6.1 Общие положения
6.1.1 В приложении к защищаемым активам, действиям и выходным результатам процесса гарантии качества для системы, к которым предъявлены определенные требования по защите информации, выполняют оценку эффективности защиты информации на основе прогнозирования рисков в условиях возможных угроз.
6.1.2 В общем случае основными выходными результатами процесса гарантии качества для системы являются:
- процедуры для обеспечения гарантий качества;
- критерии и методы оценки гарантий качества;
- результаты оценки продукции, услуг и процессов, совместимые с политикой, процедурами и требованиями к качеству системы и предоставляемые заинтересованным сторонам.
6.1.3 Для получения выходных результатов процесса гарантии качества для системы в общем случае выполняют следующие основные действия:
- подготовку к выполнению процесса, включая:
- определение стратегии в обеспечении гарантии качества для системы, в том числе распределение ролей, ответственности, подотчетности и полномочий, обеспечение действий применительно к каждому из процессов жизненного цикла, к привлекаемым поставщикам продукции и/или услуг, к процессам оценки и контроля, измерений, верификации, аттестации, к проведению инспекций и испытаний, определение количественных критериев оценки и принятия качества самой системы, а также поставляемых и/или производимых продукции и/или услуг для системы, в рамках системы и в интересах заинтересованных сторон вне системы,
- обеспечение независимости в оценках качества;
- выполнение количественных оценок качества, включая:
- оценку качества самой системы, поставляемых и/или производимых продукции и/или услуг (для системы, в рамках системы и в интересах заинтересованных сторон вне системы) для определения соответствия установленным критериям, условиям контрактов, стандартов и инструкций, в том числе путем реализации процессов верификации и аттестации,
- оценку процессов соглашения, организационного обеспечения проекта, процессов технического управления и технических процессов,
- оценку инструментариев и эксплуатационной среды;
- документирование для обеспечения гарантии качества, включая:
- разработку отчетов, связанных с действиями по обеспечению гарантии качества,
- обеспечение сопровождения, сохранности и санкционированного распространения отчетности,
- определение инцидентов и проблем, связанных с оценками качества системы, продукции, услуг и задействованных процессов;
- реагирование на инциденты и проблемы, включая:
- регистрацию, анализ и классификацию инцидентов и проблем,
- принятие соответствующих мер реагирования по инцидентам и проблемам,
- выявление и анализ тенденций в инцидентах и проблемах,
- информирование заинтересованных сторон о состоянии, прогнозах и реагировании на инциденты и проблемы,
- отслеживание инцидентов и проблем до их полного разрешения.
6.1.4 Текущие данные, накапливаемая и собираемая статистика, связанные с нарушениями требований по защите информации и нарушениями надежности реализации процесса, являются основой для принятия решений по факту наступления событий и источником исходных данных для прогнозирования рисков на задаваемый период прогноза. Риски оценивают вероятностными показателями с учетом возможных ущербов (см. приложения В, Г).
6.2 Требования к составу показателей
Выбираемые показатели должны позволять обеспечивать проведение оценки эффективности защиты информации, прогнозирование и управление рисками для системы с учетом требований по защите информации.
Эффективность защиты информации оценивают с помощью количественных показателей, которые позволяют сформировать представление о текущих и потенциальных проблемах или о возможных причинах недопустимого снижения эффективности на ранних этапах проявления явных и скрытых угроз безопасности информации, когда можно принять предупреждающие корректирующие действия. Дополнительно могут быть использованы вспомогательные статистические показатели, характеризующие события, которые уже произошли, и их влияние на эффективность защиты информации при реализации различных процессов в жизненном цикле системы. Вспомогательные показатели позволяют исследовать произошедшие события и их последствия и сравнивать эффективность применяемых и/или возможных мер в действующей системе защиты информации.