Гост р исо/мэк 27004-2011
Численность персонала, который должен пройти обучение и подписать пользовательские обязательства к установленному сроку.2.1 Численность персонала, включенного в план/график подписания пользовательских обязательств к установленному сроку.2.2 Численность персонала, подписавшего пользовательские обязательства к установленному сроку. Число сотрудников, получивших ежегодное обучение, направленное… Читать ещё >
Гост р исо/мэк 27004-2011 (реферат, курсовая, диплом, контрольная)
Информационная технология. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Менеджмент информационной безопасности. Измерения.
Настоящий стандарт содержит рекомендации по разработке и использованию измерений и мер измерения для проведения оценки эффективности реализованной системы менеджмента информационной безопасности (СМИБ), а также мер и средств контроля и управления или их групп по ИСО/МЭК 27 001.
Таблица 6. Персонал, получивший обучение, связанное со СМИБ.
Объект измерения и атрибуты. | |
Объект измерения. | База данных сотрудников. |
Атрибут. | Записи, касающиеся обучения. |
Спецификация основной меры измерения. | |
Основная мера измерения. | Число сотрудников, получивших обучение, связанное со СМИБ, в соответствии с ежегодным планом обучения, связанного со СМИБ. Число сотрудников, которые должны получить обучение, связанное со СМИБ. |
Метод измерения. | Подсчет в журналах регистрации/реестрах сведений о сфере обучения/последовательности обучения, связанной со СМИБ, с пометкой «Получено» . |
Таблица 7. Обучение обеспечению информационной безопасности.
Объект измерения и атрибуты. | |
Объект измерения. | База данных сотрудников. |
Атрибуты. | Записи, касающиеся обучения. |
Спецификация основной меры измерения (1). | |
Основная мера измерения. | Число сотрудников, получивших ежегодное обучение, направленное на повышение осведомленности в отношении информационной безопасности. Число сотрудников, которые должны получить ежегодное обучение, направленное на повышение осведомленности в отношении информационной безопасности. |
Метод измерения. | Подсчет в журналах регистрации/реестрах сведений, относящихся к ежегодному обучению сотрудников, направленному на повышение осведомленности в отношении информационной безопасности, с пометкой «получено» . |
Таблица 8. Соответствие политике осведомленности в отношении информационной безопасности.
Объект измерения и атрибуты. | |
Объект измерения. | 1.1 План/график обучения, способствующий осведомленности в сфере информационной безопасности.2.1 План/график подписания пользовательских обязательств.2.2 Персонал, подписавший пользовательские обязательства. |
Атрибуты. | 1.1 Персонал, включенный в план обучения.2.1 Персонал, включенный в план/график подписания.2.2 Состояние персонала в отношении подписания пользовательских обязательств. |
Спецификация основной меры измерения. | |
Основная мера измерения. | 1.1 Численность персонала, который должен пройти обучение и подписать пользовательские обязательства к установленному сроку.2.1 Численность персонала, включенного в план/график подписания пользовательских обязательств к установленному сроку.2.2 Численность персонала, подписавшего пользовательские обязательства к установленному сроку. |
Метод измерения. | 1.1 Подсчет численности персонала, включенного в план/график подписания пользовательских обязательств и завершившего обучение к установленному сроку.2.1 Подсчет численности персонала, включенного в план/график подписания пользовательских обязательств к установленному сроку.2.2 Подсчет численности персонала, подписавшего пользовательские обязательства. |
Таблица 9. Качество паролей, генерируемых вручную.
Определение конструктивных элементов измерения. | |
Название конструктивного элемента измерения. | Качество паролей. |
Числовой идентификатор | Характерный для организации. |
Назначение конструктивного элемента измерения. | Для оценки качества паролей, применяемых пользователями для доступа к системам ИТ организации. |
Цель применения меры и средства контроля и управления/процесса. | Предотвратить выбор пользователями небезопасных паролей. |
Мера и средство контроля и управления (1)/процесс (1). | Пользователи должны соблюдать правила безопасности при выборе и использовании паролей. Все имена учетных записей и пароли пользователей для систем ИТ организации должны контролироваться системой обеспечения/контроля деятельности сотрудников. |
Объект измерения и атрибуты. | |
Объект измерения. | База данных паролей пользователей. |
Атрибуты. | Личные пароли. |
Спецификация основной меры измерения. | |
Основная мера измерения. | 1 Число зарегистрированных паролей.2 Число паролей, которые соответствуют политике качества паролей организации для каждого пользователя. |
Метод измерения. | 1 Подсчет числа паролей в базе данных паролей пользователей.2 Опрос каждого пользователя о том, какое число паролей соответствует политике паролей организации. |
Таблица 10. Качество паролей, генерируемых автоматизированным способом.
Определение конструктивных элементов измерения. | |
Название конструктивного элемента измерения. | Качество паролей. |
Числовой идентификатор | Характерный для организации. |
Назначение конструктивного элемента измерения. | Для оценки качества паролей, применяемых пользователями для доступа к системам ИТ организации. |
Цель применения меры и средства контроля и управления/процесса. | Предотвратить выбор пользователями небезопасных паролей. |
Мера и средство контроля и управления (1)/процесс (1). | Пользователи должны соблюдать правила безопасности при выборе и использовании паролей. Все имена учетных записей и пароли пользователей для систем ИТ организации должны контролироваться системой обеспечения/контроля деятельности сотрудников. Надежность паролей должна проверяться с использованием программного обеспечения по тестированию качества паролей. |
Объект измерения и атрибуты. | |
Объект измерения. | База данных, содержащая имена учетных записей сотрудников. |
Атрибуты. | Личные пароли, хранящиеся в системных учетных записях сотрудников. |
Спецификация основной меры измерения. | |
Основная мера измерения. | 1 Общее число паролей.2 Общее число качественных паролей. |
Метод измерения. | 1 Запуск запроса об учетных записях сотрудников.2 Запуск инструмента тестирования качества паролей к системным учетным записям сотрудников, использующего гибридную атаку. |