Design and Use of Information Security Metrics: Application of the ISO/IEC 27004 standard

Författare:

  • Kristoffer Lundholm
  • Jonas Hallberg
  • Helena Granlund

Publiceringsdatum: 2011-07-01

Rapportnummer: FOI-R--3189--SE

Sidor: 57

Skriven på: Engelska

Nyckelord:

  • Informationssäkerhet
  • ISO/IEC 27001
  • ISO/IEC 27004
  • metrik

Sammanfattning

Den internationella standarden för framtagande av ett ledningssystem för informationssäkerhet (LIS), ISO/IEC 27001, har funnits tillgänglig sedan 2005. I denna standard finns det ett krav på att mätningar som påvisar hur väl en organisations LIS fungerar, ska genomföras. En metod för utveckling av dessa mätningar publicerades 2009 i standarden ISO/IEC 27004. Denna rapport presenterar en studie som genomförts på en Svensk myndighet. Syftet med studien var att utvärdera en metod för att ta fram informationssäkerhetsmetriker. Den metod som användes i studien är en utökad version av den metod som presenteras i standarden ISO/IEC 27004. I standarden finns en mall för vilken data som behövs för att definiera en metrik; till denna har användande av medverkande design lagts till för att identifiera den information som behövs vid skapandet av metriker. Första steget i den använda metoden var val av åtgärder som metriker skulle tas fram för, här identifierades fem åtgärder från ISO/IEC 27001. Nästa steg var att ta fram metriker för dessa fem. Framtagandet gjordes genom medverkande design bestående av två uppsättningar intervjuer med personal med säkerhetsansvar inom de relevanta områdena, vid myndigheten. Slutligen genomfördes mätningar med de framtagna metrikerna. Mätningarna genomfördes av de respondenter som intervjuats vid framtagandet medan sammanställning av resultatet genomfördes av en av de medverkande forskarna. Från studien drogs slutsatsen att framtagande av ett metrikprogram för organisationer vars informationssäkerhetsprogram ännu inte är mogna bör inledas med identifierande av intressanta områden att mäta på. När detta har gjorts bör metrikprogrammet skapas så att de data som krävs finns lätt tillgängliga. Metrikprogrammet bör sedan successivt utökas till att innefatta insamlande av data som är mer svåråtkomligt. En viktig slutsats är även att närvaron av ett metrikprogram stödjer utvecklingen av organisationens LIS vilket i förlängningen kommer att leda till att mer data kommer att finnas tillgänglig.