ГОСТ Р ИСО/МЭК 27004-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание

Связанные процессы СМИБ и меры обеспечения ИБ (номер раздела или номер меры обеспечения ИБ в ИСО/МЭК 27001)

Название конструкции оценки защищенности

5.1, 7.1

B.2 Распределение ресурсов

7.5.2, A.5.1.2

B.3 Пересмотр политик

5.1, 9.3

B.4 Обязательства руководства

8.2, 8.3

B.5 Подверженность рискам

9.2, A.18.2.1

B.6 Программа аудита

10

B.7 Действия по улучшению

10

B.8 Стоимость инцидентов безопасности

10, A.16.1.6

B.9 Анализ инцидентов информационной безопасности

10.1

B.10 Реализация корректирующих действий

A.7.2

B.11 Обучение СМИБ или ознакомление с СМИБ

A.7.2.2

B.12 Обучение информационной безопасности

A.7.2.1, А.7.2.2

B.13 Согласие с политикой информационной безопасности

A.7.2.2

B.14 Эффективность информационно-просветительских кампаний СМИБ

A.7.2.2, A.9.3.1, A.16.1

B.15 Подготовленность к социальной инженерии

A.9.3.1

B.16 Качество паролей, задаваемых вручную

A.9.3.1

B.17 Качество паролей, задаваемых автоматизированно

A.9.2.5

B.18 Пересмотр прав доступа пользователя

A.11.1.2

B.19 Оценка системы контроля физического доступа

A.11.1.2

B.20 Эффективность контроля физического доступа

A.11.2.4

B.21 Управление периодическим техническим обслуживанием

A.12.1.2

B.22 Управление изменениями

A.12.2.1

B.23 Защита от вредоносного кода

A.12.2.1

B.24 Антивирус

A.12.2.1, A.17.2.1

B.25 Общая доступность

A.12.2.1, A.13.1.3

B.26 Правила брандмауэра

A.12.4.1

B.27 Анализ файлов журналов

A.12.6.1

B.28 Конфигурация устройств

A.12.6.1, A.18.2.3

B.29 Тестирования на проникновение и оценка уязвимости

A.12.6.1

B.30 Уровень уязвимости организации

A.15.1.2

B.31.1/B.31.2 Безопасность в сторонних соглашениях

A.16

B.32 Эффективность менеджмента инцидентов информационной безопасности

A.16.1

B.33 Тенденция инцидентов безопасности

A.16.1.3

B.34 Регистрация событий безопасности

A.18.2.1

B.35 Процесс анализа СМИБ

A.18.2.3

B.36 Устранение уязвимостей

Информационный показатель

Значение или цель

Идентификатор показателя

Определяется организацией

Информационная потребность

Количественная оценка ресурсов, выделяемых на информационную безопасность, по сравнению с первоначальным бюджетом

Показатель оценки

Распределение ресурсов, выделяемых на информационную безопасность (внутренний персонал, персонал по контракту, оборудование, программное обеспечение, услуги) в рамках годового бюджета

Формула/выигрыш

Выделенные ресурсы/использованные ресурсы в течение запланированного периода времени

Цель

1

Доказательство реализации

Мониторинг ресурсов информационной безопасности

Частота

Ежегодно

Ответственные стороны

Владелец информации: менеджер по информационной безопасности Сборщик информации: менеджер по информационной безопасности Заказчик информации: совет директоров

Источник данных

Бюджет информационной безопасности

Эффективные расходы на информационную безопасность

Отчеты об использовании ресурсов информационной безопасности

Формат представления в отчете

Лепестковая диаграмма с категорией ресурса на каждой оси и двойной индикацией выделенных и используемых ресурсов

Информационный показатель

Значение или цель

Идентификатор показателя

Определяется организацией

Информационная потребность

Чтобы оценить, пересматриваются ли через запланированные промежутки времени политики информационной безопасности или производятся значительные изменения

Показатель оценки

Процентная доля пересмотренной политики

Формула/выигрыш

(Количество политик информационной безопасности, которые были рассмотрены в предыдущем году)/(Количество действующих политик информационной безопасности)100

Цель

Зеленый уровень: >80%, Оранжевый >=40%, Красный <40%

Доказательство реализации

История редакции документа с указанием пересмотра документа или списка документов с указанием даты последнего пересмотра

Частота

Сбор данных: в соответствии с запланированным интервалом пересмотра (например, ежегодно или после значительных изменений)

Отчет: после каждого сбора данных

Ответственные стороны

Владелец информации: владелец политики, который утвердил ответственность руководства за разработку, проверку и оценку политики

Сборщик информации: внутренний аудитор

Потребитель оценки защищенности: главный специалист по информационной безопасности

Источник данных

Обзор плана политик, история политики безопасности, список документов

Формат представления в отчете

Круговая диаграмма для текущей ситуации и линейная диаграмма для представления эволюции соответствия

Информационный показатель

Значение или цель

Идентификатор показателя

Определяется организацией

Информационная потребность

Оценить обязательства и действия руководства по анализу информационной безопасности в отношении действий проверки со стороны руководства

Показатель оценки

Проведенные на сегодняшний день совещания руководства по анализу;

средний уровень участия руководства в совещаниях по анализу на сегодняшний день

Формула/выигрыш

Разделите [проведенные совещания по рассмотрению руководством] на [запланированные совещания по рассмотрению руководством];

Рассчитайте среднее значение и стандартное отклонение всех показателей участия в совещаниях руководства

Цель

Показатель а): для вывода о достижении цели значение показателя должно быть от 0,7 до 1,1. В этом случае никаких действий не требуется. Даже если он снижается, для констатации успеха он должен быть больше 0,5;

Показатель b): вычисленные доверительные интервалы, основанные на стандартном отклонении, указывают на вероятность достижения фактического результата, близкого к среднему уровню участия. Очень большой доверительный интервал предполагает потенциально большие усилия и необходимость планирования на случай непредвиденных обстоятельств для решения проблемы

Доказательство реализации

Для встреч по анализу управления необходимо:

1.1 Подсчитать количество встреч, запланированных на сегодняшний день;

1.2 Для каждой встречи по состоянию на сегодняшний день подсчитать количество менеджеров, планировавших участвовать и добавить новую строчку со значением по умолчанию для незапланированных спонтанных собраний;

2.1.1 Подсчитать запланированные встречи на сегодняшний день;

2.1.2 Подсчитать не запланированные встречи, проведенные до настоящего времени;

2.1.3 Подсчитать перенесенные собрания, проведенные до настоящего времени;

2.2 Для всех проведенных собраний подсчитать количество принимавших участие менеджеров

Частота

Сбор данных: ежемесячно;

анализ: Ежеквартально;

отчет: ежеквартально;

пересмотр оценки защищенности: пересматривать и обновлять каждые 2 года;

период оценки защищенности: применимо 2 года

Ответственные стороны

Владелец информации: менеджер системы качества (при условии объединенной системы управления СМК и СМИБ);

сборщик информации: менеджер по качеству; менеджер по информационной безопасности;

потребитель оценки защищенности: руководители, отвечающие за СМИБ; менеджер системы качества

Источник данных

План/график анализа управления информационной безопасностью; обзоры и протоколы встреч менеджмента по анализу управления

Формат представления в отчете

Линейная диаграмма, отображающая индикатор с критериями для нескольких периодов сбора данных и отчетности с отчетом о результатах оценки защищенности. Количество периодов сбора данных и отчетных периодов должно быть определено организацией