Методы и средства обеспечения безопасности



страница1/10
Дата01.08.2018
Размер1.22 Mb.
  1   2   3   4   5   6   7   8   9   10

ГОСТ Р ИСО/МЭК 27004-2011

ГОСТ Р ИСО/МЭК 27004-2011


НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Менеджмент информационной безопасности. Измерения

Information technology. Security techniques. Information security management. Measurement


ОКС 35.040

Дата введения 2012-01-01

Предисловие


Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004"Стандартизация в Российской Федерации. Основные положения"



Сведения о стандарте

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл"), Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и "Газпромбанк" (Открытое акционерное общество) (ГПБ (ОАО) на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 681-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27004:2009* "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения" (ISO/IEC 27004:2009 "Information technology - Security techniques - Information security management - Measurement").
________________
* Доступ к международным и зарубежным документам, упомянутым здесь и далее по тексту, можно получить, перейдя по ссылке. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5, пункт 3.5.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ




Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
0 Введение

0.1 Общие положения

Настоящий стандарт содержит рекомендации по разработке и использованию измерений и мер измерения для проведения оценки эффективности реализованной системы менеджмента информационной безопасности (СМИБ), а также мер и средств контроля и управления или их групп по ИСО/МЭК 27001.

Процесс измерений затрагивает политику, менеджмент риска информационной безопасности, меры и средства контроля и управления и цели их применения, процессы и процедуры, а также поддерживает процесс проверки СМИБ, помогая определить, требуется ли изменять или совершенствовать какие-либо из процессов или мер и средств контроля и управления СМИБ. Следует помнить, что никакие измерения мер и средств контроля и управления не могут обеспечить полной безопасности.

Процесс измерений реализуется в виде программы измерений, связанных с информационной безопасностью (далее - программа измерений). Программа измерений предназначена для оказания помощи руководству организации в выявлении и оценивании несоответствующих требованиям и неэффективных процессов, мер, средств контроля и управления СМИБ, а также в определении приоритетов действий, направленных на усовершенствование или изменение этих процессов и (или) мер и средств контроля и управления. Программа измерений также может помочь организации в демонстрации соответствия СМИБ требованиям ИСО/МЭК 27001 и создании дополнительного основания для проведения руководством организации проверки процессов менеджмента риска информационной безопасности.

В данном стандарте предполагается, что отправной точкой для разработки мер измерения и измерений является доскональное понимание рисков информационной безопасности, с которыми сталкивается организация, и корректное выполнение (на основе ИСО/МЭК 27005) действий организации по оценке риска в соответствии с требованиями ИСО/МЭК 27001. Программа измерений поможет организации в предоставлении соответствующим заинтересованным сторонам достоверной информации, касающейся рисков информационной безопасности и состояния реализованной СМИБ для управления этими рисками.

Эффективно реализованная программа измерений позволит укрепить доверие заинтересованных сторон к результатам измерений, а также даст возможность заинтересованным сторонам применять меры измерений для непрерывного улучшения информационной безопасности и СМИБ.

Накопленные результаты измерений позволят следить за прогрессом в достижении целей информационной безопасности за некоторый период времени в интересах реализации процесса непрерывного совершенствования СМИБ организации.

0.2 Краткая справка для должностных лиц

ИСО/МЭК 27001 содержит требования к организации "проводить регулярные проверки эффективности СМИБ, принимая в расчет результаты измерений эффективности" и "измерять эффективность мер и средств контроля и управления с тем, чтобы подтвердить удовлетворение требований безопасности". ИСО/МЭК 27001 также содержит требования к организации "определять, каким образом проводить измерение эффективности выбранных мер и средств контроля и управления и их групп, и устанавливать, каким образом должны использоваться меры измерений для оценки эффективности мер и средств контроля и управления с тем, чтобы получать воспроизводимые и сопоставимые результаты".

Подход, принятый организацией для выполнения требований к измерениям, определенных в ИСО/МЭК 27001, будет варьироваться в зависимости от ряда существенных факторов, включающих в себя риски информационной безопасности, с которыми сталкивается организация, размер организации, имеющихся ресурсов и применимых правовых, нормативных и договорных требований. Тщательный выбор и обоснование метода, используемого для выполнения требований к измерениям, важны для того, чтобы для этой деятельности СМИБ не выделялись чрезмерные ресурсы в ущерб другой необходимой деятельности. В идеальном случае текущая деятельность, связанная с постоянными измерениями, должна быть интегрирована в обычную деятельность организации с привлечением минимальных дополнительных ресурсов.

