Актуальность применения метрик информационной безопасности для оценки результативности проектов систем менеджмента информационной безопасности
Лившиц И.И.

Аннотация

Актуальность данной публикации вызвана постоянным вниманием к вопросам анализа и интерпретации результатов внедрения систем менеджмента информационной безопасности (СМИБ). При анализе таких проектов, как правило, в расчет берется только минимум требований исходя из известной методической базы — международных стандартов ISO серии 27000. В данном исследовании рассмотрена современная нормативная база ISO серии 27000 и показано практическое применение метрик ИБ.

Содержание

Введение

Постановка задачи

Базовые требования к формированию метрик ИБ

Подходы к формированию системы метрик ИБ

Методика оценки результативности СМИБ

Таблица 2. Методика формирования метрик ИБ

Таблица 1. Меры и средства обеспечения ИБ

Выводы

Литература

Ключевые слова: информационная безопасность (ИБ), система менеджмента информационной безопасности (СМИБ), анализ рисков, аудит, показатели (метрики) ИБ, оценка результативности
Журнал: «Менеджмент качества» — №1, 2015 (© Издательский дом Гребенников)
Объем в страницах: 8.
Кол-во знаков: около 12,381.

1. ГОСТ Р ИСО/МЭК 27000-2012. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология. — М.: Стандартинформ, 2014.

2. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. — М.: Стандартинформ, 2008.

3. ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил ме-неджмента информационной безопасности. — М.: Стандартинформ, 2014.

4. ГОСТ Р ИСО/МЭК 27003-2012. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности. — М.: Стандартинформ, 2013.

5. ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информаци-онной безопасности. — М.: Стандартинформ, 2012.

6. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска ин-формационной безопасности. — М.: Стандартинформ, 2010.

7. ГОСТ Р ИСО/МЭК 27006-2008. Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. — М.: Стандартинформ, 2010.

8. ГОСТ Р ИСО/МЭК 27011-2012. Информационная технология. Методы и средства обеспечения безопасности. Руководства по менедж-менту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002. — М.: Стандартинформ, 2014.

9. ГОСТ Р ИСО/МЭК 27031-2012. Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовно-сти информационно-коммуникационных технологий к обеспечению непрерывности бизнеса. — М.: Стандартинформ, 2014.

10. ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть1. Обзор и концепции. — М.: Стандартинформ, 2012.

11. Касперская Н. Когда спадет маркетинговая пена // Безопасность Деловой Информации. — 2014. — №7.

12. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышлен-ных объектов // Труды СПИИРАН. — 2014. — №6.

13. Лившиц И.И. Подходы к решению проблемы учета потерь в интегрированных системах менеджмента // Информатизация и Связь. — 2013. — №1.

14. Лившиц И.И. Ценность внутренних аудитов интегрированной системы менеджмента для проведения результативного анализа со сто-роны руководства // Стандарты и Качество. — 2014. — №8.

15. Aceituno V. (2010). Security Management Metrics. — Подробнее .

16. How to Develop a Statement of Applicability According to ISO 27001:2013. — Подробнее . 17. ISO/IEC 27000:2014. Information Technology — Security Techniques — Information Security Management Systems — Overview and Vocabulary. — Подробнее .

18. ISO/IEC 27001:2013. Information Security Management. — Подробнее .

19. ISO/IEC 27004:2009. Information Technology — Security Techniques — Information Security Management — Measurement. — Подробнее .

20. Johnson J. (2013). Using Metrics to Determine Real Value in an Enterprise Security Program. — Подробнее .

21. Marr B. (2014). 25 Key Performance Indicators. — Подробнее .

22. Mullins C. (2012). Practical Measures for Measuring Security. — Подробнее .

23. The ISO Survey of Management System Standard Certifications — 2013. — Подробнее .

Лившиц Илья Иосифович

Лившиц Илья Иосифович
к. т. н.

Ведущий инженер ООО «Газинформсервис».

г. Санкт-Петербург

Другие статьи автора 10