Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27004-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание

     7.3 Показатели эффективности


Показатели эффективности следует использовать для описания эффективности и влияния реализации плана обработки рисков СМИБ, процессов и средств контроля и управления СМИБ на цели ИБ организации. Эти показатели нужно использовать для определения того, работают ли процессы СМИБ и меры обеспечения ИБ так, как задумано, и достигают ли они желаемых результатов. В зависимости от целей для количественной оценки могут использоваться показатели эффективности, такие, как:

a) экономия средств, связанная с использованием СМИБ или за счет сокращения затрат на устранение последствий инцидентов ИБ;

b) повышение степени доверия клиентов из-за использования СМИБ;

c) достижение других целей ИБ.

Показатели эффективности могут быть сформированы путем объединения данных, полученных из инструментов автоматического мониторинга и оценки, с данными о функционировании СМИБ, полученными вручную. Это может потребовать мониторинга различных показателей по всей организации таким способом, который может быть напрямую связан с функционированием СМИБ и событиями безопасности. Чтобы достичь этого, организация должна обладать следующими возможностями:

d) с помощью показателей эффективности оценивать степень, в которой процессы, средства контроля и управления или группы средств управления СМИБ были реализованы;

e) получать данные из инструментов автоматического мониторинга и оценки;

f) вручную собирать данные о функционировании СМИБ;

g) нормализовать и анализировать данные, поступающие из множества автоматизированных и не автоматизированных источников;

h) интерпретировать эти данные и докладывать лицам, принимающим решения.

Такие показатели эффективности объединяют информацию о реализации плана обработки рисков с разнообразной информацией о ресурсах и могут обеспечить исходные данные для процесса менеджмента рисков. Они также могут предоставить непосредственное представление о ценности ИБ для организации и должны представлять наибольший интерес для высшего руководства.

Примеры:

3 Не секрет, что большая часть инцидентов ИБ происходит из-за использования известных уязвимостей. Чем больше число известных уязвимостей и чем дольше они не устранены, тем выше вероятность их использования соответствующими источниками угроз и тем больше подверженность риску. Показатель эффективности может помочь организации определить подверженность рискам, связанным с такими уязвимостями.

4 Учебный курс может иметь конкретные цели обучения для каждого отдельного элемента курса. Показатель эффективности может помочь организации определить, насколько каждый обучаемый понимает каждый урок и насколько он способен применить свои новые знания и навыки. Такие показатели обычно требуют нескольких совокупностей данных, таких как результаты тестов после обучения; изучение данных об инцидентах, связанных с темами обучения; или анализ обращений в службу поддержки, связанных с темами обучения.