Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Определение области (scope) действия систем и применения стандартов по информационной безопасности

1 6

Цель: определение границ для распространения процессов информационной безопасности.
В зависимости от задач в организации могут выделяться различные области, на которые применяются единые для данной области требования по информационной безопасности, например:

Область действия системы менеджмента (управления) информационной безопасности (СМИБ, СУИБ);
Область применения процесса системы защиты информации;
область применения стандарта PCI DSS.

В более широком смысле для удобства управления процессами безопасности в качестве отдельных областей могут выделяться системы, например информационные системы персональных данных (ИСПДн), государственные информационные системы (ГИС), системы критической информационной инфраструктуры (КИИ) и т.п.

В одной организации могут одновременно существовать несколько областей (систем) в отношении которых будут действовать различные требования по безопасности, актуальны различные риски, применяться разные защитные меры.

Примеры описания области действия для СМИБ
Система управления информационной безопасностью в части обеспечения безопасности процессов ...

производства и реализации продукции
разработки программного обеспечения
продаж и взаимодействия с клиентами
предоставления консалтинговых услуг
управления ИТ инфраструктурой

Рекомендации к заполнению карточки:

Добавить шаблон регулярной задачи на пересмотр и актуализацию области действия (периодичность: раз в 1-3 года);
Задокументировать области в SECURITM (раздел /scopes)
Если правила документооборота компании позволяют, то область действия может быть задокументирована в карточке данной защитной меры.
Если область действия утверждена документом, то добавить этот документ как отдельный актив (тип Документ) и указать в защитной мере в качестве Инструмента.

Инструкция к регулярной задаче:

Провести пересмотр области действия на предмет расширения и корректировки
Согласовать изменение области действия с заинтересованными сторонами
Внести изменения в область действия (в карточку защитной меры)
Отразить в отчете по выполнению регулярной задачи результаты пересмотра области действия

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Ежегодно

Ответственный

Не определено

Инструменты

Не определено

Цепочка мер

Определение контекста организации

Определение потребностей и ожиданий заинтересованных сторон

Определение области (scope) действия систем и применения стандартов по информационной безопасности

Предшествующие меры

№	Этап -1
1					Определение контекста организации
2					Определение потребностей и ожиданий заинтересованных сторон

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Отсутствует
OPEX ^?	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Отсутствует

Связанные риски

Риск	Связи
Высокие затраты на обеспечение информационной безопасности из-за непонимания контекста, целей и задач компании в подразделении по информационной безопасности Финансы	3

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.