ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения

Взаимосвязанные процессы и меры
и средства контроля и управления
(пункт или номер меры и средства контроля и управления в приложении A ИСО/МЭК 27001)

Примеры
взаимосвязанных
конструктивных
элементов измерений
(ссылка в настоящем приложении)

Названия примеров конструктивных элементов измерений

Пункт 4.2.2, перечисление h)

B.4.1

Эффективность менеджмента инцидентов информационной безопасности

Пункт 5.2.2, перечисление d)

B.1.1

Персонал, получивший обучение, связанное со СМИБ

Пункт 8.2

В.4.2

Реализация корректирующих действий

Мера и средство контроля и управления по А.6.1.8 приложения А

В.3

Процесс проверки СМИБ

Мера и средство контроля и управления по А.6.1.1 и А.6.1.2 приложения А

B.5

Обязательства руководства

Мера и средство контроля и управления по А.6.2.3 приложения А

В.10

Вопросы безопасности в соглашениях со сторонними организациями

Мера и средство контроля и управления по А.8.2 и А.8.2.2 приложения А

B.1.2

Обучение обеспечению информационной безопасности

Мера и средство контроля и управления по А.9.1.2 приложения А

В.7

Меры и средства контроля и управления физическим доступом

Мера и средство контроля и управления по А.9.2.4 приложения А

В.9

Менеджмент периодического технического обслуживания

Мера и средство контроля и управления по А.10.4.1 приложения А

В.6

Защита от вредоносных программ

Мера и средство контроля и управления по А.10.10.1 и А.10.10.2 приложения А

В.8

Анализ журналов регистрации

Мера и средство контроля и управления по А.11.3.1 приложения А

B.2.1

Качество паролей, генерируемых вручную

Мера и средство контроля и управления по А.11.3.1 приложения А

B.2.2

Качество паролей, генерируемых автоматизированным способом

Определение конструктивных элементов измерения

Название конструктивного элемента измерения

Персонал, получивший обучение, связанное со СМИБ

Числовой идентификатор

Характерный для организации

Назначение конструктивного элемента измерений

Для установления соответствия меры и средства контроля и управления политике информационной безопасности организации

Цель применения процесса/меры и средства контроля и управления

Пункт 5.2.2 [ИСО/МЭК 27001:2005]. Подготовка, осведомленность и квалификация персонала

Мера и средство контроля и управления (1)/процесс (1)

Пункт 5.2.2, перечисление d) [ИСО/МЭК 27001:2005]. Подготовка, осведомленность и квалификация персонала. Организация должна обеспечить необходимую квалификацию персонала, на который возложены обязанности выполнения задач в рамках СМИБ путем: d) ведение записей об образовании, подготовке, навыках, опыте и квалификации сотрудников

Мера и средство контроля и управления (2)/процесс (2)

Дополнительно: другие меры и средства контроля и управления в пределах группы, включенной в ту же меру измерения, если это применимо (запланированную или реализованную)

Объект измерения и атрибуты

Объект измерения

База данных сотрудников

Атрибут

Записи, касающиеся обучения

Спецификация основной меры измерения (1)

Основная мера измерения

Число сотрудников, получивших обучение, связанное со СМИБ, в соответствии с ежегодным планом обучения, связанного со СМИБ.

Число сотрудников, которые должны получить обучение, связанное со СМИБ

Метод измерения

Подсчет в журналах регистрации/реестрах сведений о сфере обучения/последовательности обучения, связанной со СМИБ, с пометкой "Получено"

Вид метода измерения

Объективный

Шкала

Числовая

Вид шкалы

Шкала отношений

Единица измерения

Сотрудник

Спецификация производной меры измерения

Производная мера измерения

Выраженная в процентах численность персонала, получившего обучение, связанное со СМИБ

Функция измерения

Разделить число сотрудников, получивших обучение, связанное со СМИБ, на число сотрудников, которые должны получить обучение, связанное со СМИБ, и умножить на 100

Спецификация показателя

Показатель

Использование цветовой кодировки с цветовыми идентификаторами. Гистограмма, изображающая соответствие за несколько отчетных периодов относительно пороговых значений (красный, желтый, зеленый), определяемых аналитической моделью. Число отчетных периодов, которые будут использоваться в диаграмме, должно определяться организацией

Аналитическая модель

0%-60% - красный цвет; 60%-90% - желтый; 90%-100% - зеленый. В отношении желтого цвета (если не достигается), по крайней мере, увеличение значения на 10% за квартал, оценка автоматически становится красной

Спецификация критериев принятия решений

Критерии принятия решения

Красный цвет - требуется вмешательство: должен быть проведен анализ для определения причин несоответствия и плохого функционирования.