Настоящий стандарт предлагает рекомендации, касающиеся следующей деятельности, являющейся основой для выполнения организацией требований к измерениям, установленных в ИСО/МЭК 27001:

a) разработка мер измерений (например, основные меры измерений, производные меры измерений и показатели);

b) разработка и выполнение программы измерений;

c) сбор и анализ данных;

d) обработка результатов измерений;

e) сообщение обработанных результатов измерений заинтересованным сторонам;

f) использование результатов измерений для принятия решений, относящихся к СМИБ;

g) использование результатов измерений для выявления потребностей в совершенствовании реализованной СМИБ, включая ее область действия, политики, цели, меры и средства контроля и управления, процессы и процедуры;

h) содействие постоянному совершенствованию программы измерений.

Одним из факторов, влияющих на способность организации проводить измерения, является ее размер. В целом, масштабы и сложность основной деятельности организации в сочетании с важностью информационной безопасности влияют на объем требуемых измерений как с точки зрения числа выбираемых мер измерений, так и с точки зрения частоты сбора и анализа данных. В то время как для малых и средних организаций менее детализированная программа измерений будет достаточной, крупные организации будут внедрять и использовать многочисленные программы измерений.

Единственная программа измерений может быть достаточной для малых организаций, тогда как для крупных организаций может возникнуть потребность в многочисленных программах измерений.

Рекомендации, содержащиеся в настоящем стандарте, позволят подготовить документацию, помогающую подтвердить, что эффективность мер и средств контроля и управления измеряется и оценивается.
1 Область применения

Настоящий стандарт устанавливает рекомендации по разработке и использованию измерений и мер измерений для оценки эффективности реализованной системы менеджмента информационной безопасности, мер и средств контроля и управления и их групп в соответствии с ИСО/МЭК 27001.

Настоящий стандарт предназначен для организаций всех видов.

Примечание - В настоящем стандарте используются глагольные формы для формулировки положений (например, "должен", "не должен"; "следует", "не следует"; "может быть", "нет необходимости"; "может", "не может"), которые определены в документе ИСО/МЭК Директивы, часть 2, 2004, приложение H. См. также ИСО/МЭК 27000:2009, приложение А.


2 Нормативные ссылки

Для применения настоящего стандарта необходимы следующие ссылочные документальные источники*. Для датированных стандартов применимо только указанное издание. Для недатированных стандартов применяют последнее издание стандарта, включая опубликованные изменения.


_______________
* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.

ИСО/МЭК 27000:2009 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary)

ИСО/МЭК 27001:2005 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements)
3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:

3.1 аналитическая модель измерений (analytical model): Алгоритм или вычисление, объединяющие одну или более основных и/или производных мер измерения с соответствующими критериями принятия решений.

[ИСО/МЭК 15939:2007]

3.2 атрибут (attribute): Свойство или характеристика объекта, которые могут быть определены количественно или качественно вручную или автоматическими средствами.

[ИСО/МЭК 15939:2007]

3.3 основная мера [измерения]* (base measure): Мера измерения, определенная через атрибут и метод его количественной оценки.
_______________
* См.3.9.

[ИСО/МЭК 15939:2007]

Примечание - Основная мера функционально независима от других мер.
3.4 данные (data): Совокупность значений, присвоенных для основных мер измерений, производных мер измерений и (или) показателей.

[ИСО/МЭК 15939:2007]

3.5 критерии принятия решения (decision criteria): Пороговые величины, целевые значения или образцы, используемые для определения необходимости действия или дальнейшего исследования или для описания уровня уверенности в данном результате.

[ИСО/МЭК 15939:2007]

3.6 производная мера [измерения]* (derived measure): Мера измерения, которая определяется как функция двух или более значений основных мер измерений.
________________
* См. 3.9.

[ИСО/МЭК 15939:2007]


3.7 показатель (indicator): Мера измерения, дающая качественную или количественную оценку определенных атрибутов, выведенную на основе аналитической модели, разработанной для определенных информационных потребностей.

3.8 информационная потребность (information need): Знание (сведения), необходимое(ые) для управления целями, задачами, рисками и проблемами.

[ИСО/МЭК 15939:2007]

3.9 мера [измерения]* (measure): Переменная, которой присваивается некоторое значение, полученное в результате измерения.


________________
* В контексте настоящего стандарта термин "measure" следует понимать как "мера измерения".

[ИСО/МЭК 15939:2007]

Примечание - Термин "меры измерений" (measures) используется для обозначения совокупности основных мер измерений, производных мер измерений и показателей.


Пример - Сравнение измеренной интенсивности отказов с расчетной интенсивностью отказов вместе с оценкой того, указывает ли различие интенсивностей на наличие проблемы или нет.

3.10 измерение (measurement): Процесс получения информации об эффективности СМИБ, а также мер и средств контроля и управления с использованием метода измерения, функции измерения, аналитической модели и критериев принятия решения.

