭК 15026-2002 «Информационная технология. Уровни целостности систем и программных средств»
ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»
ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»
ГОСТ Р ИСО/МЭК 19794-2-2005 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца — контрольные точки»
ГОСТ Р ИСО/МЭК 19794-4-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца»
ГОСТ Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица»
ГОСТ Р ИСО/МЭК 19794-6-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза»
ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»
ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство»
ГОСТ Р 51725.6-2002 «Каталогизация продукции для федеральных государственных нужд. Сети телекоммуникационные и базы данных. Требования информационной безопасности»
ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты»
ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения»
ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества»
ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»
ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»
ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования»

Стандарты в области информационной безопасности организаций банковской системы Российской Федерации
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2008)
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» (СТО БР ИББС-1.1-2007)
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0-2008» (СТО БР ИББС-1.2-2009)
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» (РС БР ИББС-2.0-2007)
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0» (РС БР ИББС-2.1-2007)
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» (РC БР ИББС-2.2-2009)
Описание формы предоставления результатов оценки уровня информационной безопасности организаций банковской системы Российской Федерации

    ГОСТ Р ИСО/МЭК 27004-2021

 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 Информационные технологии

 МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание

 Information technology. Security techniques. Information security management. Monitoring, measurement, analysis and evaluation

ОКС 35.040

Дата введения 2021-11-30

 Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Федеральный исследовательский центр «Информатика и управление» Российской академии наук» (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 «Информационные технологии»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ

Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 388-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27004:2016* «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание» (ISO/IEC 27004:2016 «Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation», IDT).     

ИСО/МЭК 27004 разработан подкомитетом ПК 27 «Методы и средства обеспечения безопасности ИТ» Совместного технического комитета СТК 1 «Информационные технологии» Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК)

5 ВЗАМЕН

ГОСТ Р ИСО/МЭК 27004-2011

6 Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в

статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации «. Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

 Введение

________________

Результаты мониторинга и оценки защищенности системы менеджмента информационной безопасности могут способствовать принятию решений, касающихся управления, менеджмента, операционной эффективности и постоянного совершенствования СМИБ.

Для условий каждой конкретной организации настоящий стандарт, как и другие стандарты серии 27000, необходимо проанализировать, интерпретировать и адаптировать. Изложенные концепции и подходы предназначены для широкого применения, но меры, необходимые для отдельной конкретной организации, зависят от присущих организации факторов, таких как размер организации, отраслевая принадлежность, зрелость, риски ИБ, обязательства соответствия и стиль управления, которые на практике могут сильно различаться.

Настоящий стандарт может быть рекомендован организациям, внедряющим СМИБ, которая отвечает требованиям ИСО/МЭК 27001. С другой стороны, он не устанавливает каких-либо новых требований и не налагает на организации какие-либо обязательства соблюдать представленные в нем руководящие принципы для СМИБ, которые соответствуют ИСО/МЭК 27001.

      1 Область применения

Настоящий стандарт представляет руководящие принципы, предназначенные для оказания помощи организациям в оценке деятельности по обеспечению информационной безопасности (ИБ) и результативности системы менеджмента информационной безопасности (СМИБ) в целях выполнения требований, изложенных в подразделе 9.1 ИСО/МЭК 27001.

Настоящий стандарт охватывает:

— мониторинг и оценку деятельности по обеспечению ИБ;

— мониторинг и оценку результативности системы менеджмента информационной безопасности (СМИБ), включая ее процессы и средства контроля и управления;

— анализ и оценку результатов мониторинга и оценки защищенности.

Настоящий стандарт применим для всех организаций, независимо от типа или размера.

      2 Нормативные ссылки

Настоящий стандарт не содержит нормативных ссылок.

      3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000.

С целью использования в своих стандартах международные организации ИСО и МЭК поддерживают терминологические базы данных:

— платформа ИСО для онлайн-просмотра: доступна по адресу http://www.iso.org/obp;

— платформа МЭК Электропедия (IEC Electropedia): доступна по адресу http://www.electropedia.org/.

      4 Структура и обзор стандарта

Настоящий стандарт содержит следующие разделы:

— основные принципы — раздел 5;

— характеристики — раздел 6;

— типы показателей — раздел 7;

— процессы — раздел 8.

Порядок следования разделов обеспечивает простое сопоставление с требованиями, изложенными в подразделе 9.1 ИСО/МЭК 27001, как это показано на рисунке 1.

Рисунок 1 — Взаимосвязь положений настоящего стандарта и требований подраздела 9.1 ИСО/МЭК 27001

Для удовлетворения потребностей в информации организация определяет соответствующие средства, которые будут использоваться для их удовлетворения, после чего производится их мониторинг, оценка и анализ. По результатам анализа оценивается удовлетворение информационных потребностей организации.

В приложении A приведена как модель оценки защищенности, так и взаимосвязь компонентов модели оценки защищенности и требований подраздела 9.1 ИСО/МЭК 27001.

В приложении B представлен широкий спектр примеров спецификаций конструкций для оценки защищенности. Эти примеры обеспечивают организациям практическое руководство по осуществлению мониторинга, оценки защищенности, анализа и оценивания выбранных ими процессов СМИБ и области эффективности ИБ. В этих примерах используется шаблон, приведенный в таблице 1.

В приложении C представлен еще один пример спецификации конструкции для оценки эффективности с использованием альтернативного текстового формата свободной формы.

      5 Основные принципы

      5.1 Необходимость оценки защищенности

Основной целью СМИБ является обеспечение конфиденциальности, целостности и доступности информации в области ее применения. Существуют мероприятия СМИБ, которые касаются планирования того, как достигнуть этой цели, и реализации этих планов. Однако сами по себе эти действия не могут гарантировать, что реализация планов обеспечит достижение целей ИБ. Для проверки того, обеспечивают ли планы и действия по достижению целей ИБ выполнение требований к СМИБ, определенных в ИСО/МЭК 27001, и необходима оценка защищенности.

      5.2 Выполнение требований ИСО/МЭК 27001

В подразделе 9.1 ИСО/МЭК 27001 от организации требуется оценка деятельности по обеспечению ИБ и результативности СМИБ. Показатели, способствующие выполнению этих требований, приводятся в разделе 7 настоящего стандарта.

