Присоединяйтесь!
Зарегистрированных пользователей портала: 506 315. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ИЗМЕРЕНИЯ. ГОСТ Р ИСО/МЭК 27004-2011" (утв. Приказом Росстандарта от 01.12.2011 N 681-ст)

Дата документа01.12.2011
Статус документаДействует
МеткиСтандарт · Приказ · Гост · Гост р · Исо/мэк

    

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ИЗМЕРЕНИЯ

 
 

Information technology. Security techniques. Information security management. Measurement

 

ГОСТ Р ИСО/МЭК 27004-2011

 

Дата введения 2012-01-01

 

Предисловие

 
    Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
 

Сведения о стандарте

 
    1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл"), Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и "Газпромбанк" (Открытое акционерное общество) (ГПБ (ОАО) на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4
    2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
    3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 681-ст
    4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27004:2009 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения" (ISO/IEC 27004:2009 "Information technology - Security techniques - Information security management - Measurement").
    Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5, пункт 3.5.
    При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
    5 ВВЕДЕН ВПЕРВЫЕ
    Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
 

0 Введение

 

0.1 Общие положения

 
    Настоящий стандарт содержит рекомендации по разработке и использованию измерений и мер измерения для проведения оценки эффективности реализованной системы менеджмента информационной безопасности (СМИБ), а также мер и средств контроля и управления или их групп по ИСО/МЭК 27001.
    Процесс измерений затрагивает политику, менеджмент риска информационной безопасности, меры и средства контроля и управления и цели их применения, процессы и процедуры, а также поддерживает процесс проверки СМИБ, помогая определить, требуется ли изменять или совершенствовать какие-либо из процессов или мер и средств контроля и управления СМИБ. Следует помнить, что никакие измерения мер и средств контроля и управления не могут обеспечить полной безопасности.
    Процесс измерений реализуется в виде программы измерений, связанных с информационной безопасностью (далее - программа измерений). Программа измерений предназначена для оказания помощи руководству организации в выявлении и оценивании несоответствующих требованиям и неэффективных процессов, мер, средств контроля и управления СМИБ, а также в определении приоритетов действий, направленных на усовершенствование или изменение этих процессов и (или) мер и средств контроля и управления. Программа измерений также может помочь организации в демонстрации соответствия СМИБ требованиям ИСО/МЭК 27001 и создании дополнительного основания для проведения руководством организации проверки процессов менеджмента риска информационной безопасности.
    В данном стандарте предполагается, что отправной точкой для разработки мер измерения и измерений является доскональное понимание рисков информационной безопасности, с которыми сталкивается организация, и корректное выполнение (на основе ИСО/МЭК 27005) действий организации по оценке риска в соответствии с требованиями ИСО/МЭК 27001. Программа измерений поможет организации в предоставлении соответствующим заинтересованным сторонам достоверной информации, касающейся рисков информационной безопасности и состояния реализованной СМИБ для управления этими рисками.
    Эффективно реализованная программа измерений позволит укрепить доверие заинтересованных сторон к результатам измерений, а также даст возможность заинтересованным сторонам применять меры измерений для непрерывного улучшения информационной безопасности и СМИБ.
    Накопленные результаты измерений позволят следить за прогрессом в достижении целей информационной безопасности за некоторый период времени в интересах реализации процесса непрерывного совершенствования СМИБ организации.
 

