ГОСТ Р ИСО/МЭК 27004-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание

     6.3 Объекты оценки защищенности

В контексте ИБ оценка защищенности является действием, предпринятым для определения значения, состояния или тенденции в результативности или эффективности деятельности по обеспечению ИБ целью помочь идентифицировать потенциальные потребности в улучшениях. Любые процессы, действия, средства контроля и управления и группы средств контроля и управления СМИБ могут быть оценены.

В качестве примера, можно рассмотреть пункт c) подраздела 7.2 ИСО/МЭК 27001, который требует от организации возможных действий для приобретения необходимой компетентности. Организация может определить, все ли лица, которым требуется обучение, прошли его, и было ли обучение проведено в соответствии с планом. Результатом оценки защищенности может быть количество или процент обученных людей. Организация также может определить, действительно ли обученные лица приобрели и обладают необходимой компетентностью. Это может быть оценено путем анкетирования после обучения.

Что касается процессов СМИБ, то для организаций в ИСО/МЭК 27001 имеется ряд положений, которые непосредственно требуют определения эффективности конкретных видов действий. Например, в пункте d) подраздела 10.1 ИСО/МЭК 27001, содержится требование, чтобы организации "проверяли эффективность любых предпринятых корректирующих действий". Для подобного анализа эффективность корректирующих действий должна быть определена в первую очередь с помощью некоторого конкретного типа показателя. Для этого организация должна сначала определить соответствующую информационную потребность и показатель или показатели ее удовлетворения. Соответствующий процесс рассматривается в разделе 8.

Потенциальными кандидатами для оценки защищенности являются следующие процессы и действия СМИБ:

- планирование;

- руководство;

- менеджмент рисков;

- управление политикой;

- управление ресурсами;

- обмен информацией;

- анализ управления;

- документирование;

- мониторинг.

________________

Дополнительными видами оценки защищенности, предусмотренными нормативными правовыми актами (НПА) Российской Федерации, являются: аттестация по требованиям ИБ и приемо-сдаточные испытания (Постановление правительства Российской Федерации N 330 от 15.05.2010 г., приказа ФСТЭК России N 239 от 25.12.2017 п.12.7 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации").

Что касается показателей ИБ, то наиболее очевидными кандидатами являются меры обеспечения ИБ организации или группы таких мер (или даже весь план обработки рисков). Такие меры обеспечения ИБ определяются в процессе обработки рисков и определены в ИСО/МЭК 27001 в качестве необходимых мер обеспечения ИБ. Ими могут быть как меры обеспечения ИБ, описанные в приложении А ИСО/МЭК 27001, так и специфичные для сектора меры обеспечения ИБ (например, как определено в других стандартах, таких как ИСО/МЭК 27010), меры обеспечения ИБ, определенные иными стандартами или меры обеспечения ИБ, разработанные организацией. Поскольку целью мер обеспечения ИБ является изменение степени риска, существует множество атрибутов, которые можно оценить, например:

j) степень снижения мерой обеспечения ИБ вероятности возникновения события безопасности;

k) степень уменьшения мерой обеспечения ИБ последствия события безопасности;

I) частота событий безопасности, с которыми может справиться система управления до отказа;

m) сколько времени после возникновения события безопасности требуется, чтобы мера обеспечения ИБ обнаружила, что событие произошло.