3.11 функция измерения (measurement function): Алгоритм или вычисление, выполняемое для комбинирования двух или более основных мер измерения.

[ИСО/МЭК 15939:2007]

3.12 метод измерения (measurement method): Описанная в общем виде логическая последовательность операций, которая используется для количественного измерения атрибута относительно определенной шкалы.

[ИСО/МЭК 15939:2007]

Примечание - Вид метода измерения зависит от характера операций, используемых для количественного измерения атрибута. Можно выделить следующие два вида метода измерения:

- субъективный: количественная оценка с использованием суждения человека;

- объективный: количественная оценка, основанная на числовых правилах.
3.13 результаты измерения (measurement results): Один или более показателей и их соответствующая интерпретация, предназначенные для информационной потребности.

3.14 объект (object): Элемент, который может быть охарактеризован посредством измерения его атрибутов.

3.15 шкала (scale): Упорядоченная совокупность значений, непрерывная или дискретная, или совокупность категорий, на которые отображается атрибут.

[ИСО/МЭК 15939:2007]

Примечание - Вид шкалы зависит от характера взаимосвязи между значениями на шкале. Обычно различают четыре вида шкал:

- номинальная: значением измерения является категория;

- порядковая (ранговая): значениями измерений являются ранги;

- интервальная: значения измерений отстоят одно от другого на равные расстояния, соответствующие одинаковым значениям атрибута;

- шкала отношений: значения измерений имеют равные расстояния, соответствующие одинаковым значениям атрибута, где нулевое значение соответствует отсутствию данного атрибута.

Представлены только примеры видов шкалы.


3.16 единица измерения (unit of measurement): Конкретная величина, определенная и принятая по соглашению, с которой сравниваются другие величины того же вида, чтобы выразить их значение относительно данной величины.

[ИСО/МЭК 15939:2007]

3.17 валидация (validation): Подтверждение посредством представления объективных свидетельств того, что требования в отношении конкретного использования или применения были выполнены.

3.18 верификация (verification): Подтверждение посредством предоставления объективных свидетельств того, что установленные требования были выполнены.

[ИСО 9000:2005]

Примечание - В качестве синонима может использоваться термин "проверка соответствия".


4 Структура

В настоящем стандарте представлены меры измерений и виды деятельности, связанные с измерениями, необходимыми для оценки эффективности реализации требований СМИБ к менеджменту необходимых и достаточных мер и средств контроля и управления безопасностью в соответствии с 4.2 ИСО/МЭК 27001:2005.

Настоящий стандарт имеет следующую структуру:

- общий обзор программы измерений и модели измерений, связанных с информационной безопасностью* (см. раздел 5);


________________
* Далее - модель измерений.

- обязанности руководства в отношении измерений, связанных с информационной безопасностью (см. раздел 6);

- конструктивные элементы и процессы измерений (такие, как планирование и разработка, реализация и функционирование, а также совершенствование измерений: распространение результатов измерений), подлежащие реализации в рамках программы измерений (см. разделы 7-10).

Кроме того, в приложении A представлена типовая форма конструктивных элементов измерения, составными частями которой являются элементы модели измерений (см. раздел 7). В приложении B представлены примеры конструктивных элементов измерения для конкретных мер и средств контроля и управления, а также процессов СМИБ с использованием типовой формы, представленной в приложении A.

Данные примеры предназначены для содействия организациям в проведении измерений, связанных с информационной безопасностью, а также документировании процессов измерений и их результатов.

5 Общий обзор измерений, связанных с информационной безопасностью

5.1 Цели измерений, связанных с информационной безопасностью

Цели измерений, связанных с информационной безопасностью, в контексте СМИБ включают в себя:

a) оценивание эффективности реализованных мер и средств контроля и управления или их групп [см. 4.2.2, перечисление d), рисунок 1];
Рисунок 1 - Взаимосвязь видов деятельности, связанных с измерениями ("входы-выходы"), в цикле "планирование-осуществление-проверка-действие"

гост р исо/мэк 27004-2011 информационная технология. методы и средства обеспечения безопасности. менеджмент информационной безопасности. измерения

Рисунок 1 - Взаимосвязь видов деятельности, связанных с измерениями ("входы-выходы"), в цикле "планирование-осуществление-проверка-действие"

b) оценивание эффективности реализованной СМИБ [см. 4.2.3, перечисление b), рисунок 1];

c) верификацию степени, до которой были удовлетворены установленные требования безопасности [см. 4.2.3, перечисление с), рисунок 1];

d) содействие повышению результативности информационной безопасности с точки зрения общих рисков основной деятельности организации;

e) предоставление сведений для проверки, проводимой руководством с целью содействия принятию решений, касающихся СМИБ, и обоснования необходимых улучшений в реализованной СМИБ.

