ГОСТ Р ИСО/МЭК 27003-2012; Страница 53

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 55394-2013 Масла смазочные базовые неиспользованные и нефтяные фракции, не содержащие асфальтенов. Определение полициклических ароматических соединений методом экстракции диметилсульфоксидом и измерением показателя преломления (Настоящий стандарт устанавливает метод определения содержания полициклических ароматических соединений (РСА) в диапазоне от 1 % масс. до 15 % масс. в неиспользованных смазочных базовых маслах без присадок, содержащих не менее 5 % компонентов с температурой кипения при атмосферном давлении не ниже 300 °С. Настоящий метод можно применять при концентрации РСА, выходящей за указанный диапазон, и к другим фракциям нефти, не содержащим асфальтенов, но прецизионность метода для таких случаев не определена) ГОСТ Р 55088-2012 Ресурсосбережение. Обращение с отходами. Принципы рационального обращения с отходами (Настоящий стандарт устанавливает меры, которые следует принимать в рамках реализации принципов рационального обращения с отходами) ГОСТ Р 55090-2012 Ресурсосбережение. Обращение с отходами. Рекомендации по утилизации отходов бумаги (Настоящий стандарт устанавливает меры, которые следует принимать в области обращения с отходами бумаги и картона, которые являются фракцией твердых бытовых отходов, с целью введения отходов в хозяйственный оборот в виде вторичных материальных ресурсов)

Страница 53

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27003—2012

Программа измерения информационной безопасности и ее разработка подразумевают следующие роли:

a) высшее руководство:

) пользователи программных продуктов, связанных с безопасностью;

c) лица, отвечающие за информационные системы:

d) лица, отвечающие за информационную безопасность.

Программа измерения информационной безопасности учреждается для того, чтобы получить показатели

эффективности СМИБ, целей и средств управления. Программа описывается в стандарте ISO/IEC 27004:2009.

Для выполнения этих целей необходимо провести соответствующие измерения в фазе планирования.

Подходящие программы измерения информационной безопасности могут различаться в зависимости от

структуры организации, а именно:

- размера;

- сложности;

- общего профиля риска в информационной безопасности.

Чем больше организация и чем сложнее ее структура, тем более обширная программа измерений ей

требуется. Но уровень общего риска также влияет на объем программы. Если влияние слабой информационной

безопасности серьезно, сравнительно небольшим организациям может потребоваться более обширная про

грамма измерения, чтобы охватить риск, чем для более крупных организаций, не испытывающих такого влия

ния. Объем программы измерения можно оценить на основе выбора средств управления, которые необходимо

охватить, и результатов анализа риска.

Разработка программы измерения информационной безопасности

ицо, ответственное за программу измерения информационной безопасности, должно принять во внима

ние следующее:

- область действия;

- измерения;

- выполнение измерений;

- периоды измерений;

- отчетность.

Область действия программы измерения должна охватывать область действия, цели управления и меры и

средства контроля и управления СМИБ. В частности, цели и границы измерения СМИБ должны устанавливаться в

отношении характеристики организации, самой организации, ее местонахождения, активов и технологий и

включать детализацию и обоснование любых исключений из области действия СМИБ. Это может быть одно из

средств управления безопасностью, процесс, система, область деятельности, целое предприятие, одно подраз

деление или организация, состоящая из нескольких подразделений.

При выборе одиночного измерения стандарт ISO/IEC 27004:2009 требует, чтобы начальной точкой высту

пал объект измерения. Для учреждения программы измерений необходимо определить эти объекты. Этими

объектами могут быть процессы или ресурсы. (Дополнительные подробности см. встандарте ISO/IEC 27004:2009).

При разработке программы измерений объекты, определенные областью действия СМИБ, часто расчленяются

для выявления конкретных объектов, подлежащих измерению. Этот процесс определения можно проиллюстри

ровать в виде следующего примера: Организация — это весь обьект — процесс в организации A/или система

информационных технологий X — это часть объекта, которая сама образует объект — обьекты в рамках этого

процесса, влияющие на информационную безопасность (люди, правила, сети, программные приложения, обору

дование и т. д.), обычно являются объектами измерения, помогающими увидеть эффективность защиты

инфор мации.

При выполнении программы измерения информационной безопасности необходимо учитывать, что

объекты измерения могут служить для выполнения многих процессов в организации в рамках области СМИБ и.

следовательно, могут оказывать более сильное влияние на эффективность СМИБ и цели управления. Обычно в

рамках области действия программы следует уделять особое внимание таким объектам, например безопасно сти

организации и связанным с ней процессам, компьютерному залу, коллегам, имеющим отношение к информа

ционной безопасности и т. д.

Интервалы измерений могут различаться, но желательно, чтобы измерения проводились или суммирова

лись с определенными интервалами для включения их в проверки, проводимые руководством в процессе непре

рывного усовершенствования СМИБ. Это условие должно быть учтено при разработке программы.

Отчетность по результатам должна быть организована таким образом, чтобы обеспечить передачу инфор

мации в соответствии с ISO/IEC 27004:2009.

Разработка программы измерения информационной безопасности должна быть отражена в документе,

определяющем процедуру, который должен быть утвержден руководством. Этот документ должен охватывать

следующие аспекты:

a) сферы ответственности за программу измерения информационной безопасности;

) сферы ответственности за осуществление связи;