ГОСТ Р ИСО/МЭК 27004-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание
8.3 Спецификация и поддержка показателей
8.3.1 Общие положения
Организации должны специфицировать показатели один раз, а затем пересматривать и систематически обновлять эти показатели с запланированной периодичностью или в случаях, когда среда СМИБ претерпевает существенные изменения. Такие изменения могут включать, среди прочего:
a) изменение области применения СМИБ;
b) изменение организационной структуры;
c) изменения заинтересованных сторон, включая изменения ролей, обязанностей и полномочий заинтересованных сторон;
d) изменения бизнес-целей и требований;
e) изменения нормативно-правовых требований;
f) достижение желаемых и стабильных результатов в течение нескольких последовательных циклов;
g) внедрение или размещение технологий и систем обработки информации.
Спецификация или обновление таких показателей может включать, среди прочего, следующие шаги:
h) определить текущие практики безопасности, которые могут удовлетворить информационные потребности;
i) разработать или обновить показатели;
j) документировать показатели и определить приоритет реализации;
k) информировать и вовлекать в процесс руководство.
Ожидается, что обновление показателей потребует меньше времени и усилий, чем первоначальная спецификация.
8.3.2 Идентификация текущих методов безопасности, которые могут удовлетворить информационные потребности
Как только потребность организации в информации определена, необходимо в качестве потенциального компонента оценки защищенности рассмотреть существующие методы оценки защищенности и обеспечения безопасности. Существующие методы оценки защищенности и обеспечения и безопасности могут включать в себя оценки, связанные с:
a) менеджментом рисков;
b) управлением проектами;
c) отчетностью о соответствии;
d) политикой безопасности.
8.3.3 Спецификация или обновление показателей
Показатели должны отвечать информационным потребностям. Они могут базироваться на текущих методиках или требовать новых. Вновь определенные показатели могут также представлять собой адаптацию существующих показателей или процессов оценки защищенности. В любом случае, чтобы быть реализованными, новые показатели должны быть специфицированы достаточно подробно.
Примеры данных, которые могут быть собраны для формирования показателей безопасности:
a) выход различных логов и сканов;
b) статистические данные о подготовке кадров и других людских ресурсах;
c) соответствующие опросы и анкеты;
d) статистика инцидентов;
e) результаты внутренних аудитов;
f) результаты мероприятий по обеспечению непрерывности бизнеса/аварийному восстановлению.
g) отчеты о проверках со стороны руководства.
Эти и другие потенциальные источники данных, которые могут иметь как внутреннее, так и внешнее происхождение, должны быть изучены, а типы доступных данных должны быть определены.
Выбранные показатели должны соответствовать приоритетам информационных потребностей и могут учитывать:
h) простоту сбора данных;
i) доступность человеческих ресурсов для сбора и управления данными;
j) наличие соответствующих инструментов;
k) количество потенциально важных индикаторов эффективности, обеспечиваемых показателем;
l) простоту интерпретации;
m) количество потребителей полученных результатов оценки защищенности;
n) доказательства, подтверждающие соответствие показателей целям или информационным потребностям;
o) затраты на сбор, управление и анализ данных.
Организация должна документировать каждый показатель в форме, которая связывает показатель с соответствующей информационной потребностью (или потребностями) и предоставляет достаточную информацию о характеристиках, описывающих показатель, а также о том, как собирать, анализировать и отчитываться. Предлагаемые информационные показатели приведены в таблице 1.
Примеры в приложении B сформированы на основе шаблона, представленного в таблице 1. Два примера имеют дополнительную информационную строку, обозначенную как "действие", которое необходимо предпринять в случае, если цель не достигнута. Организации могут включать эту информационную строку, если они считают это полезным. Однако не существует универсального способа спецификации таких конструкций оценки, и в приложении C показан альтернативный подход в виде спецификации в свободной форме.
Следует отметить, что для удовлетворения потребностей разных клиентов оценки защищенности могут потребоваться разные показатели (см. таблицу 1), которые могут быть внутренними или внешними. Например, показатели удовлетворения потребностей в информации топ-менеджмента могут отличаться от подобных показателей для системного администратора. Каждая заинтересованная сторона может иметь свой конкретный диапазон, фокус, или степень детализации.