В подразделе 9.1 ИСО/МЭК 27001 содержится требование к организации определять следующее:

— объекты мониторинга и оценки защищенности, включая процессы ИБ и средства контроля и управления;

— методы мониторинга, оценки защищенности, анализа и оценивания, обеспечивающие уверенность в достоверности результатов;

— когда проводить мониторинг и оценку защищенности;

— кто должен осуществлять мониторинг и оценку защищенности;

— когда анализировать и оценить результаты мониторинга и оценки защищенности;

— кто должен осуществлять анализ и оценивание этих результатов.

Связь этих требований с разделами настоящего стандарта показана на рисунке 1.

Также в подразделе 9.1 ИСО/МЭК 27001 содержится требование к организации хранить соответствующую документированную информацию в качестве свидетельства результатов мониторинга и оценки защищенности (см. 8.9).

Кроме того, в подраздел 9.1 ИСО/МЭК 27001 указано, что для того, чтобы результаты можно было считать достоверными, выбранные методы должны обеспечивать сопоставимые и воспроизводимые результаты, (см. 6.4).

      5.3 Достоверность результатов

В целях обеспечения достоверности результатов (см. подраздел 9.1 перечисление b) ИСО/МЭК 27001) требуется, чтобы организация осуществила подбор методов оценки защищенности, мониторинга, анализа и оценивания. В вышеуказанном подразделе отмечено, что для обеспечения достоверности результаты должны быть сопоставимыми и воспроизводимыми. Для достижения этого организации должны собирать данные по показателям, анализировать их и составлять отчеты, принимая во внимание следующие моменты:

— для получения сопоставимых результатов показателей, полученных при мониторинге в различные моменты времени, важно гарантировать, что область действия и условия функционирования СМИБ неизменны;

— изменения в методах или технике, используемых для оценки защищенности и мониторинга, обычно приводят к несопоставимости результатов. Для проверки сохранения сопоставимости может потребоваться параллельное выполнение оценки с использованием оригинальных и модифицированных методов;

— если в состав методов или техники, используемых для оценки защищенности и мониторинга входят субъективные элементы, то для получения воспроизводимых результатов могут потребоваться дополнительные специфические действия. Например, результаты анкетирования должны оцениваться по определенным критериям;

— в некоторых ситуациях воспроизводимость может быть достигнута только при определенных обстоятельствах. Например, имеют место ситуации, когда результаты не воспроизводимы, однако они становятся достоверными при агрегировании.

      5.4 Преимущества

Выполнение мероприятий и использование средств контроля и управления СМИБ, поддержание деятельности по обеспечению ИБ обеспечивают ряд организационных и финансовых преимуществ. При этом, мониторинг, оценка защищенности, анализ и оценивание могут обеспечить следующие основные преимущества:

— повышение прослеживаемости: повысить прослеживаемость ИБ: помогая идентифицировать ее определенные процессы или меры обеспечения ИБ, реализованные неправильно, не реализованные или неэффективные;

— повышение эффективности ИБ и процессов СМИБ: позволяют организациям количественно оценить улучшения защиты информации в рамках своей СМИБ и продемонстрировать количественный прогресс в достижении цели ИБ организации;

— доказательства соответствия требованиям: предоставляют документальное подтверждение выполнения требований ИСО/МЭК 27001 и других стандартов, а также требований применимых законов, правил и положений;

— поддержка принятия решений: поддерживают принятие решений, основанных на оценке риска, путем предоставления в процесс управления рисками количественной информации. Такая информация позволяет организациям оценивать успехи и неудачи прошлых и текущих инвестиций в информационную безопасность и предоставляет количественные данные, которые могут помочь при распределении ресурсов для будущих инвестиций.

      6 Показатели

      6.1 Общие положения

Мониторинг и оценка защищенности являются первыми шагами в процессе оценки деятельности по обеспечению ИБ и результативности СМИБ.

Учитывая то, что с ИБ связано большое количество объектов, каждый из которых, в свою очередь, характеризуется многообразием атрибутов, не всегда очевидно, по каким из атрибутов следует производить оценку. Проблема выбора атрибутов для оценки имеет решающее значение, поскольку оценка защищенности с использованием слишком большого количества атрибутов практически невозможна, а оценка по неправильно выбранным атрибутам приводит к неоправданным затратам и не продуктивна. При большем количестве атрибутов помимо очевидных затрат на оценку защищенности, анализ и отчетность, существует явная вероятность того, что ключевые проблемы могут затеряться в большом объеме информации или могут быть пропущены из-за отсутствия результатов по нужным показателям.

Для того, чтобы определить, мониторинг и оценку каких показателей следует производить, организация в первую очередь должна определить цель, которой она хочет достичь путем оценки деятельности по обеспечению ИБ и результативности СМИБ. Это позволяет организации определить свои информационные потребности.

Затем организация должна решить, какие оценки защищенности необходимо сделать для каждой конкретной информационной потребности и какие данные требуются для проведения необходимых оценок защищенности. Таким образом, оценки защищенности всегда должны соответствовать информационным потребностям организации.

      6.2 Объекты мониторинга

Мониторинг позволяет определить результаты состояния защищенности системы, процесса, действия для обоснования управленческих решений по обеспечению их информационной безопасности.

Перечень систем, процессов и действий, которые могут подвергаться мониторингу, включает в себя, но не ограничивается следующим:

a) реализация процессов СМИБ;

b) менеджмент инцидентов;

c) менеджмент уязвимостей;

d) менеджмент конфигураций;

e) осведомленность о безопасности и обучение;

f) регистрация событий контроля доступа, брандмауэра и прочих;

g) аудит;

h) процесс оценки степени риска;

i) процесс обработки риска;

j) сторонний менеджмент рисков;

k) управление непрерывностью бизнеса;

I) управление физической и экологической безопасностью;

m) мониторинг системы.

Реализация мониторинга позволяет получать данные (журналы событий, пользовательские интервью, статистику обучения, информацию об инцидентах и т.д.), которые могут быть использованы для поддержки других мер обеспечения ИБ. Для получения вспомогательной информации в процессе определения атрибутов, подлежащих оценке защищенности, может потребоваться дополнительный мониторинг.

Следует обратить внимание на то, что мониторинг может позволить организации определить, имеет ли место тот или иной риск, и тем самым указать, какие действия можно предпринять для исключения такого риска. Кроме того, необходимо отметить, что определенные меры обеспечения ИБ могут быть ориентированы непосредственно на поддержку мониторинга. При использовании результатов оценки таких мер обеспечения ИБ для поддержки мониторинга организация должна гарантировать, что в процессе оценки учитывалось, когда были получены результаты: до или после того, как было предпринято какое-либо корректирующее действие.