Циклическая взаимосвязь видов деятельности, связанных с измерениями (их "входов-выходов"), по отношению к циклу "планирование-осуществление-проверка-действие" (PDCA-Plan-Do-Check-Act), определенному в ИСО/МЭК 27001, показана на рисунке 1. Цифры перед текстом в каждой фигуре обозначают номера подпунктов ИСО/МЭК 27001:2005.

Конкретной организации следует устанавливать цели измерений на основе ряда факторов, включающих в себя:

a) роль информационной безопасности в поддержке различных видов основной деятельности организации и рисков, с которыми она сталкивается;

b) соответствующие правовые, нормативные и договорные требования;

c) структуру организации;

d) расходы и выгоды от реализации мер, связанных с обеспечением информационной безопасности;

e) критерии принятия риска для организации;

f) необходимость сравнения нескольких СМИБ, имеющихся в одной и той же организации.


5.2 Программа измерений

Организации следует создать программу измерений и управлять ею для достижения установленных целей измерений и внедрения модели "планирование-осуществление-проверка-действие" в масштабах всей измерительной деятельности организации. Организации следует также разрабатывать и реализовывать конструктивные элементы измерений для получения воспроизводимых, объективных и пригодных результатов измерений, основанных на модели измерений (см. 5.4).

Программа измерений и разработанные конструктивные элементы измерений должны обеспечивать эффективное налаживание организацией объективных и повторяемых процессов измерения, а также предоставление результатов измерений соответствующим заинтересованным сторонам для определения потребностей в усовершенствовании реализованной СМИБ, включая область ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры.

Программа измерений должна включать в себя следующие процессы:

a) разработка измерений и мер измерений (см. раздел 7);

b) проведение измерений (см. раздел 8);

c) анализ данных и распространение результатов измерений (см. раздел 9);

d) оценивание и совершенствование программы измерений, связанных с информационной безопасностью (см. раздел 10).

Организационную и эксплуатационную структуру программы измерений следует определять, учитывая масштабы и сложность СМИБ, частью которой эта программа является. Во всех случаях роли и обязанности, касающиеся программы измерений, должны быть явным образом назначены компетентному персоналу (см. 7.5.8).

Меры, выбранные и реализованные в рамках программы измерений, следует непосредственно связывать с функционированием СМИБ, другими мерами измерений, а также процессами основной деятельности организации. Измерения могут быть интегрированы в обычные процессы функционирования или могут выполняться через постоянные интервалы времени, определенные руководством СМИБ.


5.3 Факторы успеха

Ниже перечислены некоторые факторы, способствующие успеху программы измерений в содействии непрерывному совершенствованию СМИБ:

a) поддержка со стороны руководства, подкрепляемая соответствующими ресурсами;

b) наличие процессов и процедур СМИБ;

c) воспроизводимый процесс, способный фиксировать и сообщать значимые данные для выведения важных тенденций за некий период времени;

d) меры безопасности, основанные на целях СМИБ, эффективность которых может быть оценена количественно;

e) легко получаемые данные, которые могут быть использованы для измерений;

f) оценивание эффективности программы измерений и реализация намеченных улучшений;

g) последовательный периодический сбор, анализ и четкое представление результатов измерений;

h) использование результатов измерений соответствующими заинтересованными сторонами для выявления потребностей в совершенствовании реализованной СМИБ, включая сферу ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры;

i) получение ответной реакции на результаты измерений от соответствующих заинтересованных сторон;

j) оценивание полезности результатов измерений и реализация намеченных усовершенствований.

После успешной реализации программа измерений может:

1) продемонстрировать выполнение организацией применимых правовых или нормативных требований и договорных обязательств;

2) способствовать выявлению ранее необнаруженных или неизвестных проблем информационной безопасности;

3) содействовать удовлетворению потребностей руководства в отчетности, когда определены меры измерений завершенных и текущих видов деятельности;

4) использоваться в качестве источника данных для процесса менеджмента риска информационной безопасности, внутренних аудитов СМИБ и проводимых руководством проверок.
5.4 Модель измерений

Примечание - Понятия "модель измерений" и "конструктивные элементы измерений", принятые в настоящем стандарте, основаны на понятиях, установленных в ИСО/МЭК 15939. Термин "информационный продукт" ("information product"), используемый в ИСО/МЭК 15939, является синонимом термина "результаты измерений" ("measurement results") настоящего стандарта, а термин "процесс измерений" ("measurement process"), используемый в ИСО/МЭК 15939, является синонимом термина "программа измерений" ("measurement programme") настоящего стандарта.




Поделитесь с Вашими друзьями:
  1   2   3   4   5   6   7   8   9   10


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница