ГОСТ Р ИСО/МЭК 27004—2011
Необходимо, чтобы были определены соответствующие заинтересованные стороны, которым
следует принимать участие в определении области применения измерений. Соответствующие заинте
ресованные стороны могут быть внутренними или внешними по отношению к подразделениям органи
зации. например, руководителями проектов, администраторами информационных систем или лицами,
принимающими решения по обеспечению информационной безопасности. Специфические результа ты
измерений эффективности отдельных мер и средств контроля и управления и их групп следует
определять и доводить до сведения соответствующих заинтересованных сторон.
Организация может рассмотреть ограничение числа результатов измерений, о которых должно
быть сообщено лицам, принимающим решения в течение конкретного периода времени, с тем чтобы
обеспечить им возможность влиять на совершенствование СМИБ. основанное на сообщенных резуль
татах измерений. Чрезмерное число сообщенных результатов измерений будет влиять на возмож
ностьлица, принимающего решения, фокусировать усилия и назначать приоритеты для будущих видов
деятельности по совершенствованию. Приоритеты рассмотрения результатов измерений следует
основывать на важности соответствующих информационных потребностей и связанных с ними целей
СМИБ.
П р и м е ч а н и е — Область применения измерений относится к сфере применения СМИБ. установленной
в соответствии с перечислением а) 4.2.1 ИСО/МЭК 27001:2005.
7.3 Выявление информационной потребности
Каждому конструктивномуэлементу измеренийдолжна соответствовать, по меньшей мере, опре
деленная информационная потребность. Пример информационной потребности, описываемой в
начальной точке как цель измерения и завершающейся получением критериев, необходимыхдля при
нятия решения, представлен в приложении А.
Для выявления значительных информационных потребностей следует выполнить следующие
действия:
a) исследовать СМИБ и ее процессы, такие как:
1) политика и цели СМИБ, цели применения мер и средств контроля и управления, а также
меры и средства контроля и управления,
2) правовые, нормативные, договорные и организационные требования обеспечения инфор
мационной безопасности,
3) результатыпроцессаменеджментарискаинформационнойбезопасностипо
ИСО/МЭК 27001:
b
) назначать приоритеты выявленным информационным потребностям на основе критериев,
таких как:
1) приоритеты обработки риска.
2) возможности и ресурсы организации,
3) интересы заинтересованных сторон,
4) политика информационной безопасности,
5) информация, необходимая для удовлетворения правовых, нормативных и договорных тре
бований.
6) ценность информации, касающейся стоимости измерений;
c) выбирать подмножество информации, подлежащей рассмотрению в видахдеятельности, свя
занных с измерениями, из списка приоритетов;
d) документировать информационные потребности и сообщать о них всем соответствующим
заинтересованным сторонам.
Все необходимые меры измерения, применяемые для реализованной СМИБ. для мер и средств
контроля и управления и их групп следует реализовывать в соответствии с установленными информа
ционными потребностями.
7.4 Выбор объекта и атрибута
Объект измерений и его атрибуты следует определять в общем контексте и сфере применения
СМИБ. Следует заметить, что объект измерений может иметь несколько применимых атрибутов.
Объект и его атрибуты, которые применяются при измерении, следует выбирать на основе при
оритетов соответствующих информационных потребностей.
Значения, которые должны присваиваться соответствующей основной мере измерения, получа
ют путем применения надлежащего метода измерения к выбранным атрибутам. Этот выбор должен
также обеспечивать, чтобы:
13