ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

9 Оценка эффективности

 

9.1 Мониторинг, измерение, анализ и оценка

 

Необходимые мероприятия

Организация оценивает эффективность ИБ и СМИБ.

Пояснение

Цель мониторинга и измерения заключается в том, чтобы помочь организации понять, достигнуты ли ожидаемые результаты мероприятий по ИБ, включая оценку и обработку рисков в соответствии с планом.

Мониторинг определяет состояние системы, процесса или деятельности, а оценка - это процесс определения значения. Таким образом, мониторинг может быть достигнут путем выполнения аналогичных измерений в течение некоторого периода времени.

Для мониторинга и оценки организация устанавливает:

a) что подвергать мониторингу и измерять;

b) кто и когда производит мониторинг и измерения;

c) методы, которые должны использоваться для получения достоверных результатов (то есть сопоставимых и воспроизводимых).

Для анализа и оценки организация устанавливает:

d) кто и когда анализирует и оценивает результаты мониторинга и измерений;

e) методы, которые будут использоваться для получения достоверных результатов.

Существует два аспекта оценки:

f) оценка эффективности ИБ для определения, работает ли организация, как это ожидается, что включает определение, насколько хорошо процессы в рамках СМИБ соответствуют их спецификациям;

g) оценка эффективности СМИБ для определения, предпринимает ли организация верные шаги, включая определение степени достижения целей ИБ.

Примечание - Термин "по возможности" (см. подраздел 9.1, перечисление b) ИСО/МЭК 27001) означает, что если методы мониторинга, измерения, анализа и оценки могут быть определены, то их необходимо определить.

 

Руководство

Хорошей практикой является определение "информационной потребности" при планировании мониторинга, измерений, анализа и оценки. Информационная потребность обычно выражается в виде вопроса или заявления высокого уровня, касающихся ИБ, которые помогают организации оценить эффективность ИБ и СМИБ. Другими словами, мониторинг и измерение должны проводиться для достижения определенной информационной потребности.

Следует проявлять осторожность при определении признаков, которые будут измеряться. Сложно выполнимо, дорого и контрпродуктивно измерять слишком много признаков или неправильно выбранные признаки. Помимо затрат на измерение, анализ и оценку многочисленных признаков, существует вероятность того, что ключевые факторы могут быть скрыты или совсем пропущены.

Существует два типа измерений:

h) измерения производительности, которые выражают запланированные результаты с точки зрения характеристик планируемой деятельности, таких как подсчет количества сотрудников, достижение контрольных показателей или степени, в которой реализованы меры обеспечения ИБ;

i) оценка эффективности, которая выражает влияние реализации запланированных мероприятий на цели ИБ организации.

Может оказаться целесообразным определить и назначить особые роли тем, кто участвует в мониторинге, измерении, анализе и оценке. Этими ролями могут быть заказчик измерения, планировщик измерений, проверяющий измерения, владелец информации, сборщик информации, информационный аналитик и ответственный за передачу информации для оценки (ИСО/МЭК 27004, подраздел 6.5).

Обязанности по мониторингу и измерению, а также по анализу и оценке часто возлагаются на отдельных лиц, которым требуется различная компетентность.

Дополнительная информация

Мониторинг, измерение, анализ и оценка имеют решающее значение для эффективности СМИБ. В ИСО/МЭК 27001 имеется ряд положений, которые явно требуют определения эффективности некоторых мероприятий. Например, ИСО/МЭК 27001, 6.1.1, перечисление e), 7.2, перечисление c) или 10.1, перечисление d).

Дополнительную информацию можно найти в ИСО/МЭК 27004, который содержит руководство по выполнению требований, приведенных в подразделе 9.1 ИСО/МЭК 27001. В частности, в нем расширяются все упомянутые выше понятия, такие как роли, обязанности и формы, и приводятся многочисленные примеры.