      6.3 Объекты оценки защищенности

В контексте ИБ оценка защищенности является действием, предпринятым для определения значения, состояния или тенденции в результативности или эффективности деятельности по обеспечению ИБ целью помочь идентифицировать потенциальные потребности в улучшениях. Любые процессы, действия, средства контроля и управления и группы средств контроля и управления СМИБ могут быть оценены.

В качестве примера, можно рассмотреть пункт c) подраздела 7.2 ИСО/МЭК 27001, который требует от организации возможных действий для приобретения необходимой компетентности. Организация может определить, все ли лица, которым требуется обучение, прошли его, и было ли обучение проведено в соответствии с планом. Результатом оценки защищенности может быть количество или процент обученных людей. Организация также может определить, действительно ли обученные лица приобрели и обладают необходимой компетентностью. Это может быть оценено путем анкетирования после обучения.

Что касается процессов СМИБ, то для организаций в ИСО/МЭК 27001 имеется ряд положений, которые непосредственно требуют определения эффективности конкретных видов действий. Например, в пункте d) подраздела 10.1 ИСО/МЭК 27001, содержится требование, чтобы организации «проверяли эффективность любых предпринятых корректирующих действий». Для подобного анализа эффективность корректирующих действий должна быть определена в первую очередь с помощью некоторого конкретного типа показателя. Для этого организация должна сначала определить соответствующую информационную потребность и показатель или показатели ее удовлетворения. Соответствующий процесс рассматривается в разделе 8.

— планирование;

— руководство;

— менеджмент рисков;

— управление политикой;

— управление ресурсами;

— обмен информацией;

— анализ управления;

— документирование;

— мониторинг.

________________

Что касается показателей ИБ, то наиболее очевидными кандидатами являются меры обеспечения ИБ организации или группы таких мер (или даже весь план обработки рисков). Такие меры обеспечения ИБ определяются в процессе обработки рисков и определены в ИСО/МЭК 27001 в качестве необходимых мер обеспечения ИБ. Ими могут быть как меры обеспечения ИБ, описанные в приложении А ИСО/МЭК 27001, так и специфичные для сектора меры обеспечения ИБ (например, как определено в других стандартах, таких как ИСО/МЭК 27010), меры обеспечения ИБ, определенные иными стандартами или меры обеспечения ИБ, разработанные организацией. Поскольку целью мер обеспечения ИБ является изменение степени риска, существует множество атрибутов, которые можно оценить, например:

j) степень снижения мерой обеспечения ИБ вероятности возникновения события безопасности;

k) степень уменьшения мерой обеспечения ИБ последствия события безопасности;

I) частота событий безопасности, с которыми может справиться система управления до отказа;

m) сколько времени после возникновения события безопасности требуется, чтобы мера обеспечения ИБ обнаружила, что событие произошло.

      6.4 Когда осуществлять мониторинг, оценку защищенности, анализ и оценивание

Организации должны определить конкретные временные рамки для мониторинга, оценки защищенности, анализа и оценивания на основе индивидуальных информационных потребностей, требуемых оценок защищенности и жизненного цикла данных для отдельных оценок защищенности. Оценки обеспечения информацией могут производиться чаще, чем анализ и представление результатов таких оценок защищенности заинтересованным сторонам. Например, несмотря на то, что данные об инцидентах безопасности могут собираться непрерывно, представление таких данных внешним заинтересованным сторонам должно основываться на конкретных требованиях, таких как серьезность (например, сообщение о нарушении требует немедленного уведомления) или суммирование значений (в случае обнаруженных и заблокированных нарушений).

До того, как приступить к анализу и оценке, организация должна иметь в виду, что для того, чтобы обеспечить содержательную основу для оценки и сравнения (например, для проведения статистического анализа) удовлетворения определенных информационных потребностей, необходимо собрать соответствующий объем данных. Кроме того, прежде чем результаты оценки защищенности могут быть представлены организации, процессы мониторинга, оценки защищенности, анализа и оценивания могут потребовать тестирования и тонкой настройки. Поэтому перед тем, как приступить к реальной задаче-оценке СМИБ, организация должна до начала анализа и оценки определить ограничение продолжительности любой точной настройки и продолжительность мониторинга и сбора данных.

По мере обновления деятельности по оценкам с учетом определенных изменений условий, перечисленных в 8.2, организация может корректировать время выполнения оценки защищенности. Например, если организация переходит от ручного сбора данных к автоматизированному, то может потребоваться изменение частоты сбора. Кроме того, для сравнения двух оценок защищенности, произведенных в разные моменты времени и, возможно, разными методами, но с целью удовлетворения одной и той же информационной потребности необходимо определить базовую линию.

Организация может решить объединить все свои действия по мониторингу, оценке защищенности, анализу и оцениванию в одну программу оценки. Однако следует отметить, что ИСО/МЭК 27001 не требует от организаций наличие такой программы.

      6.5 Кто должен осуществлять мониторинг, оценку защищенности, анализ и оценивание

Организация (с учетом требований подразделов 9.1 и 5.3 ИСО/МЭК 27001) должна определить, кто осуществляет мониторинг, оценку защищенности анализ и оценивание с указанием конкретных лиц и ролей. Мониторинг, оценка защищенности, анализ и оценивание могут выполняться вручную или с помощью средств автоматизации. Независимо от того, выполняется ли оценка защищенности вручную или автоматизировано, организации могут определить следующие роли и обязанности, связанные с оценкой защищенности:

a) потребитель оценки защищенности — руководство или другие заинтересованные стороны, запрашивающее или затребовавшее информацию об результативности СМИБ, эффективности меры обеспечения ИБ или группы мер обеспечения ИБ;

b) планировщик оценки защищенности — лицо или организационная единица, определяющее структуру оценки защищенности, которое связывает оцениваемые атрибуты с конкретной информационной потребностью;

c) рецензент оценки — лицо или организационная единица, которое подтверждает, что разработанные структуры оценки защищенности подходят для оценки деятельности по обеспечению ИБ и результативности СМИБ, эффективности меры обеспечения ИБ или группы мер обеспечения ИБ;

d) владелец информации — лицо или организационная единица, которой принадлежит информация, используемая в качестве входной для оценки. Этот человек отвечает за предоставление данных, а также часто (но не всегда) отвечает за проведение оценки защищенности;

e) сборщик информации — лицо или организационная единица, ответственное за сбор, запись и хранение данных;

f) информационный аналитик — лицо или организационная единица, ответственное за анализ данных;

g) информационный коммуникатор — лицо или организационная единица, ответственное за распространение результатов анализа.