Желтый цвет - за показателем следует внимательно наблюдать на предмет возможного "сползания" к красному цвету.

Зеленый цвет - никаких действий не требуется

Результаты измерений

Интерпретация показателя

Характерная для организации

Форматы отчетности

Гистограмма с цветовой кодировкой столбцов на основе критериев принятия решения. К гистограмме должно прилагаться краткое изложение того, что означает мера измерения, и возможных действий руководства

Заинтересованные стороны

Заказчик измерения

Руководители, отвечающие за СМИБ

Контролер измерения

Руководители, отвечающие за СМИБ

Владелец информации

Руководитель, отвечающий за обучение, - штат сотрудников

Сборщик информации

Менеджмент обучения - отдел кадров

Субъект, ответственный за передачу информации

Руководители, отвечающие за СМИБ

Частота/период

Частота сбора данных

Ежемесячно/первый рабочий день месяца

Частота анализа данных

Ежеквартально

Частота сообщения результатов измерений

Ежеквартально

Пересмотр измерений

Ежегодно проводить проверку

Период измерений

Ежегодно

Определение конструктивных элементов измерения

Название конструктивного элемента измерения

Обучение обеспечению информационной безопасности

Числовой идентификатор

Характерный для организации

Назначение конструктивного элемента измерения

Для оценивания соответствия необходимости ежегодного обучения, направленного на повышение осведомленности в отношении информационной безопасности

Цель применения меры и средства контроля и управления/процесса

А.8.2 приложения А [ИСО/МЭК 27001:2005] Работа по трудовому договору.

Цель: обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации осведомлены об угрозах и проблемах информационной безопасности, их ответственности и обязательствах, ознакомлены с правилами и обучены процедурам для поддержания мер безопасности организации при выполнении ими своих служебных обязанностей и снижения риска человеческого фактора для информационной безопасности

Мера и средство контроля и управления (1)/процесс (1)

А.8.2.2 приложения А [ИСО/МЭК 27001:2005] Осведомленность, обучение и переподготовка в области информационной безопасности.

Все сотрудники организации и, при необходимости, подрядчики и пользователи сторонних организаций должны проходить соответствующее обучение и переподготовку в целях регулярного получения информации о новых требованиях правил и процедур организации безопасности, необходимых для выполнения ими должностных функций

Объект измерения и атрибуты

Объект измерения

База данных сотрудников

Атрибуты

Записи, касающиеся обучения

Спецификация основной меры измерения (1)

Основная мера измерения

Число сотрудников, получивших ежегодное обучение, направленное на повышение осведомленности в отношении информационной безопасности.

Число сотрудников, которые должны получить ежегодное обучение, направленное на повышение осведомленности в отношении информационной безопасности

Метод измерения

Подсчет в журналах регистрации/реестрах сведений, относящихся к ежегодному обучению сотрудников, направленному на повышение осведомленности в отношении информационной безопасности, с пометкой "получено"

Вид метода измерения

Объективный

Шкала

Числовая

Вид шкалы

Шкала отношений

Единица измерения

Сотрудник

Спецификация производной меры измерения

Производная мера измерения

Выраженная в процентах численность персонала, получившего ежегодное обучение, направленное на обеспечение осведомленности в отношении информационной безопасности

Функция измерения

Разделить число сотрудников, получивших ежегодное обучение, направленное на повышение осведомленности в отношении информационной безопасности, на число сотрудников, которые должны получить ежегодное обучение, направленное на повышение осведомленности в отношении информационной безопасности, и умножить на 100

Спецификация показателя

Показатель

Гистограмма, отображающая соответствие пороговым значениям (красный, желтый, зеленый, с цветовыми идентификаторами), за несколько отчетных периодов, определяемых аналитической моделью. Число отчетных периодов, которые будут использоваться в диаграмме, должно определяться организацией

Аналитическая модель

0%-60% - красный цвет; 60%-90% - желтый цвет; 90%-100% - зеленый цвет. В отношении желтого цвета, если не достигается увеличение значения, по крайней мере, на 10% за квартал, то оценка автоматически становится красной

Спецификация критериев принятия решений

Критерии принятия решений

Красный цвет - требуется вмешательство: должен быть проведен анализ для определения причин несоответствия и плохого функционирования.

