ГОСТ Р ИСО/МЭК 27004—2011
зованной СМИБ. включая сферу ее применения, политики, цели, меры и средства контроля и
управления, а также процессы и процедуры;
i)обеспечить, чтобы измерения предоставляли достаточное количество информации заинтере
сованным сторонам относительно эффективности мер и средств контроля и управления и их групп, а
также потребности в совершенствовании реализованных мер и средств контроля и управления.
Посредством соответствующего распределения связанных с измерениями ролей иобязанностей
руководство должно обеспечить, чтобы на результаты измерений не оказывали влияния владельцы
информации (см. 7.5.8). Этого можно достичь разделением обязанностей или, если это невозможно,
использованием подробной документации, делающей возможными независимые проверки.
6.2 Менеджмент ресурсов
Руководству следует выделить и предоставить ресурсы для поддержки ключевых видовдеятель
ности. связанных с такими измерениями, как сбор, анализ, хранение, регистрация и распространение
данных. При распределении ресурсов следует установить:
a) лиц. ответственных за все аспекты программы измерений;
b
) соответствующую финансовую поддержку;
c) соответствующую инфраструктурную поддержку, например, физическую инфраструктуру и
инструментальные средства, используемые для осуществления процесса измерений.
П р и м е ч а н и е — В 5.2.1 ИСО/МЭК 27001:2005 установлено требование обеспечения ресурсов для реа
лизации и функционирования СМИБ.
6.3 Обучение, осведомленность и компетентность, связанные с измерениями
Руководство организации должно обеспечить;
a) обучение должным образом заинтересованных сторон (см. 7.5.8) для успешного выполнения
их ролей и обязанностей и соответствующую квалификацию:
b
) понимание заинтересованных сторон того, что в их обязанности входит внесение предложе
ний по совершенствованию реализованной программы измерений.
7 Разработка измерений и мер измерений
7.1 Общие положения
Настоящий раздел представляет собой руководство по разработке измерений и мер измерений с
целью оценки эффективности реализованной СМИБ и мер и средств контроля и управления и их групп, а
также формирования характерных для организации совокупностей конструктивных элементов изме
рений. Виды деятельности, необходимые для разработки измерений и мер измерений, следует уста
навливать и документировать, используя:
a) определение области применения измерений (см. 7.2);
b
) выявление информационной потребности (см. 7.3):
c) выбор объекта измерений и его атрибутов (см. 7.4);
d) разработку конструктивных элементов измерений (см. 7.5);
e) применение конструктивных элементов измерений (см. 7.6);
f) установление процессов и инструментальных средств сбора и анализа данных (см. 7.7):
д) определение подхода к реализации измерений и документации (см. 7.8).
При установлении этих видов деятельности организации следует учитывать финансовые, кадро
вые и инфраструктурные (физические и связанные с инструментальными средствами) ресурсы.
7.2 Определение области применения измерений
В зависимости от возможностей и ресурсов организации первоначальная область деятельности
организации в части измерений, связанных с информационной безопасностью, может бытьограничена
такими элементами, как специфические меры и средства контроля и управления, информационные
активы, защищенные специфическими мерами и средствами контроля и управления, специфические
виды деятельности, направленные на обеспечение информационной безопасности, которым руковод
ство присваивает наивысший приоритет. С течением времени область применения видов деятель
ности. связанных с измерениями, будет расширяться для того, чтобы рассматривать дополнительные
компоненты реализованной СМИБ. а также меры исредства контроля иуправления и их группы, учиты
вая приоритеты заинтересованных сторон.
12