Организации могут объединять некоторые или, возможно, все эти роли.

Лицам, выполняющим разные роли и обязанности на протяжении всего процесса, потребуются различные навыки и соответствующие знания, а также может потребоваться обучение.

      7 Типы показателей

      7.1 Общие положения

Настоящее руководство выделяет два типа показателей выполнения запланированных действий и эффективности результатов, которые могут быть оценены:

a) показатели результативности — показатели, которые выражают запланированные результаты в терминах характеристик планируемой деятельности, таких как численность сотрудников, достижение этапа или степень, в которой были реализованы меры обеспечения ИБ;

b) показатели эффективности — показатели, отражающие влияние реализации запланированных мероприятий на цели ИБ организации.

Эти показатели могут быть специфическими для организации, поскольку каждая организация имеет свои конкретные цели, политики и требования в области ИБ.

Необходимо отметить, что термины «показатели результативности» и «показатели эффективности» не следует путать с требованием 9.1 ИСО/МЭК 27001 для оценки деятельности по обеспечению ИБ и результативности СМИБ.

      7.2 Показатели деятельности по обеспечению ИБ

Показатели деятельности по обеспечению ИБ могут использоваться для демонстрации прогресса в реализации процессов СМИБ, связанных с ними процедур и конкретных мер обеспечения безопасности. Принимая во внимание, что результативность касается степени, в которой запланированные действия были реализованы и ожидаемые результаты достигнуты, показатели деятельности по обеспечению ИБ должны отражать степень, в которой были реализованы процессы и меры обеспечения ИБ. Эти показатели помогают определить, были ли процессы СМИБ и меры обеспечения ИБ реализованы в соответствии с планом.

Для оценки деятельности по обеспечению ИБ используются данные, которые можно получить из протоколов, журналов регистрации, планов проектов, инструментов автоматического сканирования и других широко используемых средств документирования, записи и мониторинга действий СМИБ.

Сбор, анализ и представление отчетов о показателях должны быть по возможности автоматизированы, чтобы снизить их стоимость, трудозатраты, а также вероятность человеческой ошибки.

После того, как большинство показателей деятельности по обеспечению ИБ достигнуты и остаются на уровне 100%, организация должна начать сосредоточивать свои усилия на оценках показателей эффективности. Организации никогда не должны полностью отказываться от показателей деятельности по обеспечению ИБ, поскольку они могут быть полезны при определении конкретных мер обеспечения ИБ, которые нуждаются в улучшении; однако со временем акцент и ресурсы, относящиеся к оценкам, должны сместиться с этих показателей на показатели эффективности (см. 7.3).

________________

      7.3 Показатели эффективности

Показатели эффективности следует использовать для описания эффективности и влияния реализации плана обработки рисков СМИБ, процессов и средств контроля и управления СМИБ на цели ИБ организации. Эти показатели нужно использовать для определения того, работают ли процессы СМИБ и меры обеспечения ИБ так, как задумано, и достигают ли они желаемых результатов. В зависимости от целей для количественной оценки могут использоваться показатели эффективности, такие, как:

a) экономия средств, связанная с использованием СМИБ или за счет сокращения затрат на устранение последствий инцидентов ИБ;

b) повышение степени доверия клиентов из-за использования СМИБ;

c) достижение других целей ИБ.

Показатели эффективности могут быть сформированы путем объединения данных, полученных из инструментов автоматического мониторинга и оценки, с данными о функционировании СМИБ, полученными вручную. Это может потребовать мониторинга различных показателей по всей организации таким способом, который может быть напрямую связан с функционированием СМИБ и событиями безопасности. Чтобы достичь этого, организация должна обладать следующими возможностями:

d) с помощью показателей эффективности оценивать степень, в которой процессы, средства контроля и управления или группы средств управления СМИБ были реализованы;

e) получать данные из инструментов автоматического мониторинга и оценки;

f) вручную собирать данные о функционировании СМИБ;

g) нормализовать и анализировать данные, поступающие из множества автоматизированных и не автоматизированных источников;

h) интерпретировать эти данные и докладывать лицам, принимающим решения.

Такие показатели эффективности объединяют информацию о реализации плана обработки рисков с разнообразной информацией о ресурсах и могут обеспечить исходные данные для процесса менеджмента рисков. Они также могут предоставить непосредственное представление о ценности ИБ для организации и должны представлять наибольший интерес для высшего руководства.

      8 Процессы

      8.1 Общие положения

Мониторинг, оценка защищенности, анализ и оценивание, показанные на рисунке 2 состоят из следующих процессов:

а) выявление информационных потребностей;

б) спецификация и поддержка показателей;

в) установка процедур;

г) мониторинг и оценка защищенности;

д) анализ результатов;

f)* оценка деятельности по обеспечению ИБ и результативности СМИБ.

Кроме того, существует процесс управления СМИБ, который охватывает анализ и улучшение вышеуказанных процессов (см. 8.8).

Рисунок 2 — Процессы мониторинга, оценки защищенности, анализа и оценивания

      8.2 Выявление информационных потребностей

Спецификацию показателей нужно начинать с определения информационных потребностей, которые в свою очередь могут помочь выяснить эксплуатационные характеристики и/или характеристики эффективности таких аспектов СМИБ, как:

a) потребности заинтересованных сторон;

b) стратегическое направление организации;

c) политика и цели информационной безопасности;

d) план обработки рисков.

Для определения соответствующих информационных потребностей необходимо выполнить следующие действия:

e) изучить СМИБ, ее процессы и такие элементы, как:

1) политика и цели информационной безопасности, меры обеспечения ИБ и их цели;

2) нормативно-правовые, договорные и организационные требования к информационной безопасности;

3) результаты процесса менеджмента рисков информационной безопасности.

f) определить приоритетность выявленных информационных потребностей на основе таких критериев, как:

1) приоритеты обработки рисков;

2) возможности и ресурсы организации;

3) потребности заинтересованных сторон;

4) политика и цели информационной безопасности, а также цели контроля;

5) информация, необходимая для выполнения организационных, правовых, нормативных и договорных обязательств;

6) ценность информации, которая должна быть получена относительно стоимости оценки защищенности;

g) выбрать из списка приоритетов те информационные потребности, которые должны быть охвачены оценками;

h) документировать и передать список выбранных информационных потребностей всем заинтересованным сторонам.