Желтый цвет - за показателем следует внимательно наблюдать на предмет возможного "сползания" к красному цвету.

Зеленый цвет - никаких действий не требуется

Результаты измерений

Интерпретация показателя

Характерная для организации

Форматы отчетности

Гистограмма с цветовой кодировкой столбцов на основе критериев принятия решений. К этой столбчатой диаграмме должно прилагаться краткое изложение того, что означает мера измерения, и возможных действий руководства

Заинтересованные стороны

Заказчик измерения

Руководители, отвечающие за СМИБ. Менеджмент безопасности. Менеджмент обучения

Контролер измерения

Руководитель, отвечающий за безопасность

Владелец информации

Лицо, ответственное за информационную безопасность, и руководитель, отвечающий за обучение

Сборщик информации

Менеджмент обучения - отдел кадров

Субъект, ответственный за передачу информации

Руководители, отвечающие за СМИБ

Частота/период

Частота сбора данных

Ежемесячно, в первый рабочий день месяца

Частота анализа данных

Ежеквартально

Частота сообщения результатов измерений

Ежеквартально

Пересмотр измерений

Ежегодно проводить проверку

Период измерений

Ежегодно

Определение конструктивных элементов измерения

Название конструктивного элемента измерения

Соответствие политике осведомленности в отношении информационной безопасности

Числовой идентификатор

Характерный для организации

Назначение конструктивного элемента измерения

Для оценки состояния соответствия политике осведомленности в отношении информационной безопасности среди соответствующего персонала

Цель применения меры и средства контроля и управления/процесса

А.8.2 приложения А [ИСО/МЭК 27001:2005] Работа по трудовому договору.

Обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации осведомлены об угрозах и проблемах информационной безопасности, об их ответственности и обязательствах, ознакомлены с правилами и обучены процедурам для поддержки мер безопасности организации при выполнении ими своих служебных обязанностей и для снижения риска человеческого фактора для информационной безопасности

Мера и средство контроля и управления (1)/процесс (1)

А.8.2.2 приложения А [ИСО/МЭК 27001:2005] Все сотрудники организации и, при необходимости, подрядчики и пользователи сторонних организаций должны проходить соответствующее обучение и переподготовку в целях регулярного получения информации о новых требованиях правил и процедур организации безопасности, необходимых для выполнения ими должностных функций.

Реализация:

весь персонал, имеющий отношение к СМИБ, должен получать обучение, направленное на повышение осведомленности об информационной безопасности, до получения доступа к информационной системе. Обучение включает в себя ...

Мера и средство контроля и управления (2)/процесс (2)

А.8.2.1 приложения А [ИСО/МЭК 27001:2005] Руководство организации должно требовать, чтобы сотрудники, подрядчики и пользователи сторонней организации были ознакомлены с правилами и процедурами обеспечения мер безопасности в соответствии с установленными требованиями.

Реализация:

весь персонал, имеющий отношение к СМИБ, должен подписывать пользовательские обязательства до получения доступа к информационной системе

Объект измерения и атрибуты

Объект измерения

1.1 План/график обучения, способствующий осведомленности в сфере информационной безопасности.

1.2 Персонал, завершивший обучение или находящийся в процессе обучения.

2.1 План/график подписания пользовательских обязательств.

2.2 Персонал, подписавший пользовательские обязательства

Атрибуты

1.1 Персонал, включенный в план обучения.

1.2 Состояние персонала в отношении обучения.

2.1 Персонал, включенный в план/график подписания.

2.2 Состояние персонала в отношении подписания пользовательских обязательств

Спецификация основной меры измерения

Основная мера измерения

1.1 Численность персонала, который должен пройти обучение и подписать пользовательские обязательства к установленному сроку.

1.2 Численность персонала, подписавшего пользовательские обязательства.

2.1 Численность персонала, включенного в план/график подписания пользовательских обязательств к установленному сроку.

2.2 Численность персонала, подписавшего пользовательские обязательства к установленному сроку

Метод измерения

1.1 Подсчет численности персонала, включенного в план/график подписания пользовательских обязательств и завершившего обучение к установленному сроку.

1.2 Опрос ответственного лица о процентном показателе завершивших обучение из числа персонала, подписавшего пользовательские обязательства.

2.1 Подсчет численности персонала, включенного в план/график подписания пользовательских обязательств к установленному сроку.

