Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27004-2011 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения" (утв. приказом Федерального агентства по техническому регулированию и метрологии стр. 9

10 Оценивание и совершенствование программы измерений

10.1 Общие положения
Организация через запланированные интервалы времени должна оценивать:
а) эффективность реализованной программы измерений для обеспечения уверенности в том, что она:
1) представляет результаты измерений эффективным образом,
2) выполняется, как было запланировано,
3) рассматривает изменения в реализованной СМИБ и (или) мерах и средствах контроля и управления,
4) рассматривает изменения в среде (например, требований, законов или технологии);
b) полезность изложенных результатов измерений для обеспечения уверенности в том, что они удовлетворяют соответствующие потребности в информации.
Руководство должно точно определить частоту повторений таких оцениваний, периодических проверок плана и устанавливать механизмы для возможности выполнения таких проверок (см. 7.2 ИСО/МЭК 27001:2005).
Соответствующими видами деятельности, являются:
1) определение критериев оценивания для программы измерений (см. 10.2);
2) мониторинг, проверка и оценивание измерений (см. 10.3);
3) реализация совершенствований (см. 10.4).
10.2 Определение критериев оценивания программы измерений
Организации следует определять критерии оценивания эффективности программы измерений, а также пригодности результатов измерений. Критерии следует определять в начале реализации программы измерений, принимая в расчет контекст технических целей и целей основной деятельности организации.
Если организации следует оценивать и совершенствовать программу измерений, то наиболее применимыми критериями являются:
- изменение целей основной деятельности организации;
- изменения законодательных или нормативных требований и договорных обязательств, связанных с информационной безопасностью;
- изменения требований организации, связанных с информационной безопасностью;
- изменения, связанные с рисками информационной безопасности организации;
- повышение доступности более детализированные или подходящих данных и/или методов сбора данных для целей проведения измерений;
- изменение объекта измерений и (или) его атрибутов.
Для оценивания изложенных результатов измерений могут применяться следующие критерии:
a) результаты измерений являются:
1) легкими для понимания,
2) распространенными своевременно,
3) объективными, сравнимыми и повторяемыми;
b) установленные процессы для изложения результатов измерений являются:
1) правильно определенными,
2) легко выполняемыми,
3) надлежащим образом соблюдаемыми;
c) результаты измерений являются полезными для повышения информационной безопасности;
d) результаты измерений адресованы соответствующим информационным потребностям.
10.3 Мониторинг, проверка и оценивание программы измерений
Организации следует осуществлять мониторинг, проверку и оценивание своей программы измерений по отношению к установленным критериям (см. 10.2).
Организации следует выявлять возможную потребность в совершенствовании программы измерений, включая:
a) обновление или отмену применяемых конструктивных элементов измерений, ставших неактуальными;
b) перераспределение ресурсов для поддержки программы измерений.
Организации следует также выявлять возможную потребность в совершенствовании реализованной СМИБ, включая область ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры, и документировать решения руководства, чтобы сделать возможным сравнение и анализ тенденций во время последующих проверок.
О результатах такого оценивания и выявленной возможной потребности в совершенствовании следует информировать соответствующие заинтересованные стороны для принятия решений, касающихся необходимых усовершенствований.
Организации следует обеспечивать, чтобы заинтересованные стороны стремились к установлению обратной связи по результатам такого оценивания и выявленной возможной потребности в усовершенствовании. Организации следует понимать, что обратная связь является одним из аспектов, способствующих эффективности программы измерений.
10.4 Реализация совершенствований
Организации следует обеспечить, чтобы важные заинтересованные стороны установили необходимые совершенствования программы измерений [см. 7.3, перечисление е) ИСО/МЭК 27001:2005]. Установленные совершенствования должны быть одобрены руководством. Одобренные планы совершенствования следует документировать и информировать о них соответствующие заинтересованные стороны.
Организации следует обеспечивать реализацию утвержденных усовершенствований программы измерений, как было запланировано.
Для выполнения этих усовершенствований организация может применять методы управления проектом.
______________________________
* См. 3.9.
** В контексте настоящего стандарта термин "measure" следует понимать как "мера измерения".
*** Далее - модель измерений.