      8.3 Спецификация и поддержка показателей

8.3.1 Общие положения

Организации должны специфицировать показатели один раз, а затем пересматривать и систематически обновлять эти показатели с запланированной периодичностью или в случаях, когда среда СМИБ претерпевает существенные изменения. Такие изменения могут включать, среди прочего:

a) изменение области применения СМИБ;

b) изменение организационной структуры;

c) изменения заинтересованных сторон, включая изменения ролей, обязанностей и полномочий заинтересованных сторон;

d) изменения бизнес-целей и требований;

e) изменения нормативно-правовых требований;

f) достижение желаемых и стабильных результатов в течение нескольких последовательных циклов;

g) внедрение или размещение технологий и систем обработки информации.

Спецификация или обновление таких показателей может включать, среди прочего, следующие шаги:

h) определить текущие практики безопасности, которые могут удовлетворить информационные потребности;

i) разработать или обновить показатели;

j) документировать показатели и определить приоритет реализации;

k) информировать и вовлекать в процесс руководство.

Ожидается, что обновление показателей потребует меньше времени и усилий, чем первоначальная спецификация.

8.3.2 Идентификация текущих методов безопасности, которые могут удовлетворить информационные потребности

Как только потребность организации в информации определена, необходимо в качестве потенциального компонента оценки защищенности рассмотреть существующие методы оценки защищенности и обеспечения безопасности. Существующие методы оценки защищенности и обеспечения и безопасности могут включать в себя оценки, связанные с:

a) менеджментом рисков;

b) управлением проектами;

c) отчетностью о соответствии;

d) политикой безопасности.

8.3.3 Спецификация или обновление показателей

Показатели должны отвечать информационным потребностям. Они могут базироваться на текущих методиках или требовать новых. Вновь определенные показатели могут также представлять собой адаптацию существующих показателей или процессов оценки защищенности. В любом случае, чтобы быть реализованными, новые показатели должны быть специфицированы достаточно подробно.

Примеры данных, которые могут быть собраны для формирования показателей безопасности:

a) выход различных логов и сканов;

b) статистические данные о подготовке кадров и других людских ресурсах;

c) соответствующие опросы и анкеты;

d) статистика инцидентов;

e) результаты внутренних аудитов;

f) результаты мероприятий по обеспечению непрерывности бизнеса/аварийному восстановлению.

g) отчеты о проверках со стороны руководства.

Эти и другие потенциальные источники данных, которые могут иметь как внутреннее, так и внешнее происхождение, должны быть изучены, а типы доступных данных должны быть определены.

Выбранные показатели должны соответствовать приоритетам информационных потребностей и могут учитывать:

h) простоту сбора данных;

i) доступность человеческих ресурсов для сбора и управления данными;

j) наличие соответствующих инструментов;

k) количество потенциально важных индикаторов эффективности, обеспечиваемых показателем;

I) простоту интерпретации;

m) количество потребителей полученных результатов оценки защищенности;

n) доказательства, подтверждающие соответствие показателей целям или информационным потребностям;

o) затраты на сбор, управление и анализ данных.

Организация должна документировать каждый показатель в форме, которая связывает показатель с соответствующей информационной потребностью (или потребностями) и предоставляет достаточную информацию о характеристиках, описывающих показатель, а также о том, как собирать, анализировать и отчитываться. Предлагаемые информационные показатели приведены в таблице 1.

Примеры в приложении В сформированы на основе шаблона, представленного в таблице 1. Два примера имеют дополнительную информационную строку, обозначенную как «действие», которое необходимо предпринять в случае, если цель не достигнута. Организации могут включать эту информационную строку, если они считают это полезным. Однако не существует универсального способа спецификации таких конструкций оценки, и в приложении C показан альтернативный подход в виде спецификации в свободной форме.

Следует отметить, что для удовлетворения потребностей разных клиентов оценки защищенности могут потребоваться разные показатели (см. таблицу 1), которые могут быть внутренними или внешними. Например, показатели удовлетворения потребностей в информации топ-менеджмента могут отличаться от подобных показателей для системного администратора. Каждая заинтересованная сторона может иметь свой конкретный диапазон, фокус, или степень детализации.

Каждый показатель должен соответствовать, по крайней мере, одной информационной потребности, но в тоже время одна информационная потребность может потребовать нескольких показателей.

Таблица 1 — Пример спецификации показателя безопасности

Очень важно определить показатели таким образом, чтобы единожды собранные данные могли быть использованы для различных целей. В идеале одни и те же данные должны использоваться для оценки различных мер обеспечения ИБ, отвечающих разным информационным потребностям различных заинтересованных сторон. Кроме того, следует отметить, что не всегда показатель, который легче всего оценить, будет наиболее значимым или наиболее актуальным.

Цели должны указывать желаемые конечные значения конкретных показателей для процессов и средств контроля и управления СМИБ, для достижения целей ИБ и результативности оцениваемой СМИБ.

Определение целей может оказаться проще, если имеются накопленные данные, относящиеся к специфицированным или выбранным показателям. Тенденции, наблюдаемые в прошлом, могут в некоторых случаях дать представление о результатах предыдущих оценок и могут подсказать направления для создания реалистичных целей. Тем не менее, организации должны иметь в виду, что определение целей без должного рассмотрения на основе того, что было достигнуто ранее или предыдущих результатов, может также вызвать «замораживание» текущего положения или даже препятствовать постоянному улучшению.

8.3.4 Документирование показателей и расстановка приоритетов для реализации

После определения требуемых показателей их спецификация должна быть документирована, а сами показатели должны быть расставлены по приоритетам для реализации оценки защищенности на основе приоритета каждой потребности в информации и возможности получения данных. Оценки деятельности по обеспечению ИБ должны быть реализованы в первую очередь, чтобы гарантировать, что процессы и средства контроля и управления СМИБ были введены в действие. Как только значения показателей деятельности по обеспечению ИБ достигают целевых значений, можно производить оценки показателей эффективности. О том, когда выполнять мониторинг и связанные с ним действия описано в 6.4.

8.3.5 Информирование и привлечение руководства

Для того, чтобы показатели отражали потребности руководства, к работам по спецификации показателей и реализации оценки защищенности необходимо привлечь управленческий персонал разного организационного уровня. Кроме того, руководство должно получать в удобном формате регулярные обновления для обеспечения гарантии того, что оно в должной степени информировано о деятельности по оценке безопасности в течение всего процесса разработки, реализации и использования показателей.