2.2 Подсчет численности персонала, подписавшего пользовательские обязательства

Вид метода измерения

1.1 Объективный.

1.2 Субъективный.

2.1 Объективный.

2.2 Объективный

Шкала

1.1 Целые числа от нуля до бесконечности.

1.2 Целые числа от нуля до ста.

2.1 Целые числа от нуля до бесконечности.

2.2 Целые числа от нуля до бесконечности

Вид шкалы

1.1 Порядковая.

1.2 Шкала отношений.

2.1 Порядковая.

2.2 Порядковая

Единица измерения

1.1 Персонал.

1.2 Значение в процентах.

2.1 Персонал.

2.2 Персонал

Спецификация производной меры измерения

Производная мера измерения

1 Ход выполнения на данный момент.

2 Ход выполнения подписания пользовательских обязательств к установленному сроку

Функция измерения

1 Суммировать состояние всего персонала, подписавшего пользовательские обязательства и запланированного к завершению обучения к установленному сроку.

2 Разделить значение [численность персонала, подписавшего пользовательские обязательства на данный момент] на значение [численность персонала, включенного в план/график подписания пользовательских обязательств к установленному сроку]

Спецификация показателя

Показатель

a) состояние, выраженное как комбинация показателей;

b) тренд

Аналитическая модель

a) разделить [достигнутый к установленному сроку прогресс] на [численность персонала, запланированного к установленному сроку, умноженную на 100] и достигнутый к установленному сроку прогресс в отношении подписания пользовательских обязательств;

b) сравнить состояние с предыдущими значениями

Спецификация критериев принятия решений

Критерии принятия решений

a) итоговые показатели должны располагаться между 0,9 и 1,1 и между 0,99 и 1,01 для принятия решения о достижении цели применения мер и средств контроля и управления соответственно; вмешательство руководства не требуется;

b) тренд должен быть восходящим или стабильным

Результаты измерений

Интерпретация показателя

Интерпретация показателя по перечислению а) должна быть следующей:

- критерии организации на соответствие политике осведомленности о безопасности организации были реализованы удовлетворительно, если 0,9 первый показатель 1,1 и 0,99 второй показатель 1,01 (набраны прямым шрифтом);

- критерии организации были реализованы неудовлетворительно, если первый показатель 0,9 или первый показатель 1,1 и 0,99 второй показатель 1,01 (набраны курсивом);

- критерии организации не были реализованы, если второй показатель 0,99 или второй показатель 1,01 (набраны полужирным шрифтом).

Интерпретация показателя по перечислению b) должна быть следующей:

- тренд повышения указывает на улучшенное соответствие, тренд понижения указывает на ухудшенное соответствие. Порядок изменения тренда может способствовать пониманию эффективности реализации мер и средств контроля и управления. Резкие изменения в любом направлении показывают, что реализация мер и средств контроля и управления требует пристального изучения, чтобы установить их причину. Негативные тренды могут потребовать вмешательства руководства. Позитивные тренды следует изучать с целью определения возможных наилучших практик

Форматы отчетности

Прямой шрифт - критерии были реализованы удовлетворительно.

Курсив - критерии были реализованы неудовлетворительно.

Полужирный шрифт - критерии не были реализованы

Заинтересованные стороны

Заказчик измерения

Руководители, отвечающие за СМИБ. Менеджмент безопасности. Менеджмент обучения

Контролер измерения

Руководитель, отвечающий за безопасность

Владелец информации

Лицо, ответственное за информационную безопасность, и руководитель, отвечающий за обучение

Сборщик информации

Менеджмент обучения - отдел кадров

Субъект, ответственный за передачу информации

Руководители, отвечающие за СМИБ

Частота/период

Частота сбора данных

Ежемесячно, в первый рабочий день месяца

Частота проведения исследования данных

Ежеквартально

Частота сообщения результатов измерений

Ежеквартально

Пересмотр измерений

Ежегодно проводить проверку

Период измерений

Ежегодно

Определение конструктивных элементов измерения

Название конструктивного элемента измерения

Качество паролей

Числовой идентификатор

Характерный для организации

Назначение конструктивного элемента измерения

Для оценки качества паролей, применяемых пользователями для доступа к системам ИТ организации

Цель применения меры и средства контроля и управления/процесса

Предотвратить выбор пользователями небезопасных паролей

Мера и средство контроля и управления (1)/процесс (1)

А.11.3.1 приложения А [ИСО/МЭК 27001:2005] Пользователи должны соблюдать правила безопасности при выборе и использовании паролей.

