i) обеспечить, чтобы измерения предоставляли достаточное количество информации заинтересованным сторонам относительно эффективности мер и средств контроля и управления и их групп, а также потребности в совершенствовании реализованных мер и средств контроля и управления.
Посредством соответствующего распределения связанных с измерениями ролей и обязанностей руководство должно обеспечить, чтобы на результаты измерений не оказывали влияния владельцы информации (см. 7.5.8). Этого можно достичь разделением обязанностей или, если это невозможно, использованием подробной документации, делающей возможными независимые проверки.
6.2 Менеджмент ресурсов
Руководству следует выделить и предоставить ресурсы для поддержки ключевых видов деятельности, связанных с такими измерениями, как сбор, анализ, хранение, регистрация и распространение данных. При распределении ресурсов следует установить:
a) лиц, ответственных за все аспекты программы измерений;
b) соответствующую финансовую поддержку;
c) соответствующую инфраструктурную поддержку, например, физическую инфраструктуру и инструментальные средства, используемые для осуществления процесса измерений.
Примечание - В 5.2.1 ИСО/МЭК 27001:2005 установлено требование обеспечения ресурсов для реализации и функционирования СМИБ.
6.3 Обучение, осведомленность и компетентность, связанные с измерениями
Руководство организации должно обеспечить:
a) обучение должным образом заинтересованных сторон (см. 7.5.8) для успешного выполнения их ролей и обязанностей и соответствующую квалификацию;
b) понимание заинтересованных сторон того, что в их обязанности входит внесение предложений по совершенствованию реализованной программы измерений.
7 Разработка измерений и мер измерений
7.1 Общие положения
Настоящий раздел представляет собой руководство по разработке измерений и мер измерений с целью оценки эффективности реализованной СМИБ и мер и средств контроля и управления и их групп, а также формирования характерных для организации совокупностей конструктивных элементов измерений. Виды деятельности, необходимые для разработки измерений и мер измерений, следует устанавливать и документировать, используя:
a) определение области применения измерений (см. 7.2);
b) выявление информационной потребности (см. 7.3);
c) выбор объекта измерений и его атрибутов (см. 7.4);
d) разработку конструктивных элементов измерений (см. 7.5);
e) применение конструктивных элементов измерений (см. 7.6);
f) установление процессов и инструментальных средств сбора и анализа данных (см. 7.7);
g) определение подхода к реализации измерений и документации (см. 7.8).
При установлении этих видов деятельности организации следует учитывать финансовые, кадровые и инфраструктурные (физические и связанные с инструментальными средствами) ресурсы.
7.2 Определение области применения измерений
В зависимости от возможностей и ресурсов организации первоначальная область деятельности организации в части измерений, связанных с информационной безопасностью, может быть ограничена такими элементами, как специфические меры и средства контроля и управления, информационные активы, защищенные специфическими мерами и средствами контроля и управления, специфические виды деятельности, направленные на обеспечение информационной безопасности, которым руководство присваивает наивысший приоритет. С течением времени область применения видов деятельности, связанных с измерениями, будет расширяться для того, чтобы рассматривать дополнительные компоненты реализованной СМИБ, а также меры и средства контроля и управления и их группы, учитывая приоритеты заинтересованных сторон.
Необходимо, чтобы были определены соответствующие заинтересованные стороны, которым следует принимать участие в определении области применения измерений. Соответствующие заинтересованные стороны могут быть внутренними или внешними по отношению к подразделениям организации, например, руководителями проектов, администраторами информационных систем или лицами, принимающими решения по обеспечению информационной безопасности. Специфические результаты измерений эффективности отдельных мер и средств контроля и управления и их групп следует определять и доводить до сведения соответствующих заинтересованных сторон.
Организация может рассмотреть ограничение числа результатов измерений, о которых должно быть сообщено лицам, принимающим решения в течение конкретного периода времени, с тем чтобы обеспечить им возможность влиять на совершенствование СМИБ, основанное на сообщенных результатах измерений. Чрезмерное число сообщенных результатов измерений будет влиять на возможность лица, принимающего решения, фокусировать усилия и назначать приоритеты для будущих видов деятельности по совершенствованию. Приоритеты рассмотрения результатов измерений следует основывать на важности соответствующих информационных потребностей и связанных с ними целей СМИБ.
Примечание - Область применения измерений относится к сфере применения СМИБ, установленной в соответствии с перечислением а) 4.2.1 ИСО/МЭК 27001:2005.
7.3 Выявление информационной потребности
Каждому конструктивному элементу измерений должна соответствовать, по меньшей мере, определенная информационная потребность. Пример информационной потребности, описываемой в начальной точке как цель измерения и завершающейся получением критериев, необходимых для принятия решения, представлен в приложении А.
Для выявления значительных информационных потребностей следует выполнить следующие действия:
a) исследовать СМИБ и ее процессы, такие как:
1) политика и цели СМИБ, цели применения мер и средств контроля и управления, а также меры и средства контроля и управления,
2) правовые, нормативные, договорные и организационные требования обеспечения информационной безопасности,
3) результаты процесса менеджмента риска информационной безопасности по ИСО/МЭК 27001;
b) назначать приоритеты выявленным информационным потребностям на основе критериев, таких как:
1) приоритеты обработки риска,
2) возможности и ресурсы организации,
3) интересы заинтересованных сторон,
4) политика информационной безопасности,
5) информация, необходимая для удовлетворения правовых, нормативных и договорных требований,
6) ценность информации, касающейся стоимости измерений;
c) выбирать подмножество информации, подлежащей рассмотрению в видах деятельности, связанных с измерениями, из списка приоритетов;
d) документировать информационные потребности и сообщать о них всем соответствующим заинтересованным сторонам.
Все необходимые меры измерения, применяемые для реализованной СМИБ, для мер и средств контроля и управления и их групп следует реализовывать в соответствии с установленными информационными потребностями.
7.4 Выбор объекта и атрибута
Объект измерений и его атрибуты следует определять в общем контексте и сфере применения СМИБ. Следует заметить, что объект измерений может иметь несколько применимых атрибутов.
Объект и его атрибуты, которые применяются при измерении, следует выбирать на основе приоритетов соответствующих информационных потребностей.
Значения, которые должны присваиваться соответствующей основной мере измерения, получают путем применения надлежащего метода измерения к выбранным атрибутам. Этот выбор должен также обеспечивать, чтобы:
- соответствующая основная мера измерения и надлежащий метод измерения могли быть определены;