- деятельность подразделений организации, ответственных за информационную безопасность;
- степень удовлетворенности заинтересованных сторон.
Метод измерений может использовать объекты измерений и атрибуты из разнообразных источников, таких как:
- результаты анализа риска и оценки риска;
- анкеты и личные беседы;
- отчеты о внутренних и (или) внешних аудитах;
- документированную информацию о событиях, например, протоколы, статистические данные отчетов и журналы регистрации;
- сообщения об инцидентах, особенно о тех, вследствие которых был причинен ущерб;
- результаты тестирования, например, полученные в результате тестирования на проникновение, использования социальной инженерии, инструментальных средств обеспечения соответствия, а также инструментальных средств аудита безопасности;
- документированную информацию, полученную из процедур и программ организации, связанных с обеспечением информационной безопасности, например, результаты программ обучения, направленных на повышение осведомленности об информационной безопасности.
В таблицах 1 - 4 показано применение модели информационной безопасности для следующих мер и средств контроля и управления:
- "мера и средство контроля и управления 2" - ссылается на меру и средство контроля и управления по А.8.2.1 "Обязанности руководства", приложение А ИСО/МЭК 27001:2005 ("Руководство организации должно требовать, чтобы сотрудники, подрядчики и пользователи сторонней организации были ознакомлены с правилами и процедурами обеспечения мер безопасности в соответствии с установленными требованиями"). "Мера и средство контроля и управления 2" реализуется следующим образом: "Весь персонал, имеющий отношение к СМИБ, должен быть ознакомлен с соответствующими обязательствами пользователей до получения доступа к информационной системе";
- "мера и средство контроля и управления 1" - ссылается на меру и средство контроля и управления по А.8.2.2 "Осведомленность, обучение и переподготовка в области информационной безопасности", приложение А ИСО/МЭК 27001:2005 ("Все сотрудники организации и, при необходимости, подрядчики и пользователи сторонних организаций должны проходить соответствующее обучение и переподготовку в целях регулярного получения информации о новых требованиях правил и процедур организации безопасности, необходимых для выполнения ими должностных функций"). "Мера и средство контроля и управления 1" реализуется следующим образом: "Весь персонал, имеющий отношение к СМИБ, до получения доступа к информационной системе должен пройти обучение, направленное на повышение осведомленности в сфере информационной безопасности".
Соответствующие конструктивные элементы измерений содержатся в В.1 (приложение В).
Примечание - Таблицы 1 - 4 состоят из столбцов (таблица 1 - из четырех столбцов, таблицы 2 - 4 - из трех), обозначенных буквенным идентификатором. Каждый блок, находящийся в пределах отдельных столбцов, обозначен числовым идентификатором. Комбинации из буквы и числового идентификатора используются в последующих блоках для ссылки на предыдущие блоки. Стрелками обозначены потоки данных между отдельными элементами модели измерений в рамках конкретного примера.
Пример взаимосвязей между объектом измерений, атрибутом, методом измерений и основной мерой измерения при измерении объектов, установленных для реализованных мер и средств контроля и управления, описанных выше, представлен в таблице 1.
Таблица 1 - Пример основной меры измерения и метода измерения
5.4.3 Производная мера измерения и функция измерения
Производная мера измерения является комбинацией двух или более основных мер измерений. Данная основная мера измерения может служить в качестве входных данных для нескольких производных мер измерения.
Функцией измерения является вычисление, используемое для комбинирования основных мер измерения, с целью получения производной меры измерения.
Шкала и единица измерения производной меры измерения зависят от шкал и единиц измерения основных мер измерения, на основе которых она получена, а также от того, как они комбинировались функцией измерения.
Функция измерения может использовать разнообразные методы, такие как вычисление среднего значения основных мер измерений, применение весовых коэффициентов к основным мерам измерений или присвоение основным мерам измерений качественных значений. Функция измерения может объединять основные меры измерений, используя разные значения шкалы, например, процентные соотношения и результаты качественных оценок.
Пример взаимосвязи других элементов при использовании модели измерений, т. е. основная мера измерения, функция измерения и производная мера измерения, приведен в таблице 2.
Таблица 2 - Пример производной меры измерения и метода измерения
5.4.4 Показатели и аналитическая модель
Показатель является мерой, дающей качественную или количественную оценку определенных атрибутов, полученную на основе аналитической модели в отношении определенной информационной потребности. Показатели получают путем применения аналитической модели к основной и (или) производной мере измерений и комбинирования их с использованием критериев принятия решений. Шкала и метод измерения влияют на выбор аналитических методов, используемых для получения показателей.
Пример взаимосвязи между производными мерами измерений, аналитической моделью и показателями для применения модели измерений приведен в таблице 3.
Таблица 3 - Пример показателя и аналитической модели
Примечание - Если показатель представлен в графической форме, то должна быть предусмотрена возможность его использования лицами с ограничениями по зрению, а также в случае изготовления монохромных копий. С этой целью описание показателя должно охватывать использование цвета, штриховки и полутонов, шрифты и другие способы визуального представления.
5.4.5 Результаты измерений и критерии принятия решений
Результаты измерений формируются путем интерпретации применимых показателей на основе определенных критериев принятия решений и должны рассматриваться в контексте общих целей измерения эффективности СМИБ. Критерии принятия решений используются для того, чтобы определить необходимость действия или дальнейшего исследования и характеризовать степень уверенности в результатах измерения. Критерии принятия решений могут применяться для ряда показателей, например, для проведения анализа трендов на основе показателей, полученных в разные моменты времени.
Целевые значения задают детализированные требования результативности, применимые к организации или ее частям, выведенные из целей информационной безопасности, таких как цели СМИБ и цели применения мер и средств контроля и управления, которые должны быть установлены и выполнены для достижения этих целей.
Пример взаимосвязей конечных элементов применения модели измерений (т.е. показателя, критериев принятия решений и результатов измерений) приведен в таблице 4.
Таблица 4 - Пример взаимосвязей конечных элементов применения модели измерений
6 Обязанности руководства
6.1 Общие положения
В обязанности руководства входит установление программы измерений с привлечением соответствующих заинтересованных сторон (см. 7.5.8) к видам деятельности по измерению с использованием результатов измерений в качестве входных данных для осуществляемой руководством проверки и с использованием результатов измерений в видах деятельности по улучшению в рамках СМИБ.
Для достижения этого руководству следует:
a) установить цели программы измерений;
b) установить политику программы измерений;
c) установить роли и обязанности в отношении программы измерений;
d) обеспечить адекватные ресурсы для проведения измерений, включая персонал, финансирование, инструментальные средства и инфраструктуру;
e) обеспечить достижение целей программы измерений;
f) обеспечить поддержание инструментальных средств и оборудования, используемых для сбора данных, в надлежащем состоянии;
g) установить цель измерения для каждого конструктивного элемента измерений;
h) обеспечить, чтобы измерения предоставляли заинтересованным сторонам достаточное количество информации, касающейся эффективности СМИБ и потребностей в усовершенствовании реализованной СМИБ, включая сферу ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры;