СТ РК ISO/IEC 27004-2018
Информационные технологии
Методы обеспечения безопасности
Менеджмент информационной безопасности
Мониторинг, измерение, анализ и оценка
(ISO/IEC 27004:2016 Information technology -
Security techniques - Information security management -
Monitoring, measurement, analysis and evaluation, IDT)
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Структура и обзор
5. Обоснование
6. Характеристики
7. Виды критериев
8. Процессы
Приложение А (информационное).Модель измерения информационной безопасности/
Приложение В (информационное). Примеры построения измерений
Приложение С (информационное). Пример конструкции измерения формы свободного текста
Библиография
Введение
Настоящий стандарт разработан взамен СТ РК ISO/IEC 27004-2012 «Информационные технологии. Методы обеспечения безопасности. Менеджмент информационной безопасности».
Настоящий стандарт содержит рекомендации, призванные помочь организациям в оценке эффективности информационной безопасности и эффективности системы менеджмента информационной безопасностью (СМИБ) в целях выполнения требований ISO/IEC 27001:2013 и устанавливает:
a) мониторинг и оценка эффективности информационной безопасности;
b) мониторинг и измерение эффективности системы управления информационной безопасностью (СМИБ), включая ее процессы и средства контроля;
c) анализ и оценка результатов мониторинга и измерений.
1. Область применения
Настоящий стандарт распространяется на организации для оценки эффективности информационной безопасности и системы менеджмента информационной безопасности в целях выполнения требований ISO/IEC 27001:2013, 9.1.
Настоящий стандарт устанавливает:
a) мониторинг и оценка эффективности информационной безопасности;
b) мониторинг и измерение эффективности системы управления информационной безопасностью (СМИБ), включая ее процессы и средства контроля;
c) анализ и оценка результатов мониторинга и измерений.
Настоящий стандарт распространяется на организации всех типов и масштабов.
2. Нормативные ссылки
В настоящем стандарте отсутствуют нормативные ссылки.
3. Термины и определения
В настоящем стандарте применяются термины и определения по ISO/IEC 27000. ISO и IEC поддерживают терминологические базы данных для использования в стандартизации по следующим адресам:
- IEC Electropedia: доступна по адресу http://www.electropedia.org/
- Платформа интернет-поиска ISO: доступна по адресу http://www.iso.org/obp
4. Структура и обзор
Настоящий стандарт структурирован следующим образом:
a) Обоснование (раздел 5);
b) Характеристики (раздел 6);
c) Виды критериев (раздел 7);
d) Процессы (раздел 8).
Порядок разделов призван помочь понять и сопоставить требования ISO/IEC 27001:2013, см. на рисунке 1.
