Методичні вказівки до лабораторних занять з дисципліни "Стандартизація та сертифікація в галузі захисту інформації", страница 17

-  правила безпеки, що охоплюють верхній рівень керування організації й основних  підрозділів (департаменти, керівництво, відділи), формально задокументовані і доведені до всього персоналу. Правила можуть розглядатися як  спеціальний ресурс;

-  правила безпеки містять більшість базових вимог безпеки, які визначаються  в нормативно-правових документах.

Рівень 2   Задокументовано у виді  процедур (робіт)

На даному рівні передбачається, що вимоги безпеки є формальними, повними, добре задокументованими процедурами (роботи) для реалізації правил безпеки, уведених на першому рівні. Базові вимоги формуються на основі нормативно-правових документів

Рівень 3 Процедури захисту інформації виконані

На цьому рівні передбачається, що:

-  процедури, які визначені на другому рівні, виконані.

-  призначені відповідальні особи для виконання визначених процедур.

Ресурсом на третьому рівні  є  заходи безпеки інформації, які виконуються у встановленому порядку та і посилені через  навчання персоналу.

Рівень 4  Процедури безпеки і засоби захисту протестовані   та  оцінені 

На четвертому рівні вважається, що:

-  здійснюється періодична оцінка адекватності та ефективності правил безпеки, процедур безпеки та засобів захисту інформації;

-  надаються гарантії того, що в організації розпочато ефективні коригувальні дії, спрямовані на усунення виявлених недоліків у тому числі і тих, котрі проявилися як результат потенційних чи реальних інцидентів безпеки, а також виявлених за допомогою повідомлень спеціальних служб (наприклад, служби FedCIRC), постачальників та інших довірених джерел.

Рівень 5.  Процедури безпеки і засоби захисту цілком інтегровані  

На п’ятому рівні вважається, що

-  здійснюється всеохоплююча програма забезпечення безпеки інформації, яка є  невід'ємною  частиною корпоративної культури;

-  прийняття рішень засноване на економічній доцільності, ризику і впливі на місію організації.

Процедура оцінки Критичного елемента складається з відповідей на питання, що містяться в ньому. Відповіді на питання по кожному з рівнів надаються з урахуванням критеріїв висунутих до цього рівня. Висновок щодо виконання Критичного елемента здійснюється за мажоритарним принципом, який передбачає, що загальна відповідь про виконання Критичного елемента буде «Так» у випадку, якщо більше ніж половина відповідей на його супідрядні питання будуть «Так». Інакше, Критичний елемент оцінюється як не виконаний на відповідному рівні.

Після проведення атестації Критичних елементів на відповідність рівням виконання, проводиться атестація Контрольних областей. Область може бути оцінена як вирішена на заданому рівні тільки в тому випадку, якщо всі Критичні елементи, що входять до її складу виконані на цьому рівні. Після атестації контрольної області будується профіль (Рис. 2.2), що дозволяє визначити області безпеки, які потребують першочергової уваги.

Рисунок 2.2 –  Профіль виконання контрольних областей

2.3.2 Методика оцінки NIST 

Згідно рекомендацій NIST SP 800-26, що містять методику самооцінки безпеки інформації в ІТС, задачі забезпечення безпеки інформації здійснюються на адміністративному, процедурному і програмно-технічному рівнях. Усі заходи щодо забезпечення безпеки ІТС розподілені на 17 областей, які у свою чергу містять Критичні елементи (сукупність визначених практичних задач). Оцінка Критичного елемента здійснюється шляхом надання відповіді, чи виконана кожна із задач (Так/Ні). Висновок щодо Критичного елемента здійснюється по мажоритарному принципу.

Обчислимо думку експерта по Критичному елементу 2.1 та Критичному елементу 7.2 по запропонованому мажоритарному принципу (питання відповідних Критичних елементів наводяться в таблиці 2.2).

Таблиця 2.2 – Критичні елементи