RuNormy.RU
Untitled Page
RuNormy.RU
Untitled Page
"ГОСТ Р ИСО/МЭК 27004-2011. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения"
Скачать текст бесплатно в формате MS Word
Поделитесь данным материалом с друзьями:

Скачать
Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 1 декабря 2011 г. N 681-ст

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
ИЗМЕРЕНИЯ

Information technology. Security techniques. Information
security management. Measurement

ISO/IEC 27004:2009
Information technology - Security techniques - Information
security management - Measurement
(IDT)

ГОСТ Р ИСО/МЭК 27004-2011

ОКС 35.040

Дата введения
1 января 2012 года

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".

Сведения о стандарте

1. Подготовлен Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл"), Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и "Газпромбанк" (Открытое акционерное общество) (ГПБ (ОАО)) на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4.
2. Внесен Техническим комитетом по стандартизации ТК 362 "Защита информации".
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 681-ст.
4. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27004:2009 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения" (ISO/IEC 27004:2009 "Information technology - Security techniques - Information security management - Measurement").
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5, пункт 3.5.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном Приложении ДА.
5. Введен впервые

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.

0. Введение

0.1. Общие положения
Настоящий стандарт содержит рекомендации по разработке и использованию измерений и мер измерения для проведения оценки эффективности реализованной системы менеджмента информационной безопасности (СМИБ), а также мер и средств контроля и управления или их групп по ИСО/МЭК 27001.
Процесс измерений затрагивает политику, менеджмент риска информационной безопасности, меры и средства контроля и управления и цели их применения, процессы и процедуры, а также поддерживает процесс проверки СМИБ, помогая определить, требуется ли изменять или совершенствовать какие-либо из процессов или мер и средств контроля и управления СМИБ. Следует помнить, что никакие измерения мер и средств контроля и управления не могут обеспечить полной безопасности.
Процесс измерений реализуется в виде программы измерений, связанных с информационной безопасностью (далее - программа измерений). Программа измерений предназначена для оказания помощи руководству организации в выявлении и оценивании не соответствующих требованиям и неэффективных процессов, мер, средств контроля и управления СМИБ, а также в определении приоритетов действий, направленных на усовершенствование или изменение этих процессов и (или) мер и средств контроля и управления. Программа измерений также может помочь организации в демонстрации соответствия СМИБ требованиям ИСО/МЭК 27001 и создании дополнительного основания для проведения руководством организации проверки процессов менеджмента риска информационной безопасности.
В данном стандарте предполагается, что отправной точкой для разработки мер измерения и измерений является доскональное понимание рисков информационной безопасности, с которыми сталкивается организация, и корректное выполнение (на основе ИСО/МЭК 27005) действий организации по оценке риска в соответствии с требованиями ИСО/МЭК 27001. Программа измерений поможет организации в предоставлении соответствующим заинтересованным сторонам достоверной информации, касающейся рисков информационной безопасности и состояния реализованной СМИБ для управления этими рисками.
Эффективно реализованная программа измерений позволит укрепить доверие заинтересованных сторон к результатам измерений, а также даст возможность заинтересованным сторонам применять меры измерений для непрерывного улучшения информационной безопасности и СМИБ.
Накопленные результаты измерений позволят следить за прогрессом в достижении целей информационной безопасности за некоторый период времени в интересах реализации процесса непрерывного совершенствования СМИБ организации.
0.2. Краткая справка для должностных лиц
ИСО/МЭК 27001 содержит требования к организации "проводить регулярные проверки эффективности СМИБ, принимая в расчет результаты измерений эффективности" и "измерять эффективность мер и средств контроля и управления с тем, чтобы подтвердить удовлетворение требований безопасности". ИСО/МЭК 27001 также содержит требования к организации "определять, каким образом проводить измерение эффективности выбранных мер и средств контроля и управления и их групп, и устанавливать, каким образом должны использоваться меры измерений для оценки эффективности мер и средств контроля и управления с тем, чтобы получать воспроизводимые и сопоставимые результаты".
Подход, принятый организацией для выполнения требований к измерениям, определенных в ИСО/МЭК 27001, будет варьироваться в зависимости от ряда существенных факторов, включающих в себя риски информационной безопасности, с которыми сталкивается организация, размер организации, имеющихся ресурсов и применимых правовых, нормативных и договорных требований. Тщательный выбор и обоснование метода, используемого для выполнения требований к измерениям, важны для того, чтобы для этой деятельности СМИБ не выделялись чрезмерные ресурсы в ущерб другой необходимой деятельности. В идеальном случае текущая деятельность, связанная с постоянными измерениями, должна быть интегрирована в обычную деятельность организации с привлечением минимальных дополнительных ресурсов.
Настоящий стандарт предлагает рекомендации, касающиеся следующей деятельности, являющейся основой для выполнения организацией требований к измерениям, установленных в ИСО/МЭК 27001:
a) разработка мер измерений (например, основные меры измерений, производные меры измерений и показатели);
b) разработка и выполнение программы измерений;
c) сбор и анализ данных;
d) обработка результатов измерений;
e) сообщение обработанных результатов измерений заинтересованным сторонам;
f) использование результатов измерений для принятия решений, относящихся к СМИБ;
g) использование результатов измерений для выявления потребностей в совершенствовании реализованной СМИБ, включая ее область действия, политики, цели, меры и средства контроля и управления, процессы и процедуры;
h) содействие постоянному совершенствованию программы измерений.
Одним из факторов, влияющих на способность организации проводить измерения, является ее размер. В целом масштабы и сложность основной деятельности организации в сочетании с важностью информационной безопасности влияют на объем требуемых измерений как с точки зрения числа выбираемых мер измерений, так и с точки зрения частоты сбора и анализа данных. В то время как для малых и средних организаций менее детализированная программа измерений будет достаточной, крупные организации будут внедрять и использовать многочисленные программы измерений.
Единственная программа измерений может быть достаточной для малых организаций, тогда как для крупных организаций может возникнуть потребность в многочисленных программах измерений.
Рекомендации, содержащиеся в настоящем стандарте, позволят подготовить документацию, помогающую подтвердить, что эффективность мер и средств контроля и управления измеряется и оценивается.

