ГОСТ Р ИСО/МЭК 27004-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание
7.2 Показатели деятельности по обеспечению ИБ
Показатели деятельности по обеспечению ИБ могут использоваться для демонстрации прогресса в реализации процессов СМИБ, связанных с ними процедур и конкретных мер обеспечения безопасности. Принимая во внимание, что результативность касается степени, в которой запланированные действия были реализованы и ожидаемые результаты достигнуты, показатели деятельности по обеспечению ИБ должны отражать степень, в которой были реализованы процессы и меры обеспечения ИБ. Эти показатели помогают определить, были ли процессы СМИБ и меры обеспечения ИБ реализованы в соответствии с планом.
Для оценки деятельности по обеспечению ИБ используются данные, которые можно получить из протоколов, журналов регистрации, планов проектов, инструментов автоматического сканирования и других широко используемых средств документирования, записи и мониторинга действий СМИБ.
Сбор, анализ и представление отчетов о показателях должны быть по возможности автоматизированы, чтобы снизить их стоимость, трудозатраты, а также вероятность человеческой ошибки.
Примеры: 1 При оценке в процентах степени реализации конкретного средства защиты информации, такого как шифрование жесткого диска ноутбуков результат оценки в начале, вероятно, будет менее 100%. При достижении и сохранении результата на уровне 100%, можно сделать вывод, что информационные системы полностью внедрили меры обеспечения ИБ, относящиеся к этому показателю, и оценки можно переориентировать на другие средства контроля и управления, требующие улучшения. 2 При внедрении новой СМИБ организация прежде всего должна стремиться к тому, чтобы высшее руководство присутствовало при проверке и на других возможных совещаниях. Запланированный (или предполагаемый) результат в этом случае - полное посещение всех собраний, за исключением болезней и разрешенного отсутствия по ранее взятым обязательствам. Показатель - это простое отношение количества присутствующих к количеству тех, кто должен присутствовать с возможной поправкой на отсутствовавших по уважительной причине. Сначала результат такой оценки может указывать на недостаточное посещение. Однако со временем результат должен достичь и оставаться близким к запланированной цели. На этом этапе организация должна начать концентрировать свои усилия по оценке показателей эффективности (см. 7.3). |
После того, как большинство показателей деятельности по обеспечению ИБ достигнуты и остаются на уровне 100%, организация должна начать сосредоточивать свои усилия на оценках показателей эффективности. Организации никогда не должны полностью отказываться от показателей деятельности по обеспечению ИБ, поскольку они могут быть полезны при определении конкретных мер обеспечения ИБ, которые нуждаются в улучшении; однако со временем акцент и ресурсы, относящиеся к оценкам, должны сместиться с этих показателей на показатели эффективности (см. 7.3).
В соответствии с подразделом 9.1 ИСО/МЭК 27001 важно также оценивать результативность системы менеджмента (см. далее). Чтобы использовать СМИБ надлежащим образом, организации должны оценивать деятельность по обеспечению ИБ и результативность СМИБ через определенные планом промежутки времени.
________________
В Российской Федерации деятельность по обеспечению ИБ является лицензируемой (см. пп.1, 4, 5 ч.1 ст.12 от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности").