ГОСТ Р ИСО/МЭК 27004-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание

     4 Структура и обзор стандарта

Настоящий стандарт содержит следующие разделы:

- основные принципы - раздел 5;

- характеристики - раздел 6;

- типы показателей - раздел 7;

- процессы - раздел 8.

Порядок следования разделов обеспечивает простое сопоставление с требованиями, изложенными в подразделе 9.1 ИСО/МЭК 27001, как это показано на рисунке 1.

Рисунок 1 - Взаимосвязь положений настоящего стандарта и требований подраздела 9.1 ИСО/МЭК 27001

Для удовлетворения потребностей в информации организация определяет соответствующие средства, которые будут использоваться для их удовлетворения, после чего производится их мониторинг, оценка и анализ. По результатам анализа оценивается удовлетворение информационных потребностей организации.

В приложении A приведена как модель оценки защищенности, так и взаимосвязь компонентов модели оценки защищенности и требований подраздела 9.1 ИСО/МЭК 27001.

В приложении B представлен широкий спектр примеров спецификаций конструкций для оценки защищенности. Эти примеры обеспечивают организациям практическое руководство по осуществлению мониторинга, оценки защищенности, анализа и оценивания выбранных ими процессов СМИБ и области эффективности ИБ. В этих примерах используется шаблон, приведенный в таблице 1.

В приложении C представлен еще один пример спецификации конструкции для оценки эффективности с использованием альтернативного текстового формата свободной формы.