Программа измерений должна быть полностью интегрирована в СМИБ и использована ею. Процедуры измерения должны быть скоординированы с видами деятельности в рамках СМИБ, включая:
a) определение и документирование ролей, полномочий и обязанностей, относящихся к разработке, реализации и поддержке измерений, связанных с информационной безопасностью;
b) сбор данных, а при необходимости, изменение текущего процесса СМИБ для согласования видов деятельности по генерации и сбору данных;
c) сообщение об изменениях в деятельностях по сбору данных соответствующим заинтересованным сторонам;
d) поддержку компетентности сборщиков информации и понимания ими необходимых видов данных, инструментальных средств сбора данных и процедур сбора данных;
e) разработку политик и процедур, определяющих использование измерений в рамках организации, распространение связанной с измерениями информации, аудит и проверку программы измерений;
f) интеграцию анализа и сообщения данных в соответствующие процессы для обеспечения регулярного функционирования этих процессов;
g) мониторинг, анализ и оценивание результатов измерений;
h) создание процесса постепенной замены существующих мер измерений новыми в целях обеспечения их актуальности для организации;
i) установление процесса определения и поддержки сроков хранения архивных данных, необходимых для анализа трендов и динамки изменений.
8.3 Сбор, хранение и верификация данных
Деятельности, связанные со сбором, хранением и верификацией данных, включают в себя:
a) сбор необходимых данных через постоянные интервалы времени с использованием назначенного метода измерения;
b) документирование сбора данных, которое должно содержать:
1) дату, время и место сбора данных,
2) сборщика информации,
3) владельца информации,
4) любые вопросы, возникающие во время сбора данных, которые могут быть полезными,
5) информацию для верификации данных и валидации измерений;
c) верификацию собранных данных с использованием критериев выбора мер измерения и критериев валидации из конструктивных элементов измерений.
Собранные данные и любая необходимая контекстная информация должны быть сгруппированы и сохранены в форме, подходящей для анализа данных.
9 Анализ данных и отчетность по результатам измерений
9.1 Общие положения
Собранные данные следует анализировать для изложения результатов измерений, а информацию об изложенных результатах измерений необходимо распространять. Эта деятельность включает в себя:
a) анализ данных и изложение результатов измерений;
b) сообщение о результатах измерений соответствующим заинтересованным сторонам.
9.2 Анализ данных и изложение результатов измерений
Собранные данные следует анализировать и интерпретировать с точки зрения критериев принятия решений. До проведения анализа данные могут быть агрегированы, трансформированы или перекодированы. Во время выполнения этой задачи обрабатываемые данные должны сформировать значения соответствующих показателей. Может быть применено несколько методов анализа. Глубина анализа должна определяться характером данных и информационной потребностью.
Примечание - Руководство по проведению статистического анализа можно найти в ИСО/ТО 10017 (Руководство по статистическим методам ИСО 9001).
Результаты анализа данных необходимо интерпретировать. Лицо, анализирующее результаты (субъект, ответственный за передачу информации), должно быть достаточно компетентным для того, чтобы делать некоторые первоначальные выводы на основе этих результатов. Однако, поскольку субъект(ы), ответственный(е) за передачу информации, может(гут) быть не напрямую вовлечен(ы) в технические и управленческие процессы, то такие выводы должны проверять и другие заинтересованные стороны. Все интерпретации должны учитывать контекст мер измерения.
Анализ данных должен определять расхождения между ожидаемыми и фактическими результатами измерения реализованной СМИБ, мер и средств контроля и управления и их групп. Выявленные расхождения будут указывать на необходимость совершенствования реализованной СМИБ, включая сферу ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры.
Следует определять показатели, демонстрирующие несоответствие или недостаточную эффективность, которые могут быть классифицированы следующим образом:
a) несостоятельность плана по обработке риска в отношении реализации или достаточной реализации, эксплуатации и менеджмента мер и средств контроля и управления или процессов СМИБ (например, угрозы могут обходить меры и средства контроля и управления и процессы СМИБ);
b) несостоятельность оценки риска:
1) меры и средства контроля и управления или процессы СМИБ являются неэффективными, поскольку они недостаточны как для противостояния оцененным угрозам (например, по причине недооценки правдоподобия угроз), так и для противостояния новым угрозам,
2) меры и средства контроля и управления или процессы СМИБ не реализованы по причине незамеченных угроз.
Отчеты, которые используются для сообщения информации о результатах измерений соответствующим заинтересованным сторонам, следует подготавливать, используя соответствующие форматы сообщения (см. 7.7), в соответствии с планом реализации программы измерений.
Заключения по результатам анализа должны проверяться соответствующими заинтересованными сторонами для обеспечения надлежащей интерпретации данных. Результаты анализа данных следует документировать для сообщения заинтересованным сторонам.
9.3 Распространение результатов измерений
Лицу или подразделению организации, передающему информацию, следует решить, каким образом результаты измерений, связанных с информационной безопасностью, распространять, в т. ч. определять:
- о каких результатах измерений необходимо сообщать внутри организации и вне ее пределов;
- перечень мер измерений, соответствующих отдельным лицам и заинтересованным сторонам;
- результаты специфических измерений, которые должны быть предоставлены, и вид представления, приспособленные к потребностям каждой группы;
- способ получения обратной связи от заинтересованных сторон, который следует использовать для оценивания полезности результатов измерений и эффективности программы измерений.
Информацию о результатах измерений следует сообщать ряду внутренних заинтересованных сторон, помимо прочих включая в нее:
- заказчиков измерений (см. 7.5.8);
- владельцев информации (см. 7.5.8);
- персонал, в обязанности которого входит менеджмент риска информационной безопасности, особенно там, где выявлены ошибки в оценке риска;
- персонал, который несет ответственность за выявленные области, требующие совершенствования.
В некоторых случаях может потребоваться, чтобы организация распространяла отчеты с результатами измерений среди внешних сторон, включая регулирующие органы, акционеров, заказчиков измерений и поставщиков. Рекомендуется, чтобы отчеты с результатами измерений, подлежащие внешнему распространению, содержали только предназначенные для внешнего использования данные и утверждались руководством и соответствующими заинтересованными сторонами перед их выпуском.