[ИСО/МЭК 15939:2007]
3.7 показатель (indicator): Мера измерения, дающая качественную или количественную оценку определенных атрибутов, выведенную на основе аналитической модели, разработанной для определенных информационных потребностей.
3.8 информационная потребность (information need): Знание (сведения), необходимое(ые) для управления целями, задачами, рисками и проблемами.
[ИСО/МЭК 15939:2007]
3.9 мера [измерения]** (measure): Переменная, которой присваивается некоторое значение, полученное в результате измерения.
[ИСО/МЭК 15939:2007]
Примечание - Термин "меры измерений" (measures) используется для обозначения совокупности основных мер измерений, производных мер измерений и показателей.
Пример - Сравнение измеренной интенсивности отказов с расчетной интенсивностью отказов вместе с оценкой того, указывает ли различие интенсивностей на наличие проблемы или нет.
3.10 измерение (measurement): Процесс получения информации об эффективности СМИБ, а также мер и средств контроля и управления с использованием метода измерения, функции измерения, аналитической модели и критериев принятия решения.
3.11 функция измерения (measurement function): Алгоритм или вычисление, выполняемое для комбинирования двух или более основных мер измерения.
[ИСО/МЭК 15939:2007]
3.12 метод измерения (measurement method): Описанная в общем виде логическая последовательность операций, которая используется для количественного измерения атрибута относительно определенной шкалы.
[ИСО/МЭК 15939:2007]
Примечание - Вид метода измерения зависит от характера операций, используемых, для количественного измерения атрибута. Можно выделить следующие два вида метода измерения:
- субъективный: количественная оценка с использованием суждения человека;
- объективный: количественная оценка, основанная на числовых правилах.
3.13 результаты измерения (measurement results): Один или более показателей и их соответствующая интерпретация, предназначенные для информационной потребности.
3.14 объект (object): Элемент, который может быть охарактеризован посредством измерения его атрибутов.
3.15 шкала (scale): Упорядоченная совокупность значений, непрерывная или дискретная, или совокупность категорий, на которые отображается атрибут.
[ИСО/МЭК 15939:2007]
Примечание - Вид шкалы зависит от характера взаимосвязи между значениями на шкале. Обычно различают четыре вида шкал:
- номинальная: значением измерения является категория;
- порядковая (ранговая): значениями измерений являются ранги;
- интервальная: значения измерений отстоят одно от другого на равные расстояния, соответствующие одинаковым значениям атрибута;
- шкала отношений: значения измерений имеют равные расстояния, соответствующие одинаковым значениям атрибута, где нулевое значение соответствует отсутствию данного атрибута.
Представлены только примеры видов шкалы.
3.16 единица измерения (unit of measurement): Конкретная величина, определенная и принятая по соглашению, с которой сравниваются другие величины того же вида, чтобы выразить их значение относительно данной величины.
[ИСО/МЭК 15939:2007]
3.17 валидация (validation): Подтверждение посредством представления объективных свидетельств того, что требования в отношении конкретного использования или применения были выполнены.
3.18 верификация (verification): Подтверждение посредством предоставления объективных свидетельств того, что установленные требования были выполнены.
[ИСО 9000:2005]
Примечание - В качестве синонима может использоваться термин "проверка соответствия".
4 Структура
В настоящем стандарте представлены меры измерений и виды деятельности, связанные с измерениями, необходимыми для оценки эффективности реализации требований СМИБ к менеджменту необходимых и достаточных мер и средств контроля и управления безопасностью в соответствии с 4.2 ИСО/МЭК 27001:2005.
Настоящий стандарт имеет следующую структуру:
- общий обзор программы измерений и модели измерений, связанных с информационной безопасностью*** (см. раздел 5);
- обязанности руководства в отношении измерений, связанных с информационной безопасностью (см. раздел 6);
- конструктивные элементы и процессы измерений (такие, как планирование и разработка, реализация и функционирование, а также совершенствование измерений: распространение результатов измерений), подлежащие реализации в рамках программы измерений (см. разделы 7-10).
Кроме того, в приложении А представлена типовая форма конструктивных элементов измерения, составными частями которой являются элементы модели измерений (см. раздел 7). В приложении В представлены примеры конструктивных элементов измерения для конкретных мер и средств контроля и управления, а также процессов СМИБ с использованием типовой формы, представленной в приложении А.
Данные примеры предназначены для содействия организациям в проведении измерений, связанных с информационной безопасностью, а также документировании процессов измерений и их результатов.
5 Общий обзор измерений, связанных с информационной безопасностью
5.1 Цели измерений, связанных с информационной безопасностью
Цели измерений, связанных с информационной безопасностью, в контексте СМИБ включают в себя:
a) оценивание эффективности реализованных мер и средств контроля и управления или их групп [см. 4.2.2, перечисление d), рисунок 1];
b) оценивание эффективности реализованной СМИБ [см. 4.2.3, перечисление b), рисунок 1];
c) верификацию степени, до которой были удовлетворены установленные требования безопасности [см. 4.2.3, перечисление с), рисунок 1];
d) содействие повышению результативности информационной безопасности с точки зрения общих рисков основной деятельности организации;
е) предоставление сведений для проверки, проводимой руководством с целью содействия принятию решений, касающихся СМИБ, и обоснования необходимых улучшений в реализованной СМИБ.
Циклическая взаимосвязь видов деятельности, связанных с измерениями (их "входов-выходов"), по отношению к циклу "планирование - осуществление - проверка - действие" (PDCA-Plan-Do-Check-Act), определенному в ИСО/МЭК 27001, показана на рисунке 1. Цифры перед текстом в каждой фигуре обозначают номера подпунктов ИСО/МЭК 27001:2005.