0.2 Краткая справка для должностных лиц

 
    ИСО/МЭК 27001 содержит требования к организации "проводить регулярные проверки эффективности СМИБ, принимая в расчет результаты измерений эффективности" и "измерять эффективность мер и средств контроля и управления с тем, чтобы подтвердить удовлетворение требований безопасности". ИСО/МЭК 27001 также содержит требования к организации "определять, каким образом проводить измерение эффективности выбранных мер и средств контроля и управления и их групп, и устанавливать, каким образом должны использоваться меры измерений для оценки эффективности мер и средств контроля и управления с тем, чтобы получать воспроизводимые и сопоставимые результаты".
    Подход, принятый организацией для выполнения требований к измерениям, определенных в ИСО/МЭК 27001, будет варьироваться в зависимости от ряда существенных факторов, включающих в себя риски информационной безопасности, с которыми сталкивается организация, размер организации, имеющихся ресурсов и применимых правовых, нормативных и договорных требований. Тщательный выбор и обоснование метода, используемого для выполнения требований к измерениям, важны для того, чтобы для этой деятельности СМИБ не выделялись чрезмерные ресурсы в ущерб другой необходимой деятельности. В идеальном случае текущая деятельность, связанная с постоянными измерениями, должна быть интегрирована в обычную деятельность организации с привлечением минимальных дополнительных ресурсов.
    Настоящий стандарт предлагает рекомендации, касающиеся следующей деятельности, являющейся основой для выполнения организацией требований к измерениям, установленных в ИСО/МЭК 27001:
    a) разработка мер измерений (например, основные меры измерений, производные меры измерений и показатели);
    b) разработка и выполнение программы измерений;
    c) сбор и анализ данных;
    d) обработка результатов измерений;
    e) сообщение обработанных результатов измерений заинтересованным сторонам;
    f) использование результатов измерений для принятия решений, относящихся к СМИБ;
    g) использование результатов измерений для выявления потребностей в совершенствовании реализованной СМИБ, включая ее область действия, политики, цели, меры и средства контроля и управления, процессы и процедуры;
    h) содействие постоянному совершенствованию программы измерений.
    Одним из факторов, влияющих на способность организации проводить измерения, является ее размер. В целом, масштабы и сложность основной деятельности организации в сочетании с важностью информационной безопасности влияют на объем требуемых измерений как с точки зрения числа выбираемых мер измерений, так и с точки зрения частоты сбора и анализа данных. В то время как для малых и средних организаций менее детализированная программа измерений будет достаточной, крупные организации будут внедрять и использовать многочисленные программы измерений.
    Единственная программа измерений может быть достаточной для малых организаций, тогда как для крупных организаций может возникнуть потребность в многочисленных программах измерений.
    Рекомендации, содержащиеся в настоящем стандарте, позволят подготовить документацию, помогающую подтвердить, что эффективность мер и средств контроля и управления измеряется и оценивается.
 

1 Область применения

 
    Настоящий стандарт устанавливает рекомендации по разработке и использованию измерений и мер измерений для оценки эффективности реализованной системы менеджмента информационной безопасности, мер и средств контроля и управления и их групп в соответствии с ИСО/МЭК 27001.
    Настоящий стандарт предназначен для организаций всех видов.
    Примечание - В настоящем стандарте используются глагольные формы для формулировки положений (например, "должен", "не должен"; "следует", "не следует"; "может быть", "нет необходимости"; "может", "не может"), которые определены в документе ИСО/МЭК Директивы, часть 2, 2004, приложение H. См. также ИСО/МЭК 27000:2009, приложение А.
 

2 Нормативные ссылки

 
    Для применения настоящего стандарта необходимы следующие ссылочные документальные источники. Для датированных стандартов применимо только указанное издание. Для недатированных стандартов применяют последнее издание стандарта, включая опубликованные изменения.
    ИСО/МЭК 27000:2009 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary)
    ИСО/МЭК 27001:2005 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements)
 

3 Термины и определения

 
    В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:
    3.1 аналитическая модель измерений (analytical model): Алгоритм или вычисление, объединяющие одну или более основных и/или производных мер измерения с соответствующими критериями принятия решений.
    [ИСО/МЭК 15939:2007]
    3.2 атрибут (attribute): Свойство или характеристика объекта, которые могут быть определены количественно или качественно вручную или автоматическими средствами.
    [ИСО/МЭК 15939:2007]
    3.3 основная мера [измерения]* (base measure): Мера измерения, определенная через атрибут и метод его количественной оценки.
    


    * См.3.9. [ИСО/МЭК 15939:2007]
 
    Примечание - Основная мера функционально независима от других мер.
    3.4 данные (data): Совокупность значений, присвоенных для основных мер измерений, производных мер измерений и (или) показателей. [ИСО/МЭК 15939:2007]
    3.5 критерии принятия решения (decision criteria): Пороговые величины, целевые значения или образцы, используемые для определения необходимости действия или дальнейшего исследования или для описания уровня уверенности в данном результате. [ИСО/МЭК 15939:2007]
    3.6 производная мера [измерения]* (derived measure): Мера измерения, которая определяется как функция двух или более значений основных мер измерений.
    
    * См. 3.9. [ИСО/МЭК 15939:2007]
 
    3.7 показатель (indicator): Мера измерения, дающая качественную или количественную оценку определенных атрибутов, выведенную на основе аналитической модели, разработанной для определенных информационных потребностей.
    3.8 информационная потребность (information need): Знание (сведения), необходимое(ые) для управления целями, задачами, рисками и проблемами. [ИСО/МЭК 15939:2007]
    3.9 мера [измерения]* (measure): Переменная, которой присваивается некоторое значение, полученное в результате измерения.
    
