ГОСТ Р ИСО/МЭК 27004—2011
Конкретной организации следует устанавливать цели измерений на основе ряда факторов, вклю
чающих в себя:
a) роль информационной безопасности в поддержке различных видов основной деятельности
организации и рисков, с которыми она сталкивается;
b
) соответствующие правовые, нормативные и договорные требования;
c) структуру организации;
d) расходы и выгоды от реализации мер. связанных с обеспечением информационной безопас
ности;
e) критерии принятия риска для организации.
0 необходимость сравнения нескольких СМИБ, имеющихся в одной и той же организации.
5.2 Программа измерений
Организации следует создать программу измерений и управлять ею длядостижения установлен
ных целей измерений и внедрения модели «планирование — осуществление — проверка —
действие» в масштабах всей измерительной деятельности организации. Организации следует также
разрабатывать и реализовывать конструктивные элементы измерений для получения воспроизводи
мых, объективных и пригодных результатов измерений, основанных на модели измерений (см. 5.4).
Программа измерений и разработанные конструктивные элементы измерений должны обеспечи
вать эффективное налаживание организацией объективных и повторяемых процессов измерения, а
также предоставление результатов измерений соответствующим заинтересованным сторонам для
определения потребностей в усовершенствовании реализованной СМИБ. включая область ее приме
нения. политики, цели, меры и средства контроля и управления, а также процессы и процедуры.
Программа измерений должна включать в себя следующие процессы:
a) разработка измерений и мер измерений (см. раздел 7);
b
) проведение измерений (см. раздел 8);
c) анализ данных и распространение результатов измерений (см. раздел 9);
d) оценивание и совершенствование программы измерений, связанных с информационной
безопасностью (см. раздел 10).
Организационную и эксплуатационную структуру программы измерений следует определять,
учитывая масштабы и сложность СМИБ. частью которойэта программа является. Во всехслучаях роли и
обязанности, касающиеся программы измерений, должны быть явным образом назначены компе
тентному персоналу (см. 7.5.8).
Меры, выбранные и реализованные в рамках программы измерений, следует непосредственно
связывать с функционированием СМИБ. другими мерами измерений, а также процессами основной
деятельности организации. Измерения могут быть интегрированы в обычные процессы функциониро
вания или могут выполняться через постоянные интервалы времени, определенные руководством
СМИБ.
5.3 Факторы успеха
Ниже перечислены некоторые факторы, способствующие успеху программы измерений в содей
ствии непрерывному совершенствованию СМИБ:
a) поддержка со стороны руководства, подкрепляемая соответствующими ресурсами;
b
) наличие процессов и процедур СМИБ;
c) воспроизводимый процесс, способный фиксировать и сообщать значимые данные для выве
дения важных тенденций за некий период времени;
d) меры безопасности, основанные на целях СМИБ. эффективность которых может быть оцене
на количественно;
e) легко получаемые данные, которые могут быть использованы для измерений;
f) оценивание эффективности программы измерений и реализация намеченных улучшений;
д) последовательный периодическийсбор, анализ ичеткое представлениерезультатов измерений;
h) использование результатов измерений соответствующими заинтересованными сторонами
для выявления потребностей в совершенствовании реализованной СМИБ. включая сферуее примене
ния. политики, цели, меры и средства контроля и управления, а также процессы и процедуры;
i) получение ответной реакции на результаты измерений отсоответствующих заинтересованных
сторон;
j) оценивание полезности результатов измерений и реализация намеченных усовершенствований.
5