      8.4 Последовательность действий

Для реализации определенных приоритетных оценок защищенности необходимы следующие последовательные действия:

a) заинтересованные стороны, участвующие в процессе оценки защищенности, должны быть информированы о действиях по оценке и об обоснованиях таких действий;

b) должны быть идентифицированы инструменты сбора и анализа данных и, при необходимости, модифицированы для эффективного и действенного сбора данных.

Организация должна установить процедуры сбора данных, анализа и отчетности по показателям, например:

c) сбор данных, включая безопасное хранение и проверку данных. Процедуры должны определять, как данные собираются, хранятся, проверяются и какая контекстная информация необходима для дальнейшей обработки. Проверка данных может быть выполнена с применением таких методов, как:

1) проверка нахождения значения в диапазоне возможных значений;

2) сверка со списком возможных значений;

3) сбор контекстной информации, такой, например, как время сбора данных.

d) анализ данных и подготовка отчетов по анализу мероприятий. Процедуры должны указывать методы анализа данных и периодичность предоставления отчетов о полученных значениях показателей;

e) подготовка отчетов, которые могут включать:

1) системы показателей для предоставления стратегической информации путем интеграции показателей деятельности по обеспечению ИБ высокого уровня;

Примечание — Их можно назвать «ключевыми показателями деятельности по обеспечению ИБ» (см. «Модель оценки ИБ» в приложении A).

2) исполнительные и операционные сводные графики, ориентированные на стратегические цели, а не на конкретные меры обеспечения ИБ и процессы;

3) различные форматы отчетов, начиная от простых, таких как список показателей за определенный период времени, и заканчивая более сложными отчетами с перекрестными ссылками, вложенными группировками, скользящими итогами и динамическими детализацией или связыванием. Отчеты могут быть более полезными в случае, если заинтересованным сторонам необходимо представить необработанные данные в удобном для чтения формате;

4) шаблоны для представления динамических значений, включая предупреждения, дополнительные графические элементы и маркировку конечных точек.

      8.5 Мониторинг и оценка защищенности

Для мониторинга и оценки защищенности, а также для хранения и проверки данных должны быть определены процедуры, выполняемые либо вручную, либо автоматизированно. Проверка данных может быть выполнена путем сопоставления собранных данных с контрольными списками, чтобы убедиться, что влияние на анализ отсутствующих данных минимально и что значения либо верны, либо находятся в границах установленного диапазона. Чтобы обеспечить достоверность результатов анализа, необходимо собрать достаточное для анализа количество данных.

Организация должна собирать, анализировать, оценивать значения показателей и сообщать о них соответствующим заинтересованным сторонам с установленной периодичностью. При возникновении любого из условий, указанных в 8.3.1, организация должна рассмотреть возможность обновления процессов мониторинга, оценки защищенности, анализа и оценивания.

Прежде чем публиковать информацию в отчетах, информационных панелях и т.д., организация должна определить, каким образом и с кем она может делиться собранными данными и результатами, поскольку некоторые данные, связанные с ИБ, могут не подлежать разглашению по причине конфиденциальности.

Кроме того, для подтверждения того, что значения показателей собираются правильно, таким образом, чтобы они были повторяемыми, точными и непротиворечивыми, полезно иметь процесс проверки и оценки процесса сбора данных.

      8.6 Анализ результатов

Собранные данные необходимо проанализировать относительно цели для каждого отдельного показателя. Руководство по проведению статистического анализа можно найти в ISO/TR 10017.

Результаты анализа данных должны быть интерпретированы. На основе результатов, анализирующий результаты (информационный аналитик), должен иметь возможность сделать некоторые первоначальные выводы. Однако, поскольку информационный аналитик может не принимать непосредственного участия в технических и управленческих процессах, то выводы должны быть рассмотрены другими заинтересованными сторонами. При интерпретации необходимо учитывать контекст показателей.

Анализ данных должен выявлять отличие ожидаемых результатов оценки защищенности от фактических результатов оценки внедренной СМИБ, средств контроля и управления или групп средств контроля и управления. Выявленные различия могут указывать на необходимость улучшения внедренной СМИБ, включая ее область применения, политику, цели, средства контроля и управления, процессы и процедуры.

      8.7 Оценка деятельности по обеспечению информационной безопасности и результативности СМИБ

В соответствии с 5.2 организация должна:

а) определить свои информационные потребности с точки зрения вопросов, касающихся деятельности по обеспечению ИБ и результативности СМИБ организации;

б) с точки зрения этих информационных потребностей определить свои показатели.

Следовательно, анализ результатов мониторинга и оценки защищенности предоставляет данные, которые можно использовать для удовлетворения информационных потребностей (см. приложение А). Оценивание — это процесс интерпретации этих данных для ответа на вопросы о деятельности по обеспечению ИБ организации и результативности ее СМИБ.

      8.8 Анализ и улучшения процессов мониторинга, оценки защищенности, анализа и оценивания

Процессы мониторинга, оценки защищенности, анализа и оценивания должны постоянно улучшаться с учетом потребностей СМИБ. Среди прочего действия по постоянному улучшению могут включать:

a) получение отзывов от заинтересованных сторон;

b) пересмотр методов сбора и анализа на основе извлеченных уроков и других отзывов;

c) пересмотр процедур реализации; а также

d) сравнительный анализ ИБ.

      8.9 Хранение и передача документированной информации

Для выполнения требований подраздела 9.1 ИСО/МЭК 27001, в качестве доказательства мониторинга и оценки защищенности организация должна хранить документированную информацию. Организации могут самостоятельно решать, что хранить. Например, организация может документировать процессы и методы, используемые для анализа и оценки результатов.

Отчеты, которые используются при передаче результатов оценки защищенности соответствующим заинтересованным сторонам, должны быть подготовлены в должных форматах отчетности. Для обеспечения правильной интерпретации данных заключения анализа должны быть рассмотрены соответствующими заинтересованными сторонами. Для передачи заинтересованным сторонам результаты анализа данных также должны быть документированы.

Для передачи результатов оценок ИБ информационный коммуникатор должен определить:

a) какие результаты оценки защищенности следует передавать только внутри организации, а какие можно отправить наружу;

b) списки показателей, соответствующих отдельным заинтересованным сторонам и списки заинтересованных сторон;

c) конкретные результаты оценки защищенности, которые должны быть предоставлены, и тип представления, адаптированный к потребностям каждой группы;

d) средства получения обратной связи от заинтересованных сторон, которая будет использоваться для оценки полезности результатов оценки защищенности и эффективности оценки ИБ.