    * В контексте настоящего стандарта термин "measure" следует понимать как "мера измерения". [ИСО/МЭК 15939:2007]
 
    Примечание - Термин "меры измерений" (measures) используется для обозначения совокупности основных мер измерений, производных мер измерений и показателей.
    Пример - Сравнение измеренной интенсивности отказов с расчетной интенсивностью отказов вместе с оценкой того, указывает ли различие интенсивностей на наличие проблемы или нет.
    3.10 измерение (measurement): Процесс получения информации об эффективности СМИБ, а также мер и средств контроля и управления с использованием метода измерения, функции измерения, аналитической модели и критериев принятия решения.
    3.11 функция измерения (measurement function): Алгоритм или вычисление, выполняемое для комбинирования двух или более основных мер измерения. [ИСО/МЭК 15939:2007]
    3.12 метод измерения (measurement method): Описанная в общем виде логическая последовательность операций, которая используется для количественного измерения атрибута относительно определенной шкалы. [ИСО/МЭК 15939:2007]
    Примечание - Вид метода измерения зависит от характера операций, используемых для количественного измерения атрибута. Можно выделить следующие два вида метода измерения:
    - субъективный: количественная оценка с использованием суждения человека;
    - объективный: количественная оценка, основанная на числовых правилах.
    3.13 результаты измерения (measurement results): Один или более показателей и их соответствующая интерпретация, предназначенные для информационной потребности.
    3.14 объект (object): Элемент, который может быть охарактеризован посредством измерения его атрибутов.
    3.15 шкала (scale): Упорядоченная совокупность значений, непрерывная или дискретная, или совокупность категорий, на которые отображается атрибут. [ИСО/МЭК 15939:2007]
    Примечание - Вид шкалы зависит от характера взаимосвязи между значениями на шкале. Обычно различают четыре вида шкал:
    - номинальная: значением измерения является категория;
    - порядковая (ранговая): значениями измерений являются ранги;
    - интервальная: значения измерений отстоят одно от другого на равные расстояния, соответствующие одинаковым значениям атрибута;
    - шкала отношений: значения измерений имеют равные расстояния, соответствующие одинаковым значениям атрибута, где нулевое значение соответствует отсутствию данного атрибута.
    Представлены только примеры видов шкалы.
    3.16 единица измерения (unit of measurement): Конкретная величина, определенная и принятая по соглашению, с которой сравниваются другие величины того же вида, чтобы выразить их значение относительно данной величины. [ИСО/МЭК 15939:2007]
    3.17 валидация (validation): Подтверждение посредством представления объективных свидетельств того, что требования в отношении конкретного использования или применения были выполнены.
    3.18 верификация (verification): Подтверждение посредством предоставления объективных свидетельств того, что установленные требования были выполнены. [ИСО 9000:2005]
    Примечание - В качестве синонима может использоваться термин "проверка соответствия".
 

4 Структура

 
    В настоящем стандарте представлены меры измерений и виды деятельности, связанные с измерениями, необходимыми для оценки эффективности реализации требований СМИБ к менеджменту необходимых и достаточных мер и средств контроля и управления безопасностью в соответствии с 4.2 ИСО/МЭК 27001:2005.
    Настоящий стандарт имеет следующую структуру:
    - общий обзор программы измерений и модели измерений, связанных с информационной безопасностью* (см. раздел 5);
    


    * Далее - модель измерений.
 
    - обязанности руководства в отношении измерений, связанных с информационной безопасностью (см. раздел 6);
    - конструктивные элементы и процессы измерений (такие, как планирование и разработка, реализация и функционирование, а также совершенствование измерений: распространение результатов измерений), подлежащие реализации в рамках программы измерений (см. разделы 7-10).
    Кроме того, в приложении A представлена типовая форма конструктивных элементов измерения, составными частями которой являются элементы модели измерений (см. раздел 7). В приложении B представлены примеры конструктивных элементов измерения для конкретных мер и средств контроля и управления, а также процессов СМИБ с использованием типовой формы, представленной в приложении A.
    Данные примеры предназначены для содействия организациям в проведении измерений, связанных с информационной безопасностью, а также документировании процессов измерений и их результатов.
 

