Куда я попал?
Определение области (scope) действия систем и применения стандартов по информационной безопасности
Цель: определение границ для распространения процессов информационной безопасности.
В зависимости от задач в организации могут выделяться различные области, на которые применяются единые для данной области требования по информационной безопасности, например:
В зависимости от задач в организации могут выделяться различные области, на которые применяются единые для данной области требования по информационной безопасности, например:
- Область действия системы менеджмента (управления) информационной безопасности (СМИБ, СУИБ);
- Область применения процесса системы защиты информации;
- область применения стандарта PCI DSS.
В более широком смысле для удобства управления процессами безопасности в качестве отдельных областей могут выделяться системы, например информационные системы персональных данных (ИСПДн), государственные информационные системы (ГИС), системы критической информационной инфраструктуры (КИИ) и т.п.
В одной организации могут одновременно существовать несколько областей (систем) в отношении которых будут действовать различные требования по безопасности, актуальны различные риски, применяться разные защитные меры.
В одной организации могут одновременно существовать несколько областей (систем) в отношении которых будут действовать различные требования по безопасности, актуальны различные риски, применяться разные защитные меры.
Примеры описания области действия для СМИБ
Система управления информационной безопасностью в части обеспечения безопасности процессов ...
- производства и реализации продукции
- разработки программного обеспечения
- продаж и взаимодействия с клиентами
- предоставления консалтинговых услуг
- управления ИТ инфраструктурой
Рекомендации к заполнению карточки:
- Добавить шаблон регулярной задачи на пересмотр и актуализацию области действия (периодичность: раз в 1-3 года);
- Задокументировать области в SECURITM (раздел /scopes)
- Если правила документооборота компании позволяют, то область действия может быть задокументирована в карточке данной защитной меры.
- Если область действия утверждена документом, то добавить этот документ как отдельный актив (тип Документ) и указать в защитной мере в качестве Инструмента.
Инструкция к регулярной задаче:
- Провести пересмотр области действия на предмет расширения и корректировки
- Согласовать изменение области действия с заинтересованными сторонами
- Внести изменения в область действия (в карточку защитной меры)
- Отразить в отчете по выполнению регулярной задачи результаты пересмотра области действия
Область действия: Вся организация
Классификация
Тип
Организационная
?
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено
Определение области (scope) действия систем и применения стандартов по информационной безопасности
Предшествующие меры
| № | Этап -1 | ||||
|---|---|---|---|---|---|
| 1 | Определение контекста организации | ||||
| 2 | Определение потребностей и ожиданий заинтересованных сторон |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.