Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Общий алгоритм управления потребностями и ожиданиями заинтересованных сторон:
- Сбор потребностей и ожиданий от информационной безопасности у руководства компании (внутренняя сторона)
- Определение потребностей внешних сторон - контрагентов
- Учету заинтересованных сторон и их потребностей реестре
- Исполнение и контроль исполнения потребностей
- Уведомление внутренних заинтересованных сторон об исполнении их потребностей и ожиданий
Например, в рамках регулярных отчетов перед руководством о проделанной работе. - Актуализация (повторный сбор) потребностей
В SECURITM для учета и контроля исполнения потребностей сторон используется создание документов с внутренними требованиями (раздел Требования) и их исполнение через защитные меры.
Рекомендации к заполнению карточки:
Рекомендации к заполнению карточки:
- Создать реестр потребностей заинтересованных сторон в SECURITM. Для этого:
- Создать в разделе Требования внутренний документ
- Все собранные потребности указать в документе в качестве требований
- Определить как требования исполняются или будут исполняться и описать решение через защитные меры
- Связать требования внутреннего документа с защитными мерами, которые их исполняют (или будут исполнять)
- Добавить в карточку меры ссылку на созданный документ с реестром потребностей
- Добавить шаблон регулярной задачи на пересмотр и актуализацию потребностей заинтересованных сторон (периодичность: ежегодно)
Область действия: Вся организация
Классификация
Тип
Организационная
?
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено
Цепочка мер
Определение потребностей и ожиданий заинтересованных сторон
Последующие меры
| № | Этап 1 | ||||
|---|---|---|---|---|---|
| 1 | Определение области (scope) действия систем и применения стандартов по информационной безопасности |
Исполнение требований
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
4.2
4.2 Понимание потребностей и ожиданий заинтересованных сторон
Организация должна определить:
a) заинтересованные стороны, имеющие отношение к системе менеджмента информационной безопасности;
b) требования этих заинтересованных сторон к информационной безопасности.
Примечание — Требования заинтересованных сторон могут включать правовые и нормативные требования и договорные обязательства.
Организация должна определить:
a) заинтересованные стороны, имеющие отношение к системе менеджмента информационной безопасности;
b) требования этих заинтересованных сторон к информационной безопасности.
Примечание — Требования заинтересованных сторон могут включать правовые и нормативные требования и договорные обязательства.
Связанные риски
| Риск | Угроза | Уязвимость | Тип актива | Связи | |
|---|---|---|---|---|---|
|
Высокие затраты на обеспечение информационной безопасности
из-за
непонимания контекста, целей и задач компании
в подразделении по информационной безопасности
Финансы
|
Высокие затраты на обеспечение информационной безопасности
Финансы
|
Непонимание контекста, целей и задач компании | 3 |