ГОСТ Р ИСО/МЭК 27004—2011
вать ожидаемые результаты прогресса и пороговые значения первоначальных улучшающихдействий,
основанных на показателях.
Критерии принятия решений устанавливают цель, в соответствии с которой определяется успех
(см. 5.3) и даются рекомендации по интерпретации показателя относительно приближения к цели.
Необходимо, чтобы цели были определены для каждого элемента, касающегося выполнения
процессов СМ ИБ и мер и средств контроля и управления, выполнения задач и для эффективности
СМИБ. подлежащей оцениванию.
Руководство организации может принять решение не устанавливать цели для показателей, пока
не будут собраны начальные данные. После того как будут определены корректирующие действия,
основанные на начальныхданных, могут быть определены соответствующие критерии принятия реше
ний и этапы реализации, реальныедля конкретной СМИБ. Если в тот момент критерии принятия реше
ний не могут быть установлены, руководство должно оценить, обеспечат ли объекты измерения и
соответствующие меры измерений ожидаемое значение для организации.
Установление критериев принятия решений может быть облегчено, если данные за прошлый
период, относящиеся к созданию или выбору мер измерений, являются доступными. Тенденции,
наблюдаемые в прошлом, дадут представление о существовавших ранее диапазонах функционирова
ния и рекомендации по созданию реалистичных критериев принятия решений. Критерии принятия
решений могут быть вычислены или основаны на концептуальном понимании ожидаемого поведения.
Критерии принятия решений могут быть получены из данных за прошлый период, планов и эвристик
или вычислены как пределы статистического контроля или пределы статистической достоверности.
7.5.8 Заинтересованные стороны
Для каждой основной и (или) производной меры измерения должны бытьопределены идокументи
рованы соответствующие заинтересованныестороны. Вчислозаинтересованныхсторон могут входить:
a) заказчики измерений: руководство или другие заинтересованные стороны, которые запраши
вают или требуют информацию об эффективности СМИБ. мер и средств контроля и управления и их
групп;
b
) контролер измерения: лицо или подразделение организации, которое подтверждает, что раз
работанные конструктивные элементы измерений являются соответствующимидля оценки эффектив
ности СМИБ. мер и средств контроля и управления и их групп,
c) владелец информации: лицо или подразделение организации, которое владеет информацией
об объектах измерения и атрибутах и является ответственным за измерения;
d) сборщик информации; лицо или подразделение организации, отвечающее за сбор, фиксиро
вание и хранение данных;
e) субъект, отвечающий за передачу информации; лицо или подразделение организации, отве
чающее за проведение анализа данных и сообщение о результатах измерения.
7.6 Конструктивные элементы измерений
Конструктивные элементы измерения должны включать в себя, как минимум, следующую инфор
мацию.
a) назначение измерения;
b
) цель применения меры и средства контроля и управления, которой следует достичь с
помощью мер и средств контроля и управления, а также специфических мер и средств контроля и
управления, их групп, и процесса СМИБ. подлежащего измерению;
c) объект измерения;
d) данные, подлежащие сбору и использованию;
e) процессы сбора и анализа данных;
f) процесс, касающийся отчетности о результатах измерений и включающий в себя форматы
отчетности;
д) роли и обязанности соответствующих заинтересованных сторон;
h) цикл проверки измерения для того, чтобы удостовериться в его полезности относительно
информационной потребности.
Типовая форма конструктивных элементов измерений, включающая в себя информацию по пере
числениям а) — h). приведена в приложении А. Примеры конструктивныхэлементов измерений, приме
няемых для измерения процессов и мер и средств контроля и управления СМИБ, приведены в
приложении В.
16