Приложение A

(справочное)

 Модель оценки защищенности информационной безопасности

Информационная модель оценки защищенности, показанная на рисунке A.1, представлена и разъясняется в ИСО/МЭК 15939 и может применяться к СМИБ. Настоящий стандарт описывает, как атрибуты соответствующих объектов могут быть определены количественно и преобразованы в индикаторы, которые обеспечивают основу для принятия решений. Модель представляет собой структуру, которая отражает связи информационных потребностей с соответствующими объектами и представляющими интерес атрибутами.

Информационная потребность может определяться, например, степенью информированности сотрудников о политике информационной безопасности. Объекты включают в себя процессы, элементы контроля и управления, документированную информацию, системы, устройства, персонал и ресурсы. Примерами соответствующих объектов в СМИБ являются: процесс управления рисками, процесс аудита, классификация информации, управление правами доступа, политика информационной безопасности, политика мобильных устройств, оконечный компьютер, администратор и сотрудник.

Информационная модель оценки защищенности помогает понять, что планировщик оценки защищенности должен определить во время мониторинга, оценки защищенности, анализа и оценивания.

В подразделе 9.1 ИСО/МЭК 27001 содержится требование к организации оценивать деятельность по обеспечению ИБ и результативность СМИБ. Зачастую такая оценка включает в себя определение перечня показателей, из которого, в зависимости от значимости и важности показателей для целей организации, можно выделить ключевые показатели эффективности (KPI, иногда называемые также «ключевыми показателями успеха»).

Для определения таких показателей организация может определить базовые показатели и, используя функцию оценки защищенности, которая объединяет два или более базовых показателей, получить из них ключевой показатель.

Модель оценки защищенности в этом приложении (с использованием базового показателя, производного показателя, индикатора эффективности и результата оценки защищенности) является примером подхода к выполнению требований СМИБ к оценке защищенности. Есть и другие точки зрения на процессы оценки защищенности, анализа и оценивания.

Рисунок A.1 — Ключевые отношения в информационной модели оценки

Приложение B

(справочное)

 Примеры спецификаций конструкций оценки защищенности

B.1 Общие положения

Примеры в приложении В соответствуют принципам, изложенным в настоящем стандарте. В приведенной ниже таблице примерам спецификаций конструкций оценки защищенности сопоставлены конкретные пункты ИСО/МЭК 27001 или номера мер обеспечения информационной безопасности, приведенные в его приложении A.

Для каждого примера приводится ссылка на соответствующий раздел или номер цели контроля и управления в ИСО/МЭК 27001. Кроме того, для двух примеров (B.20 и B.28) приводится дополнительный пункт, обозначенный как «действие». Он определяет действие, которое необходимо предпринять в случае, если цель не достигнута. Организации могут включать этот информационный пункт по желанию, если считают его полезным. Однако, не существует единого способа определения спецификаций таких конструкции, и приложение С демонстрирует альтернативное определение в произвольной форме.

B.2 Распределение ресурсов

См.: ИСО/МЭК 27001:2013, 5.1: Обязанности высшего руководства

ИСО/МЭК 27001:2013, 7.1: Ресурсы

B.3 Пересмотр политик

См.: ИСО/МЭК 27001:2013, A.5.1.2: Пересмотр политик информационной безопасности

ИСО/МЭК 27001:2013, 7.5.2: Создание и обновление документированной информации

B.4 Обязательства руководства

См.: ИСО/МЭК 27001:2013, 9.3: Проверка со стороны руководства

ИСО/МЭК 27001:2013, 5.1: Обязанности высшего руководства

B.5 Подверженность рискам

См.: ИСО/МЭК 27001:2013, 8.2: Оценка рисков информационной безопасности

ИСО/МЭК 27001:2013, 8.3: Обработка рисков информационной безопасности

B.6 Программа аудита

См.: ИСО/МЭК 27001:2013, 9.2: Внутренний аудит

ИСО/МЭК 27001:2013, A.18.2.1: Независимая проверка информационной безопасности

B.7 Действия по улучшению

См.: ИСО/МЭК 27001:2013, раздел 10: Усовершенствование

Примечание — Обратите внимание, что показатель может быть улучшен путем присвоения каждому действию весового коэффициента с учетом их критичности (например, действий, направленных на высокие риски).

Список всех соответствующих действий должен быть дополнен синтезированным результатом так, чтобы большое количество некритических действий не скрывало сравнительно малое количество критических действий.

B.8 Стоимость инцидента безопасности

См.: ИСО/МЭК 27001:2013, A.10: Усовершенствование

B.9 Анализ инцидентов информационной безопасности

См.: ИСО/МЭК 27001:2013,10: Усовершенствование

ИСО/МЭК 27001:2013, A.16.1.6: Анализ инцидентов информационной безопасности

B.10 Реализация корректирующих действий

См.: ИСО/МЭК 27001:2013, подраздел 10.1: Выявление несоответствий и корректирующие действия

B.11 Обучение СМИБ или осведомленность о СМИБ

См.: ИСО/МЭК 27001:2013, 7.2: Квалификация.

B.12 Обучение информационной безопасности

См.: ИСО/МЭК 27001:2013, A.7.2.2: Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

B.13 Согласие с политикой информационной безопасности

См.: ИСО/МЭК 27001:2013, A.7.2.2: Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

ИСО/МЭК 27001:2013, A.7.2.1: Обязанности руководства

B.14 Эффективность информационно-просветительских кампаний СМИБ

См.: ИСО/МЭК 27001:2013, A.7.2.2: Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

B.15 Подготовленность к социальной инженерии

См.: ИСО/МЭК 27001:2013, A.16.1: Менеджмент инцидентов информационной безопасности и улучшений;

ИСО/МЭК 27001:2013, А.9.3.1: Использование секретной аутентификационной информации;

ИСО/МЭК 27001:2013, A.7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

B.16 Качество паролей, созданных вручную

См.: ИСО/МЭК 27001:2013, A.9.3.1: Использование секретной аутентификационной информации

B.17 Качество паролей, созданных автоматизированно

См.: ИСО/МЭК 27001:2013, A.9.3.1: Использование секретной аутентификационной информации

B.18 Пересмотр прав доступа пользователей

См.: ИСО/МЭК 27001:2013, A.9.2.5: Пересмотр прав доступа пользователей

B.19 Оценка системы контроля физического доступа

См.: ИСО/МЭК 27001:2013, A.11.1.2: Меры и средства контроля и управления физическим доступом

B.20 Эффективность контроля физического доступа

См.: ИСО/МЭК 27001:2013, A.11.1.2: Меры и средства контроля и управления физическим доступом

Действие — Пересмотреть и улучшить средства контроля физической безопасности, применяемые к информационным системам.