Таблица 1
Пример спецификации показателя безопасности
Информационный показатель | Значение или цель |
Идентификатор показателя | Конкретный идентификатор |
Информационная потребность | Доминирующая потребность в отношении данного показателя |
Показатель оценки | Как описывается результат оценки защищенности, как правило, с использованием таких слов, как "процент", "число", "частота" и "среднее" |
Формула/выигрыш | Как должен оцениваться показатель - формула или выигрыш |
Цель | Желаемый результат оценки защищенности, например, этап или статистический показатель или набор пороговых значений. Обратите внимание, что для обеспечения непрерывного достижения цели может потребоваться постоянный мониторинг |
Доказательство реализации | Доказательство, подтверждающее, что оценка защищенности выполнено, помогает определить возможные причины плохих результатов и обеспечивает входные данные для процесса. Данные для ввода в формулу |
Частота | Как часто данные должны собираться и передаваться. В отдельных случаях может быть несколько частот |
Ответственные стороны | Лицо, ответственное за сбор и обработку данных для показателя. По крайней мере, необходимо определить владельца информации, сборщика информации и потребителя оценки защищенности |
Источник данных | Потенциальными источниками данных могут быть базы данных, инструменты мониторинга, другие подразделения организации, внешние организации или специфические конкретные должностные функции |
Формат представления в отчете | Как показатель должен суммироваться и быть представлен в отчете, например, в виде текста, чисел, графически (круговая диаграмма, линейная диаграмма, гистограмма и т.д.), как часть "панели инструментов" или в другой форме представления |
Каждый показатель должен соответствовать, по крайней мере, одной информационной потребности, но в то же время одна информационная потребность может потребовать нескольких показателей.
Очень важно определить показатели таким образом, чтобы единожды собранные данные могли быть использованы для различных целей. В идеале одни и те же данные должны использоваться для оценки различных мер обеспечения ИБ, отвечающих разным информационным потребностям различных заинтересованных сторон. Кроме того, следует отметить, что не всегда показатель, который легче всего оценить, будет наиболее значимым или наиболее актуальным.
Цели должны указывать желаемые конечные значения конкретных показателей для процессов и средств контроля и управления СМИБ, для достижения целей ИБ и результативности оцениваемой СМИБ.
Определение целей может оказаться проще, если имеются накопленные данные, относящиеся к специфицированным или выбранным показателям. Тенденции, наблюдаемые в прошлом, могут в некоторых случаях дать представление о результатах предыдущих оценок и могут подсказать направления для создания реалистичных целей. Тем не менее, организации должны иметь в виду, что определение целей без должного рассмотрения на основе того, что было достигнуто ранее или предыдущих результатов, может также вызвать "замораживание" текущего положения или даже препятствовать постоянному улучшению.
8.3.4 Документирование показателей и расстановка приоритетов для реализации
После определения требуемых показателей их спецификация должна быть документирована, а сами показатели должны быть расставлены по приоритетам для реализации оценки защищенности на основе приоритета каждой потребности в информации и возможности получения данных. Оценки деятельности по обеспечению ИБ должны быть реализованы в первую очередь, чтобы гарантировать, что процессы и средства контроля и управления СМИБ были введены в действие. Как только значения показателей деятельности по обеспечению ИБ достигают целевых значений, можно производить оценки показателей эффективности. О том, когда выполнять мониторинг и связанные с ним действия описано в 6.4.
8.3.5 Информирование и привлечение руководства
Для того, чтобы показатели отражали потребности руководства, к работам по спецификации показателей и реализации оценки защищенности необходимо привлечь управленческий персонал разного организационного уровня. Кроме того, руководство должно получать в удобном формате регулярные обновления для обеспечения гарантии того, что оно в должной степени информировано о деятельности по оценке безопасности в течение всего процесса разработки, реализации и использования показателей.
Подписаться на обновления