1. Область применения

Настоящий стандарт устанавливает рекомендации по разработке и использованию измерений и мер измерений для оценки эффективности реализованной системы менеджмента информационной безопасности, мер и средств контроля и управления и их групп в соответствии с ИСО/МЭК 27001.
Настоящий стандарт предназначен для организаций всех видов.
Примечание. В настоящем стандарте используются глагольные формы для формулировки положений (например, "должен", "не должен"; "следует", "не следует"; "может быть", "нет необходимости"; "может", "не может"), которые определены в документе ИСО/МЭК Директивы, часть 2, 2004, Приложение H. См. также ИСО/МЭК 27000:2009, Приложение A.

2. Нормативные ссылки

Для применения настоящего стандарта необходимы следующие ссылочные документальные источники. Для датированных стандартов применимо только указанное издание. Для недатированных стандартов применяют последнее издание стандарта, включая опубликованные изменения.
ИСО/МЭК 27000:2009 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary)
ИСО/МЭК 27001:2005 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005, information technology - Security techniques - Information security management systems - Requirements)

3. Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:
3.1. аналитическая модель измерений (analytical model): Алгоритм или вычисление, объединяющие одну или более основных и/или производных мер измерения с соответствующими критериями принятия решений.
[ИСО/МЭК 15939:2007]
3.2. атрибут (attribute): Свойство или характеристика объекта, которые могут быть определены количественно или качественно вручную или автоматическими средствами.
[ИСО/МЭК 15939:2007]
3.3. основная мера [измерения] <1> (base measure): Мера измерения, определенная через атрибут и метод его количественной оценки.
Для просмотра документа целиком скачайте его >>>
Нормы из информационного банка "Строительство":
Пожарные нормы:
ГОСТы:
Счетчики:
Политика конфиденциальности
Copyright 2020 - 2022 гг. RuNormy.RU. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!