Реализация:

все пользователи должны выбирать надежные пароли для каждой системы:

1) длиной более восьми знаков;

2) не основанные на том, что можно легко отгадать или получить при использовании информации, связанной с личностью, например, на именах, телефонных номерах, датах рождения и т.п.;

3) не состоящие из слов, включенных в словари;

4) не содержащих следующих один за другим идентичных, полностью цифровых или полностью буквенных знаков.

Все имена учетных записей и пароли пользователей для систем ИТ организации должны контролироваться системой обеспечения/контроля деятельности сотрудников

Объект измерения и атрибуты

Объект измерения

База данных паролей пользователей

Атрибуты

Личные пароли

Спецификация основной меры измерения

Основная мера измерения

1 Число зарегистрированных паролей.

2 Число паролей, которые соответствуют политике качества паролей организации для каждого пользователя

Метод измерения

1 Подсчет числа паролей в базе данных паролей пользователей.

2 Опрос каждого пользователя о том, какое число паролей соответствует политике паролей организации

Вид метода измерения

1 Объективный.

2 Субъективный

Шкала

1 Целые числа от нуля до бесконечности.

2 Целые числа от нуля до бесконечности

Вид шкалы

1 Порядковая.

2 Порядковая

Единица измерения

1 Пароли.

2 Пароли

Спецификация производной меры измерения

Производная мера измерения

Общее число паролей, соответствующее политике качества паролей организации

Функция измерения

Сумма числа паролей каждого пользователя, соответствующая политике качества паролей организации

Спецификация показателя

Показатель

a) Показатель для паролей, которые реализованы в соответствии с политикой качества паролей организации;

b) тренд состояния соответствия относительно политики качества паролей

Аналитическая модель

a) Разделить общее число паролей, соответствующих политике качества паролей организации, на число зарегистрированных паролей;

b) сравнить показатель с предыдущим показателем

Спецификация критериев принятия решений

Критерии принятия решений

Цель применения мер и средств контроля и управления достигнута, и никакое действие не требуется, если результирующий показатель превышает 0,9. Если результирующий показатель находится в диапазоне между 0,8 и 0,9, то цель применения мер и средств контроля и управления не достигнута, однако позитивный тренд указывает на улучшение. Если результирующий показатель меньше 0,8, то следует принять немедленные меры

Результаты измерений

Интерпретация показателя

Интерпретация показателя по перечислению a) должна быть следующей:

- критерии организации на соответствие политике паролей организации реализованы удовлетворительно при показателе 0,9;

- критерии организации на соответствие политике паролей организации реализованы неудовлетворительно при [0,8  показатель 0,9];

- критерии организации на соответствие политике паролей организации не реализованы при показателе 0,8.

Интерпретация показателя по перечислению b) должна быть следующей:

- восходящий тренд показывает улучшенное соответствие; нисходящий тренд показывает ухудшенное соответствие;

- порядок изменения тренда может способствовать пониманию эффективности реализованных мер и средств контроля и управления;

- негативный тренд может потребовать дополнительных мер и средств контроля и управления, таких как осведомленность, или технических средств для того, чтобы заставлять выбирать надежные пароли или периодически менять пароли;

- позитивные тренды следует изучать для того, чтобы оценивать необходимые сроки реализации политики паролей, начиная с текущего результирующего показателя.

Влияние/воздействие нереализованных критериев приводит к повышающемуся риску конфиденциальности.

К возможным причинам отклонения относятся: недостаточная осведомленность о безопасности, технические недостатки реализации и нехватка времени для реализации на всех системах ИТ

Форматы отчетности

Линия тренда, которая отображает число паролей, соответствующих политике качества паролей организации, наложенная на линии тренда, полученные в течение предыдущих периодов отчетности

Заинтересованные стороны

Заказчик измерения

Руководители, отвечающие за СМИБ. Руководитель, отвечающий за безопасность

Контролер измерения

Менеджмент безопасности

Владелец информации

Системный администратор

Сборщик информации

Персонал, отвечающий за безопасность

Субъект, ответственный за передачу информации

Персонал, отвечающий за безопасность

Частота/период

Частота сбора данных

Ежегодно

Частота проведения исследования данных

Ежегодно

Частота сообщения результатов измерений

Ежегодно

Пересмотр измерений

Проверка и обновление каждый год

Период измерений

Один раз в год