Конкретной организации следует устанавливать цели измерений на основе ряда факторов, включающих в себя:
a) роль информационной безопасности в поддержке различных видов основной деятельности организации и рисков, с которыми она сталкивается;
b) соответствующие правовые, нормативные и договорные требования;
c) структуру организации;
d) расходы и выгоды от реализации мер, связанных с обеспечением информационной безопасности;
e) критерии принятия риска для организации;
f) необходимость сравнения нескольких СМИБ, имеющихся в одной и той же организации.
5.2 Программа измерений
Организации следует создать программу измерений и управлять ею для достижения установленных целей измерений и внедрения модели "планирование - осуществление - проверка - действие" в масштабах всей измерительной деятельности организации. Организации следует также разрабатывать и реализовывать конструктивные элементы измерений для получения воспроизводимых, объективных и пригодных результатов измерений, основанных на модели измерений (см. 5.4).
Программа измерений и разработанные конструктивные элементы измерений должны обеспечивать эффективное налаживание организацией объективных и повторяемых процессов измерения, а также предоставление результатов измерений соответствующим заинтересованным сторонам для определения потребностей в усовершенствовании реализованной СМИБ, включая область ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры.
Программа измерений должна включать в себя следующие процессы:
a) разработка измерений и мер измерений (см. раздел 7);
b) проведение измерений (см. раздел 8);
c) анализ данных и распространение результатов измерений (см. раздел 9);
d) оценивание и совершенствование программы измерений, связанных с информационной безопасностью (см. раздел 10).
Организационную и эксплуатационную структуру программы измерений следует определять, учитывая масштабы и сложность СМИБ, частью которой эта программа является. Во всех случаях роли и обязанности, касающиеся программы измерений, должны быть явным образом назначены компетентному персоналу (см. 7.5.8).
Меры, выбранные и реализованные в рамках программы измерений, следует непосредственно связывать с функционированием СМИБ, другими мерами измерений, а также процессами основной деятельности организации. Измерения могут быть интегрированы в обычные процессы функционирования или могут выполняться через постоянные интервалы времени, определенные руководством СМИБ.
5.3 Факторы успеха
Ниже перечислены некоторые факторы, способствующие успеху программы измерений в содействии непрерывному совершенствованию СМИБ:
a) поддержка со стороны руководства, подкрепляемая соответствующими ресурсами;
b) наличие процессов и процедур СМИБ;
c) воспроизводимый процесс, способный фиксировать и сообщать значимые данные для выведения важных тенденций за некий период времени;
d) меры безопасности, основанные на целях СМИБ, эффективность которых может быть оценена количественно;
e) легко получаемые данные, которые могут быть использованы для измерений;
f) оценивание эффективности программы измерений и реализация намеченных улучшений;
g) последовательный периодический сбор, анализ и четкое представление результатов измерений;
h) использование результатов измерений соответствующими заинтересованными сторонами для выявления потребностей в совершенствовании реализованной СМИБ, включая сферу ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры;
i) получение ответной реакции на результаты измерений от соответствующих заинтересованных сторон;
j) оценивание полезности результатов измерений и реализация намеченных усовершенствований.
После успешной реализации программа измерений может:
1) продемонстрировать выполнение организацией применимых правовых или нормативных требований и договорных обязательств;
2) способствовать выявлению ранее необнаруженных или неизвестных проблем информационной безопасности;
3) содействовать удовлетворению потребностей руководства в отчетности, когда определены меры измерений завершенных и текущих видов деятельности;
4) использоваться в качестве источника данных для процесса менеджмента риска информационной безопасности, внутренних аудитов СМИБ и проводимых руководством проверок.
5.4 Модель измерений
Примечание - Понятия "модель измерений" и "конструктивные элементы измерений", принятые в настоящем стандарте, основаны на понятиях, установленных в ИСО/МЭК 15939. Термин "информационный продукт" ("information product"), используемый в ИСО/МЭК 15939, является синонимом термина "результаты измерений" ("measurement results") настоящего стандарта, а термин "процесс измерений" ("measurement process"), используемый в ИСО/МЭК 15939, является синонимом термина "программа измерений" ("measurement programme") настоящего стандарта.
5.4.1 Общие положения
Модель измерений представляет собой структуру, связывающую информационную потребность с соответствующими объектами измерений и их атрибутами. В число объектов могут входить планируемые и реализованные процессы, процедуры, проекты и ресурсы.
Модель измерений описывает, как соответствующие атрибуты количественно оцениваются и преобразуются в показатели, служащие основой для принятия решений. Модель измерений показана на рисунке 2.
В дальнейших подпунктах описываются отдельные элементы модели. Также в них приводятся примеры использования этих отдельных элементов.
Информационные потребности или цель измерений, используемые в примерах, содержащихся в таблицах 1-4, заключаются в оценке состояния осведомленности соответствующего персонала о соответствии политике безопасности организации (см. А.8.2 "Цель применения мер и средств контроля и управления" приложения А, а также А.8.2.1 и А.8.2.2 "Меры и средства контроля и управления" приложения А ИСО/МЭК 27001:2005).
5.4.2 Основная мера измерения и метод измерений
Основная мера измерения является самой простой мерой, которая может быть получена. Основная мера измерения является результатом применения метода измерений к выбранным атрибутам объекта измерений. У объекта измерения может быть множество атрибутов, но лишь некоторые из них могут предоставлять полезные значения, которые могут быть присвоены основной мере измерения. Один и тот же атрибут может использоваться для нескольких различных основных мер измерений.
Метод измерений - это логическая последовательность операций, используемых для количественной оценки атрибута по отношению к заданной шкале. Операция может включать в себя такие действия, как подсчет событий или наблюдение за ходом времени.
Метод измерений должен основываться на атрибутах объекта измерений. Примерами объектов измерений наряду с прочим могут служить:
- результативность мер и средств контроля и управления, реализованных в СМИБ;
- состояние информационных активов, защищенных мерами и средствами контроля и управления;
- результативность процессов, реализованных в СМИБ;
- поведение персонала, ответственного за реализацию СМИБ;