Примеры спецификаций конструкций оценки защищенности
B.1 Общие положения
Примеры в приложении В соответствуют принципам, изложенным в настоящем стандарте. В приведенной ниже таблице примерам спецификаций конструкций оценки защищенности сопоставлены конкретные пункты ИСО/МЭК 27001 или номера мер обеспечения информационной безопасности, приведенные в его приложении A.
Связанные процессы СМИБ и меры обеспечения ИБ (номер раздела или номер меры обеспечения ИБ в ИСО/МЭК 27001) | Название конструкции оценки защищенности |
5.1, 7.1 | B.2 Распределение ресурсов |
7.5.2, A.5.1.2 | B.3 Пересмотр политик |
5.1, 9.3 | B.4 Обязательства руководства |
8.2, 8.3 | B.5 Подверженность рискам |
9.2, A.18.2.1 | B.6 Программа аудита |
10 | B.7 Действия по улучшению |
10 | B.8 Стоимость инцидентов безопасности |
10, A.16.1.6 | B.9 Анализ инцидентов информационной безопасности |
10.1 | B.10 Реализация корректирующих действий |
A.7.2 | B.11 Обучение СМИБ или ознакомление с СМИБ |
A.7.2.2 | B.12 Обучение информационной безопасности |
A.7.2.1, А.7.2.2 | B.13 Согласие с политикой информационной безопасности |
A.7.2.2 | B.14 Эффективность информационно-просветительских кампаний СМИБ |
A.7.2.2, A.9.3.1, A.16.1 | B.15 Подготовленность к социальной инженерии |
A.9.3.1 | B.16 Качество паролей, задаваемых вручную |
A.9.3.1 | B.17 Качество паролей, задаваемых автоматизированно |
A.9.2.5 | B.18 Пересмотр прав доступа пользователя |
A.11.1.2 | B.19 Оценка системы контроля физического доступа |
A.11.1.2 | B.20 Эффективность контроля физического доступа |
A.11.2.4 | B.21 Управление периодическим техническим обслуживанием |
A.12.1.2 | B.22 Управление изменениями |
A.12.2.1 | B.23 Защита от вредоносного кода |
A.12.2.1 | B.24 Антивирус |
A.12.2.1, A.17.2.1 | B.25 Общая доступность |
A.12.2.1, A.13.1.3 | B.26 Правила брандмауэра |
A.12.4.1 | B.27 Анализ файлов журналов |
A.12.6.1 | B.28 Конфигурация устройств |
A.12.6.1, A.18.2.3 | B.29 Тестирования на проникновение и оценка уязвимости |
A.12.6.1 | B.30 Уровень уязвимости организации |
A.15.1.2 | B.31.1/B.31.2 Безопасность в сторонних соглашениях |
A.16 | B.32 Эффективность менеджмента инцидентов информационной безопасности |
A.16.1 | B.33 Тенденция инцидентов безопасности |
A.16.1.3 | B.34 Регистрация событий безопасности |
A.18.2.1 | B.35 Процесс анализа СМИБ |
A.18.2.3 | B.36 Устранение уязвимостей |
Для каждого примера приводится ссылка на соответствующий раздел или номер цели контроля и управления в ИСО/МЭК 27001. Кроме того, для двух примеров (B.20 и B.28) приводится дополнительный пункт, обозначенный как "действие". Он определяет действие, которое необходимо предпринять в случае, если цель не достигнута. Организации могут включать этот информационный пункт по желанию, если считают его полезным. Однако, не существует единого способа определения спецификаций таких конструкции, и приложение С демонстрирует альтернативное определение в произвольной форме.
B.2 Распределение ресурсов
Информационный показатель | Значение или цель |
Идентификатор показателя | Определяется организацией |
Информационная потребность | Количественная оценка ресурсов, выделяемых на информационную безопасность, по сравнению с первоначальным бюджетом |
Показатель оценки | Распределение ресурсов, выделяемых на информационную безопасность (внутренний персонал, персонал по контракту, оборудование, программное обеспечение, услуги) в рамках годового бюджета |
Формула/выигрыш | Выделенные ресурсы/использованные ресурсы в течение запланированного периода времени |
Цель | 1 |
Доказательство реализации | Мониторинг ресурсов информационной безопасности |
Частота | Ежегодно |
Ответственные стороны | Владелец информации: менеджер по информационной безопасности Сборщик информации: менеджер по информационной безопасности Заказчик информации: совет директоров |
Источник данных | Бюджет информационной безопасности |
Формат представления в отчете | Лепестковая диаграмма с категорией ресурса на каждой оси и двойной индикацией выделенных и используемых ресурсов |
См.: ИСО/МЭК 27001:2013, 5.1: Обязанности высшего руководства
ИСО/МЭК 27001:2013, 7.1: Ресурсы
B.3 Пересмотр политик
Информационный показатель | Значение или цель |
Идентификатор показателя | Определяется организацией |
Информационная потребность | Чтобы оценить, пересматриваются ли через запланированные промежутки времени политики информационной безопасности или производятся значительные изменения |
Показатель оценки | Процентная доля пересмотренной политики |
Формула/выигрыш | (Количество политик информационной безопасности, которые были рассмотрены в предыдущем году)/(Количество действующих политик информационной безопасности)100 |
Цель | Зеленый уровень: >80%, Оранжевый >=40%, Красный <40% |
Доказательство реализации | История редакции документа с указанием пересмотра документа или списка документов с указанием даты последнего пересмотра |
Частота | Сбор данных: в соответствии с запланированным интервалом пересмотра (например, ежегодно или после значительных изменений) |
Ответственные стороны | Владелец информации: владелец политики, который утвердил ответственность руководства за разработку, проверку и оценку политики |
Источник данных | Обзор плана политик, история политики безопасности, список документов |
Формат представления в отчете | Круговая диаграмма для текущей ситуации и линейная диаграмма для представления эволюции соответствия |
См.: ИСО/МЭК 27001:2013, A.5.1.2: Пересмотр политик информационной безопасности
ИСО/МЭК 27001:2013, 7.5.2: Создание и обновление документированной информации
B.4 Обязательства руководства
Информационный показатель | Значение или цель |
Идентификатор показателя | Определяется организацией |
Информационная потребность | Оценить обязательства и действия руководства по анализу информационной безопасности в отношении действий проверки со стороны руководства |
Показатель оценки | Проведенные на сегодняшний день совещания руководства по анализу; |
Формула/выигрыш | Разделите [проведенные совещания по рассмотрению руководством] на [запланированные совещания по рассмотрению руководством]; |
Цель | Показатель а): для вывода о достижении цели значение показателя должно быть от 0,7 до 1,1. В этом случае никаких действий не требуется. Даже если он снижается, для констатации успеха он должен быть больше 0,5; |
Доказательство реализации | Для встреч по анализу управления необходимо: |
Частота | Сбор данных: ежемесячно; |
Ответственные стороны | Владелец информации: менеджер системы качества (при условии объединенной системы управления СМК и СМИБ); |
Источник данных | План/график анализа управления информационной безопасностью; обзоры и протоколы встреч менеджмента по анализу управления |
Формат представления в отчете | Линейная диаграмма, отображающая индикатор с критериями для нескольких периодов сбора данных и отчетности с отчетом о результатах оценки защищенности. Количество периодов сбора данных и отчетных периодов должно быть определено организацией |
См.: ИСО/МЭК 27001:2013, 9.3: Проверка со стороны руководства
ИСО/МЭК 27001:2013, 5.1: Обязанности высшего руководства
B.5 Подверженность рискам