Jag accepterar att kakor lagras på min dator

Läs mer

Design and Use of Information Security Metrics: Application of the ISO/IEC 27004 standard

Design and Use of Information Security Metrics: Application of the ISO/IEC 27004 standard Beställ tryckt exemplar Lägg i kundvagnen Ladda ned som PDF
Författare: Kristoffer Lundholm, Jonas Hallberg, Helena Granlund
Ort: Linköping
Sidor: 57
Utgivningsår: 2011
Publiceringsdatum: 2011-07-01
Rapportnummer: (FOI-R--3189--SE)
Nyckelord Informationssäkerhet, ISO/IEC 27001, ISO/IEC 27004, metrik
Keywords Information security, ISO/IEC 27001, ISO/IEC 27004, metric
Sammanfattning Den internationella standarden för framtagande av ett ledningssystem för informationssäkerhet (LIS), ISO/IEC 27001, har funnits tillgänglig sedan 2005. I denna standard finns det ett krav på att mätningar som påvisar hur väl en organisations LIS fungerar, ska genomföras. En metod för utveckling av dessa mätningar publicerades 2009 i standarden ISO/IEC 27004. Denna rapport presenterar en studie som genomförts på en Svensk myndighet. Syftet med studien var att utvärdera en metod för att ta fram informationssäkerhetsmetriker. Den metod som användes i studien är en utökad version av den metod som presenteras i standarden ISO/IEC 27004. I standarden finns en mall för vilken data som behövs för att definiera en metrik; till denna har användande av medverkande design lagts till för att identifiera den information som behövs vid skapandet av metriker. Första steget i den använda metoden var val av åtgärder som metriker skulle tas fram för, här identifierades fem åtgärder från ISO/IEC 27001. Nästa steg var att ta fram metriker för dessa fem. Framtagandet gjordes genom medverkande design bestående av två uppsättningar intervjuer med personal med säkerhetsansvar inom de relevanta områdena, vid myndigheten. Slutligen genomfördes mätningar med de framtagna metrikerna. Mätningarna genomfördes av de respondenter som intervjuats vid framtagandet medan sammanställning av resultatet genomfördes av en av de medverkande forskarna. Från studien drogs slutsatsen att framtagande av ett metrikprogram för organisationer vars informationssäkerhetsprogram ännu inte är mogna bör inledas med identifierande av intressanta områden att mäta på. När detta har gjorts bör metrikprogrammet skapas så att de data som krävs finns lätt tillgängliga. Metrikprogrammet bör sedan successivt utökas till att innefatta insamlande av data som är mer svåråtkomligt. En viktig slutsats är även att närvaron av ett metrikprogram stödjer utvecklingen av organisationens LIS vilket i förlängningen kommer att leda till att mer data kommer att finnas tillgänglig.
Abstract The international standard for the implementation of an information security management system (ISMS), ISO/IEC 27001, has been available since 2005. This standard mandates that measurements should be performed in order to demonstrate how well an ISMS is working. A method for how to develop these measurements was published 2009 in the standard ISO/IEC 27004. This report presents a case study performed at a Swedish government agency. The aim of the study was to evaluate a method for the design and implementation of information security metrics. The used method is based on the method outlined in the standard ISO/IEC 27004 augmented with a participatory design approach. The standard provides a template for the specification of metrics, whereas the augmentation is essential in order to extract the information needed from the agency in order to be able to design the metrics. The first step, selection of controls (from ISO/IEC 27001) for which to design metrics, resulted in five controls. The next step was to design metrics for these controls. The design was performed through a participatory design process consisting of two sets of interviews with security personnel, whose responsibilities correspond to the security areas of the controls. The final step was measurement using the metrics. The measurements were performed by the security personnel involved in the design of the metrics, whereas the actual results presentations were prepared by one of the participating researchers. From the study it was concluded that the design of metrics programs for organizations with immature information security programs should probably be initiated by identifying areas of interest for measurement. Next, the metrics program should be designed to gather data that is readily available and gradually expanded to measurements requiring data that is more difficult to collect. A vital point is that the presence of metrics programs supports the efforts to make the ISMS more mature and, thereby, improves the availability of data to be measured.

Kundvagn

Inga rapporter i kundvagnen

FOI, Totalförsvarets forskningsinstitut

FOI
Totalförsvarets forskningsinstitut
164 90 Stockholm

Tel: 08-555 030 00
Fax: 08-555 031 00

Orgnr: 202100-5182