ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения

     5.1 Цели измерений, связанных с информационной безопасностью

Цели измерений, связанных с информационной безопасностью, в контексте СМИБ включают в себя:

a) оценивание эффективности реализованных мер и средств контроля и управления или их групп [см. 4.2.2, перечисление d), рисунок 1];

     
Рисунок 1 - Взаимосвязь видов деятельности, связанных с измерениями ("входы-выходы"), в цикле "планирование-осуществление-проверка-действие"

b) оценивание эффективности реализованной СМИБ [см. 4.2.3, перечисление b), рисунок 1];

c) верификацию степени, до которой были удовлетворены установленные требования безопасности [см. 4.2.3, перечисление с), рисунок 1];

d) содействие повышению результативности информационной безопасности с точки зрения общих рисков основной деятельности организации;

e) предоставление сведений для проверки, проводимой руководством с целью содействия принятию решений, касающихся СМИБ, и обоснования необходимых улучшений в реализованной СМИБ.

Циклическая взаимосвязь видов деятельности, связанных с измерениями (их "входов-выходов"), по отношению к циклу "планирование-осуществление-проверка-действие" (PDCA-Plan-Do-Check-Act), определенному в ИСО/МЭК 27001, показана на рисунке 1. Цифры перед текстом в каждой фигуре обозначают номера подпунктов ИСО/МЭК 27001:2005.

Конкретной организации следует устанавливать цели измерений на основе ряда факторов, включающих в себя:

a) роль информационной безопасности в поддержке различных видов основной деятельности организации и рисков, с которыми она сталкивается;

b) соответствующие правовые, нормативные и договорные требования;

c) структуру организации;

d) расходы и выгоды от реализации мер, связанных с обеспечением информационной безопасности;

e) критерии принятия риска для организации;

f) необходимость сравнения нескольких СМИБ, имеющихся в одной и той же организации.