Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Определение потребностей и ожиданий заинтересованных сторон

Общий алгоритм управления потребностями и ожиданиями заинтересованных сторон:
  1. Сбор потребностей и ожиданий от информационной безопасности у руководства компании (внутренняя сторона)
  2. Определение потребностей внешних сторон - контрагентов
  3. Учету заинтересованных сторон и их потребностей реестре
  4. Исполнение и контроль исполнения потребностей
  5. Уведомление внутренних заинтересованных сторон об исполнении их потребностей и ожиданий
    Например, в рамках регулярных отчетов перед руководством о проделанной работе.
  6. Актуализация (повторный сбор) потребностей
В SECURITM для учета и контроля исполнения потребностей сторон используется создание документов с внутренними требованиями (раздел Требования) и их исполнение через защитные меры.

Рекомендации к заполнению карточки:
  • Создать реестр потребностей заинтересованных сторон в SECURITM. Для этого:
    • Создать в разделе Требования внутренний документ
    • Все собранные потребности указать в документе в качестве требований
    • Определить как требования исполняются или будут исполняться и описать решение через защитные меры 
    • Связать требования внутреннего документа с защитными мерами, которые их исполняют (или будут исполнять)
  • Добавить в карточку меры ссылку на созданный документ с реестром потребностей
  • Добавить шаблон регулярной задачи на пересмотр и актуализацию потребностей заинтересованных сторон (периодичность: ежегодно)
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено

Цепочка мер

Последующие меры
Этап 1
1 Определение области (scope) действия систем и применения стандартов по информационной безопасности

Исполнение требований

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
4.2 Понимание потребностей и ожиданий заинтересованных сторон
4.2 Понимание потребностей и ожиданий заинтересованных сторон
Организация должна определить:
  • а) заинтересованные стороны, относящиеся к системе менеджмента информационной безопасности; 
  • b) требования данных заинтересованных сторон, относящиеся к информационной безопасности, а также
  • c) какие из этих требований будут выполняться посредством системы управления информационной безопасностью.
ПРИМЕЧАНИЕ Требования заинтересованных сторон могут содержать требования законодательства, нормативных документов или контрактных обязательств.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
4.2
4.2 Понимание потребностей и ожиданий заинтересованных сторон
Организация должна определить:
a) заинтересованные стороны, имеющие отношение к системе менеджмента информационной безопасности;
b) требования этих заинтересованных сторон к информационной безопасности.

Примечание — Требования заинтересованных сторон могут включать правовые и нормативные требования и договорные обязательства. 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
4.2 Understanding the needs and expectations of interested parties
4.2 Understanding the needs and expectations of interested parties
The organization shall determine:
  • a) interested parties that are relevant to the information security management system; 
  • b) the requirements of these interested parties relevant to information security; and
  • c) which of these requirements will be addressed through the information security management system.
NOTE The requirements of interested parties can include legal and regulatory requirements and contractual obligations.