ГОСТ Р ИСО/МЭК 27004—2011
субъект(ы). ответствениый(е) за передачу информации, может(гут) быть не напрямую вовлечен(ы) в
технические и управленческие процессы, то такие выводы должны проверять идругие заинтересован
ные стороны. Все интерпретации должны учитывать контекст мер измерения.
Анализ данных должен определять расхождения между ожидаемыми и фактическими результа
тами измерения реализованной СМИБ, мер и средств контроля и управления и их групп. Выявленные
расхождения будут указывать на необходимость совершенствования реализованной СМИБ. включая
сферу ее применения, политики, цели, меры и средства контроля и управления, а также процессы
и процедуры.
Следует определять показатели, демонстрирующие несоответствие или недостаточную эффек
тивность, которые могут быть классифицированы следующим образом:
a) несостоятельность плана по обработке риска в отношении реализации или достаточной реа
лизации. эксплуатации и менеджмента мер и средств контроля и управления или процессов СМИБ
(например, угрозы могут обходить меры и средства контроля и управления и процессы СМИБ):
b
) несостоятельность оценки риска.
1) меры и средства контроля и управления или процессы СМИБ являются неэффективными,
поскольку они недостаточны как для противостояния оцененным угрозам (например, по причине недо
оценки правдоподобия угроз), так идля противостояния новым угрозам.
2) меры и средства контроля и управления или процессы СМИБ не реализованы по причине
незамеченных угроз.
Отчеты, которые используются для сообщения информации о результатах измерений соответ
ствующим заинтересованным сторонам, следует подготавливать, используя соответствующие форма
ты сообщения (см. 7.7), в соответствии с планом реализации программы измерений.
Заключения по результатам анализа должны проверяться соответствующими заинтересованны
ми сторонами для обеспечения надлежащей интерпретации данных. Результаты анализа данных сле
дует документировать для сообщения заинтересованным сторонам.
9.3 Распространение результатов измерений
Лицу или подразделению организации, передающему информацию, следует решить, каким обра
зом результаты измерений, связанных с информационной безопасностью, распространять, в т. ч.
определять:
- о каких результатах измерений необходимо сообщать внутри организации и вно ее пределов: -
перечень мер измерений, соответствующих отдельным лицам и заинтересованным сторонам; -
результаты специфических измерений, которые должны быть предоставлены, и вид представ
ления. приспособленные к потребностям каждой группы;
- способ получения обратной связи от заинтересованных сторон, который следует использовать
для оценивания полезности результатов измерений и эффективности программы измерений.
Информацию о результатах измерений следует сообщать ряду внутренних заинтересованных
сторон, помимо прочих включая в нее:
- заказчиков измерений (см. 7.5.8);
- владельцев информации (см. 7.5.8);
- персонал, в обязанности которого входит менеджмент риска информационной безопасности,
особенно там. где выявлены ошибки в оценке риска;
- персонал, который несет ответственность за выявленные области, требующие совершенство
вания.
В некоторых случаях может потребоваться, чтобы организация распространяла отчеты с резуль
татами измерений среди внешних сторон, включая регулирующие органы, акционеров, заказчиков
измерений и поставщиков. Рекомендуется, чтобы отчеты с результатами измерений, подлежащие
внешнему распространению, содержали только предназначенные для внешнего использования дан
ные и утверждались руководством и соответствующими заинтересованными сторонами перед их
выпуском.
10 Оценивание и совершенствование программы измерений
10.1 Общие положения
Организация через запланированные интервалы времени должна оценивать:
а) эффективность реализованной программы измерений для обеспечения уверенности в том,
что она:
19