ГОСТ Р ИСО/МЭК 27004—2011
0 Введение
0.1 Общие положения
Настоящий стандарт содержит рекомендации по разработке и использованию измерений и мер
измерения для проведения оценки эффективности реализованной системы менеджмента информаци
онной безопасности (СМИБ). а также мер и средств контроля и управления или их групп по
ИСО/МЭК 27001.
Процесс измерений затрагивает политику, менеджмент риска информационной безопасности,
меры и средства контроля иуправления и цели их применения, процессы и процедуры, а также поддер
живает процесс проверки СМИБ. помогая определить, требуется ли изменять или совершенствовать
какие-либо из процессов или мер и средств контроля и управления СМИБ. Следует помнить, что ника
кие измерения мер и средств контроля и управления не могут обеспечить полной безопасности.
Процесс измерений реализуется в виде программы измерений, связанных с информационной
безопасностью (далее — программа измерений). Программа измерений предназначена для оказания
помощи руководству организации в выявлении иоценивании несоответствующих требованиям и неэф
фективных процессов, мер, средств контроля и управления СМИБ. а также в определении приоритетов
действий, направленных на усовершенствование или изменение этих процессов и (или) мер и средств
контроля и управления. Программа измерений также может помочь организации в демонстрации соот
ветствия СМИБ требованиям ИСО/МЭК 27001 и созданиидополнительного основаниядля проведения
руководством организации проверки процессов менеджмента риска информационной безопасности.
В данном стандарте предполагается, что отправной точкой для разработки мер измерения и
измерений является доскональное понимание рисков информационной безопасности, с которыми
сталкивается организация, и корректное выполнение (на основе ИСО/МЭК 27005) действий организа
ции по оценке риска в соответствии с требованиями ИСО/МЭК 27001. Программа измерений поможет
организации в предоставлении соответствующим заинтересованным сторонам достоверной информа
ции. касающейся рисков информационной безопасности исостояния реализованной СМИБдля управ
ления этими рисками.
Эффективно реализованная программа измерений позволит укрепить доверие заинтересован
ных сторон к результатам измерений, а также даст возможность заинтересованным сторонам приме
нять меры измерений для непрерывного улучшения информационной безопасности и СМИБ.
Накопленные результаты измерений позволят следить за прогрессом в достижении целей
информационной безопасности за некоторый период времени в интересах реализации процесса
непрерывного совершенствования СМИБ организации.
0.2 Краткая справка для должностных лиц
ИСО/МЭК 27001 содержит требования к организации «проводить регулярные проверки эффек
тивности СМИБ. принимая в расчет результаты измерений эффективности» и «измерять эффектив
ность мер и средств контроля и управления с тем. чтобы подтвердить удовлетворение требований
безопасности». ИСО/МЭК 27001 также содержит требования к организации «определять, каким обра зом
проводить измерение эффективности выбранных мер и средств контроля иуправления и их групп, и
устанавливать, каким образом должны использоваться меры измерений для оценки эффективности мер
и средств контроля и управления с тем. чтобы получать воспроизводимые исопоставимые резуль таты».
Подход, принятый организацией для выполнения требований к измерениям, определенных в
ИСО/МЭК 27001. будет варьироваться в зависимости от ряда существенных факторов, включающих в
себя риски информационной безопасности, с которыми сталкивается организация, размер организа
ции. имеющихся ресурсов и применимых правовых, нормативных идоговорных требований. Тщатель
ный выбор и обоснование метода, используемого для выполнения требований к измерениям, важны
для того, чтобы для этой деятельности СМИБ не выделялись чрезмерные ресурсы в ущерб другой
необходимой деятельности. В идеальном случае текущая деятельность, связанная с постоянными
измерениями, должна быть интегрирована в обычную деятельность организации с привлечением
минимальных дополнительных ресурсов.
IV