B.21 Управление периодическим техническим обслуживанием

См.: ИСО/МЭК 27001:2013, A.11.2.4: Техническое обслуживание оборудования

B.22 Управление изменениями

См.: ИСО/МЭК 27001:2013, A.12.1.2: Процесс управления изменениями

B.23 Защита от вредоносного кода

См.: ИСО/МЭК 27001:2013, A.12.2.1: Меры обеспечения информационной безопасности в отношении вредоносных программ

Примечание — Организации, использующие этот показатель, должны учитывать следующие факторы, которые могут привести к неправильным выводам относительно показателя:

— количество обнаруженных и заблокированных компьютерных атак, вызванных вредоносным программным обеспечением, может быть очень высоким, в результате чего, значение показателя окажется очень маленьким;

— если в течение определенного периода времени наблюдается рост распространения конкретного вируса, организация может столкнуться и с увеличением количества компьютерных атак и инцидентов ИБ, связанных с вредоносными программами. При этом значение показателя может оставаться неизменным несмотря на то, что увеличение числа инцидентов может вызвать обеспокоенность.

B.24 Антивирус

См.: ИСО/МЭК 27001:2013, A.12.2.1: Меры обеспечения информационной безопасности в отношении вредоносных программ

B.25 Общая доступность

См.: ИСО/МЭК 27001:2013, A.17.2.1: Доступность средств обработки информации

B.26 Правила брандмауэра

См.: ИСО/МЭК 27001:2013, A.13.1.3: Разграничение сетевых служб

B.27 Анализ файлов журналов

См.: ИСО/МЭК 27001:2013, A.12.4.1: Регистрация событий

B.28 Конфигурация устройства

См.: ИСО/МЭК 27001:2013, A.12.6.1: Процесс управления техническими уязвимостями

B.29 Тестирование на проникновение и оценка уязвимости

См.: ИСО/МЭК 27001:2013, A.12.6.1: Процесс управления техническими уязвимостями

ИСО/МЭК 27001:2013, A.18.2.3: Анализ технического соответствия

B.30 Уровень уязвимости организации

См.: ИСО/МЭК 27001:2013, A.12.6.1: Процесс управления техническими уязвимостями

B.31.1 Безопасность в сторонних соглашениях — A

См.: ИСО/МЭК 27001:2013, A.15.1.2: Рассмотрение вопросов безопасности в соглашениях с поставщиками

Примечание — Данный показатель предполагает, что все требования безопасности равнозначны, однако на практике это обычно не так. Таким образом, общая картина может скрывать значительные различия и тем самым создавать ложное представление о безопасности. Кроме того, требования, которые организация предъявляет разным поставщикам, и способность поставщиков их выполнять также, вероятно, будут различаться. Это означает, что поставщиков не нужно оценивать одинаково. В идеале для обеспечения более точной и значимой оценки база данных поставщиков должна содержать рейтинг или категорию безопасности поставщика.

B.31.2 Безопасность в сторонних соглашениях — B

См.: ИСО/МЭК 27001:2013, A.15.1.2: Рассмотрение вопросов безопасности в соглашениях с поставщиками

B.32 Эффективность менеджмента инцидентов информационной безопасности

См.: ИСО/МЭК 27001:2013, A.16: Менеджмент инцидентов информационной безопасности

B.33 Тенденция инцидентов безопасности

См.: ИСО/МЭК 27001:2013, A.16.1: Менеджмент инцидентов информационной безопасности

B.34 Регистрация событий безопасности

См.: ИСО/МЭК 27001:2013, A.16.1.3: Сообщения о недостатках информационной безопасности

B.35 Процесс анализа СМИБ

См.: ИСО/МЭК 27001:2013, A.18.2.1: Независимая проверка информационной безопасности

B.36 Устранение уязвимости

См.: ИСО/МЭК 27001:2013, A.18.2.3: Анализ технического соответствия

Приложение C

(справочное)

 Пример спецификации конструкции оценки эффективности в форме произвольного текста

C.1 «Эффективность обучения» — конструкция оценки эффективности

В этом примере с использованием «свободного текстового формата» выясняется, будет ли более эффективным для достижения целей информационной безопасности обучать персонал формализованно, чем просто сделать политику доступной в Интернете.

Предположим, что все сотрудники (S1) обязаны прочитать онлайн-версию политики информационной безопасности организации в рамках условий своего найма (контракта).

В некоторый момент времени S2 — общее количество сотрудников, которые подтвердили, что читали политику в режиме онлайн (то есть они открыли ее в режиме онлайн и, по крайней мере, пролистали до конца текста).

S3 — количество сотрудников, которые прошли специальное обучение по информационной политике безопасности. (S3 всегда будет подмножеством S2, поскольку для курса потребуется предварительное онлайн-чтение политики).

Все сотрудники, которые хотя бы ознакомились с правилами, должны пройти онлайн-тестирование, включая тех, кто прошел официальное обучение.

S4P — количество сотрудников, которые успешно прошли тестирование только после ознакомления с политикой интрасети.

S4F — количество людей, которые проходили тестирование только после ознакомления с политикой интрасети и не смогли пройти его.

S5P — количество людей, которые успешно прошли тот же тест после посещения формального обучения.

S5F — количество людей, которые проходили тот же тест после посещения тренинга и не смогли пройти его.

E1=S1-S2 — количество сотрудников, которые еще не знакомы с политикой информационной безопасности.

Е2=S4P/(S4P+S4F) — доля сотрудников, которые только прочитали политику и хорошо ее понимают (это определяется порогом прохождения теста).

E3=S5P/(S5P+S5F) — доля сотрудников, которые прошли формальное обучение и хорошо понимают политику информационной безопасности.

E4=E3/E2 — показатель эффективности формального обучения по сравнению с простым самообучением.

S1-S2 также является полезным показателем, показывающим, сколько сотрудников еще не прочитало онлайн-политику. Этот показатель может иметь пороговое значение, которое при превышении определенной доли от общей численности персонала, может вызывать рассылку оповещений. Однако при этом также должна учитываться продолжительность чтения онлайн-политики.

Можно предположить, что со временем, по мере повышения уровня осведомленности и культуры информационной безопасности, порог может быть повышен по мере выявления тенденций, равно как и анализ вопросов, вызывающих неудачи, что может привести к более эффективному выражению политики или установлению более реалистичной цели.

 Библиография