5 Общий обзор измерений, связанных с информационной безопасностью

 

5.1 Цели измерений, связанных с информационной безопасностью

 
    Цели измерений, связанных с информационной безопасностью, в контексте СМИБ включают в себя:
    a) оценивание эффективности реализованных мер и средств контроля и управления или их групп [см. 4.2.2, перечисление d), рисунок 1];
 

 

Рисунок 1 - Взаимосвязь видов деятельности, связанных с измерениями ("входы-выходы"), в цикле "планирование-осуществление-проверка-действие"

    
    b) оценивание эффективности реализованной СМИБ [см. 4.2.3, перечисление b), рисунок 1];
    c) верификацию степени, до которой были удовлетворены установленные требования безопасности [см. 4.2.3, перечисление с), рисунок 1];
    d) содействие повышению результативности информационной безопасности с точки зрения общих рисков основной деятельности организации;
    e) предоставление сведений для проверки, проводимой руководством с целью содействия принятию решений, касающихся СМИБ, и обоснования необходимых улучшений в реализованной СМИБ.
    Циклическая взаимосвязь видов деятельности, связанных с измерениями (их "входов-выходов"), по отношению к циклу "планирование-осуществление-проверка-действие" (PDCA-Plan-Do-Check-Act), определенному в ИСО/МЭК 27001, показана на рисунке 1. Цифры перед текстом в каждой фигуре обозначают номера подпунктов ИСО/МЭК 27001:2005.
    Конкретной организации следует устанавливать цели измерений на основе ряда факторов, включающих в себя:
    a) роль информационной безопасности в поддержке различных видов основной деятельности организации и рисков, с которыми она сталкивается;
    b) соответствующие правовые, нормативные и договорные требования;
    c) структуру организации;
    d) расходы и выгоды от реализации мер, связанных с обеспечением информационной безопасности;
    e) критерии принятия риска для организации;
    f) необходимость сравнения нескольких СМИБ, имеющихся в одной и той же организации.
 

5.2 Программа измерений

 
    Организации следует создать программу измерений и управлять ею для достижения установленных целей измерений и внедрения модели "планирование-осуществление-проверка-действие" в масштабах всей измерительной деятельности организации. Организации следует также разрабатывать и реализовывать конструктивные элементы измерений для получения воспроизводимых, объективных и пригодных результатов измерений, основанных на модели измерений (см. 5.4).
    Программа измерений и разработанные конструктивные элементы измерений должны обеспечивать эффективное налаживание организацией объективных и повторяемых процессов измерения, а также предоставление результатов измерений соответствующим заинтересованным сторонам для определения потребностей в усовершенствовании реализованной СМИБ, включая область ее применения, политики, цели, меры и средства контроля и управления, а также процессы и процедуры.
    Программа измерений должна включать в себя следующие процессы:
    a) разработка измерений и мер измерений (см. раздел 7);
    b) проведение измерений (см. раздел 8);
    c) анализ данных и распространение результатов измерений (см. раздел 9);
    d) оценивание и совершенствование программы измерений, связанных с информационной безопасностью (см. раздел 10).
    Организационную и эксплуатационную структуру программы измерений следует определять, учитывая масштабы и сложность СМИБ, частью которой эта программа является. Во всех случаях роли и обязанности, касающиеся программы измерений, должны быть явным образом назначены компетентному персоналу (см. 7.5.8).
    Меры, выбранные и реализованные в рамках программы измерений, следует непосредственно связывать с функционированием СМИБ, другими мерами измерений, а также процессами основной деятельности организации. Измерения могут быть интегрированы в обычные процессы функционирования или могут выполняться через постоянные интервалы времени, определенные руководством СМИБ.
 

5.3 Факторы успеха

 
    Ниже перечислены некоторые факторы, способствующие успеху программы измерений в содействии непрерывному совершенствованию СМИБ:
    a) поддержка со стороны руководства, подкрепляемая соответствующими ресурсами;
    b) наличие процессов и процедур СМИБ;
    c) воспроизводимый процесс, способный фиксировать и сообщать значимые данные для выведения важных тенденций за некий период времени;
    d) меры безопасности, основанные на целях СМИБ, эффективность которых может быть оценена количественно;
    e) легко получаемые данные, которые могут быть использованы для измерений;
    f) оценивание эффективности программы измерений и реализация намеченных улучшений;
    g) последовательный периодический сбор, анализ и четкое представление результатов измерений;