Критерии принятия решений, соответствующие каждому показателю, следует определять и документировать на основе целей информационной безопасности для предоставления рекомендаций, обладающих исковой силой, для заинтересованных сторон. В этих рекомендациях следует рассматривать ожидаемые результаты прогресса и пороговые значения первоначальных улучшающих действий, основанных на показателях.
Критерии принятия решений устанавливают цель, в соответствии с которой определяется успех (см. 5.3) и даются рекомендации по интерпретации показателя относительно приближения к цели.
Необходимо, чтобы цели были определены для каждого элемента, касающегося выполнения процессов СМИБ и мер и средств контроля и управления, выполнения задач и для эффективности СМИБ, подлежащей оцениванию.
Руководство организации может принять решение не устанавливать цели для показателей, пока не будут собраны начальные данные. После того как будут определены корректирующие действия, основанные на начальных данных, могут быть определены соответствующие критерии принятия решений и этапы реализации, реальные для конкретной СМИБ. Если в тот момент критерии принятия решений не могут быть установлены, руководство должно оценить, обеспечат ли объекты измерения и соответствующие меры измерений ожидаемое значение для организации.
Установление критериев принятия решений может быть облегчено, если данные за прошлый период, относящиеся к созданию или выбору мер измерений, являются доступными. Тенденции, наблюдаемые в прошлом, дадут представление о существовавших ранее диапазонах функционирования и рекомендации по созданию реалистичных критериев принятия решений. Критерии принятия решений могут быть вычислены или основаны на концептуальном понимании ожидаемого поведения. Критерии принятия решений могут быть получены из данных за прошлый период, планов и эвристик или вычислены как пределы статистического контроля или пределы статистической достоверности.
7.5.8 Заинтересованные стороны
Для каждой основной и (или) производной меры измерения должны быть определены и документированы соответствующие заинтересованные стороны. В число заинтересованных сторон могут входить:
a) заказчики измерений: руководство или другие заинтересованные стороны, которые запрашивают или требуют информацию об эффективности СМИБ, мер и средств контроля и управления и их групп;
b) контролер измерения: лицо или подразделение организации, которое подтверждает, что разработанные конструктивные элементы измерений являются соответствующими для оценки эффективности СМИБ, мер и средств контроля и управления и их групп;
c) владелец информации: лицо или подразделение организации, которое владеет информацией об объектах измерения и атрибутах и является ответственным за измерения;
d) сборщик информации: лицо или подразделение организации, отвечающее за сбор, фиксирование и хранение данных;
e) субъект, отвечающий за передачу информации: лицо или подразделение организации, отвечающее за проведение анализа данных и сообщение о результатах измерения.
7.6 Конструктивные элементы измерений
Конструктивные элементы измерения должны включать в себя, как минимум, следующую информацию:
a) назначение измерения;
b) цель применения меры и средства контроля и управления, которой следует достичь с помощью мер и средств контроля и управления, а также специфических мер и средств контроля и управления, их групп, и процесса СМИБ, подлежащего измерению;
c) объект измерения;
d) данные, подлежащие сбору и использованию;
e) процессы сбора и анализа данных;
f) процесс, касающийся отчетности о результатах измерений и включающий в себя форматы отчетности;
g) роли и обязанности соответствующих заинтересованных сторон;
h) цикл проверки измерения для того, чтобы удостовериться в его полезности относительно информационной потребности.
Типовая форма конструктивных элементов измерений, включающая в себя информацию по перечислениям а) - h), приведена в приложении А. Примеры конструктивных элементов измерений, применяемых для измерения процессов и мер и средств контроля и управления СМИБ, приведены в приложении В.
7.7 Сбор, анализ и распространение данных
Необходимо устанавливать процедуры сбора и анализа данных, а также процессы распространения результатов разработанных измерений. При необходимости также следует устанавливать поддерживающие инструментальные средства, оборудование и технологию измерений. Эти процедуры, инструментальные средства, оборудование и технология измерений предназначены для следующих видов деятельности:
a) сбор данных, включая хранение и верификацию данных (см. 8.3). Процедуры должны определять то, каким образом должны собираться данные при использовании метода измерений, функции измерений и аналитической модели, а также, как и где они будут храниться вместе с какой-либо контекстной информацией, необходимой для понимания и верификации данных. Верификация данных может осуществляться посредством проверки данных относительно контрольного перечня, который создается для подтверждения того, что объем недостающих данных является минимальным, а значение, которое должно придаваться каждой мере измерения, - действительным.
Примечание - Верификация значений, которые должны придаваться основным мерам измерения, тесно связана с верификацией метода измерений (см. 7.5.3);
b) анализ данных и распространение результатов разработанных измерений. Процедуры должны точно определять способы анализа данных (см. 9.2), частоту, формат и методы сообщения результатов измерений. Должен быть определен диапазон инструментальных средств, которые могут потребоваться для выполнения анализа данных.
Примеры форматов сообщения включают в себя:
- протоколы результатов для предоставления стратегической информации путем интеграции высокоуровневых показателей;
- исполнительные и операционные инструментальные панели, менее сосредоточенные на стратегических целях и более связанные с эффективностью определенных мер и средств контроля и управления, а также процессов;
- отчеты, от простых и статических по характеру, таких как список мер измерений за данный период времени, до более сложных отчетов с перекрестными ссылками, имеющих вложенные группировки, скользящие таблицы итогов, динамическое углубление в данные или связывание. Отчеты лучше всего использовать, если пользователю нужно просматривать исходные данные в удобном для чтения формате;
- показатели для представления динамических значений данных, включая предупреждения, дополнительные графические элементы и маркировку конечных точек.
7.8 Реализация и документирование измерений
Общий подход к измерениям следует отразить в плане реализации. В план реализации следует включать, как минимум, следующую информацию:
a) реализация программы измерений для организации;
b) спецификация измерений, включая:
1) общие конструктивные элементы измерений организации,
2) специфические конструктивные элементы измерений организации,
3) определение диапазона и процедур для сбора и анализа данных;
c) календарный план выполнения видов деятельности, связанных с измерениями;
d) регистрационные данные, формируемые во время выполнения видов деятельности, связанных с измерениями, включая регистрационные данные о собранных сведениях и их анализ;
e) форматы сообщения о результатах измерений, подлежащих сообщению руководству / заинтересованным сторонам (см. раздел 7 "Анализ со стороны руководства" ИСО/МЭК 27001:2005).
8 Процесс измерений
8.1 Общие положения
Процесс измерений, связанных с информационной безопасностью, включает в себя виды деятельности, являющиеся важными для предоставления в результатах разработанных измерений точной информации, касающейся эффективности реализованной СМИБ, мер и средств контроля и управления и их групп, а также необходимости соответствующих действий по совершенствованию.
Эта стадия включает в себя:
a) интеграцию процедур измерений в общий процесс СМИБ;
b) сбор, хранение и верификацию данных.
8.2 Интеграция процедур