Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Определение области (scope) действия систем и применения стандартов по информационной безопасности

Цель: определение границ для распространения процессов информационной безопасности.
В зависимости от задач в организации могут выделяться различные области, на которые применяются единые для данной области требования по информационной безопасности, например: 
  • Область действия системы менеджмента (управления) информационной безопасности (СМИБ, СУИБ);
  • Область применения процесса системы защиты информации; 
  • область применения стандарта PCI DSS.
В более широком смысле для удобства управления процессами безопасности в качестве отдельных областей могут выделяться системы, например информационные системы персональных данных (ИСПДн), государственные информационные системы (ГИС), системы критической информационной инфраструктуры (КИИ) и т.п.

В одной организации могут одновременно существовать несколько областей (систем) в отношении которых будут действовать различные требования по безопасности, актуальны различные риски, применяться разные защитные меры.

Примеры описания области действия для СМИБ
Система управления информационной безопасностью в части обеспечения безопасности процессов ...
  • производства и реализации продукции
  • разработки программного обеспечения
  • продаж и взаимодействия с клиентами
  • предоставления консалтинговых услуг 
  • управления ИТ инфраструктурой
Рекомендации к заполнению карточки:
  • Добавить шаблон регулярной задачи на пересмотр и актуализацию области действия (периодичность: раз в 1-3 года);
  • Задокументировать области в SECURITM (раздел /scopes)
  • Если правила документооборота компании позволяют, то область действия может быть задокументирована в карточке данной защитной меры.
  • Если область действия утверждена документом, то добавить этот документ как отдельный актив (тип Документ) и указать в защитной мере в качестве Инструмента.
Инструкция к регулярной задаче:
  1. Провести пересмотр области действия на предмет расширения и корректировки
  2. Согласовать изменение области действия с заинтересованными сторонами
  3. Внести изменения в область действия (в карточку защитной меры)
  4. Отразить в отчете по выполнению регулярной задачи результаты пересмотра области действия
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено

Цепочка мер

Определение области (scope) действия систем и применения стандартов по информационной безопасности
Предшествующие меры
Этап -1
1 Определение контекста организации
2 Определение потребностей и ожиданий заинтересованных сторон

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
ПЗИ.1
ПЗИ.1 Документарное определение области применения процесса системы защиты информации (область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России) для уровней информационной инфраструктуры
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
4.3
4.3 Определение области действия системы менеджмента информационной безопасности 
Для установления области действия системы менеджмента информационной безопасности организация должна определить применимость системы менеджмента информационной безопасности и ее границы. 
При определении области действия системы менеджмента информационной безопасности необходимо учитывать: 
a) внутренние и внешние факторы, указанные в 4.1; 
b) требования, приведенные в 4.2; 
c) порядок взаимодействия и зависимости между деятельностью данной организации и деятельностью других организаций. 
Область действия системы менеджмента информационной безопасности должна быть доступна в виде документированной информации. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.5.2
12.5.2
Определенные Требования к Подходу:
Область применения PCI DSS документируется и подтверждается организацией не реже одного раза в 12 месяцев и при значительных изменениях в среде, относящейся к сфере применения. Как минимум, проверка области действия включает в себя:
  • Идентификация всех потоков данных для различных этапов оплаты (например, авторизация, фиксированный расчет, возврат средств и возврат средств) и каналов приема (например, предъявление карты, отсутствие карты и электронная коммерция).
  • Обновление всех схем потоков данных в соответствии с требованием 1.2.4.
  • Определение всех местоположений, в которых хранятся, обрабатываются и передаются данные учетной записи, включая, но не ограничиваясь: 1) любые местоположения за пределами определенного в настоящее время CDE, 2) приложения, обрабатывающие CHD, 3) передачи между системами и сетями и 4) резервные копии файлов.
  • Идентификация всех системных компонентов в CDE, подключенных к CDE или которые могут повлиять на безопасность CDE.
  • Определение всех используемых элементов управления сегментацией и инфраструктуры (сред), из которых сегментируется CDE, включая обоснование того, что инфраструктура выходит за рамки области применения.
  • Идентификация всех подключений от сторонних организаций, имеющих доступ к CDE.
  • Подтверждение того, что все идентифицированные потоки данных, данные учетной записи, системные компоненты, элементы управления сегментацией и соединения от третьих сторон, имеющих доступ к CDE, включены в область действия.
Цель Индивидуального подхода:
Область применения PCI DSS периодически проверяется и после внесения существенных изменений путем всестороннего анализа и принятия соответствующих технических мер.
Примечания по применению:
Это ежегодное подтверждение области применения PCI DSS является деятельностью, которую, как ожидается, будет выполнять оцениваемый субъект, и не является тем же самым и не предназначено для замены подтверждения области применения, выполняемого оценщиком субъекта во время ежегодной оценки.

Определенные Процедуры Тестирования Подхода:
  • 12.5.2.а Изучить документированные результаты проверок сферы охвата и опросить персонал, чтобы убедиться, что проверки выполнены:
    • Не реже одного раза в 12 месяцев.
    • После значительных изменений в среде in-scope.
  • 12.5.2.b Изучите документированные результаты проверок сферы охвата, выполненных организацией, чтобы убедиться, что деятельность по подтверждению области охвата PCI DSS включает все элементы, указанные в этом требовании.
Цель:
Частая проверка области применения PCI DSS помогает гарантировать, что область применения PCI DSS остается актуальной и соответствует меняющимся бизнес-целям, и, следовательно, что средства контроля безопасности защищают все соответствующие компоненты системы.

Надлежащая практика:
Точное определение области включает в себя критическую оценку CDE и всех подключенных компонентов системы для определения необходимого покрытия требований PCI DSS. Мероприятия по определению области охвата, включая тщательный анализ и постоянный мониторинг, помогают обеспечить надлежащую защиту систем в области охвата. При документировании местоположений данных учетной записи организация может рассмотреть возможность создания таблицы или электронной таблицы, включающей следующую информацию:
Хранилища данных (базы данных, файлы, облако и т.д.), Включая цель хранения данных и срок хранения,
Какие элементы CHD сохраняются (PAN, дата истечения срока действия, имя владельца карты и/или любые элементы SAD до завершения авторизации),
Как защищаются данные (тип шифрования и надежность, алгоритм хеширования и надежность, усечение, токенизация),
Как регистрируется доступ к хранилищам данных, включая описание используемого механизма (механизмов) ведения журнала (корпоративное решение, уровень приложения, уровень операционной системы и т.д.).
В дополнение к внутренним системам и сетям, все подключения от сторонних организаций - например, деловых партнеров, организаций, предоставляющих услуги удаленной поддержки, и других поставщиков услуг — должны быть идентифицированы для определения включения в сферу действия PCI DSS. Как только соединения в рамках области будут идентифицированы, могут быть реализованы соответствующие средства контроля PCI DSS, чтобы снизить риск использования стороннего подключения для компрометации CDE организации.
Инструмент или методология обнаружения данных могут быть использованы для облегчения идентификации всех источников и местоположений PAN, а также для поиска PAN, который находится в системах и сетях за пределами текущего определенного CDE или в неожиданных местах в пределах определенного CDE — например, в журнале ошибок или файле дампа памяти. Этот подход может помочь гарантировать, что ранее неизвестные местоположения PAN будут обнаружены и что PAN будет либо удален, либо должным образом закреплен

Дополнительная информация:
Дополнительные рекомендации см. в Информационном дополнении: Руководство по определению области действия PCI DSS и сегментации сети.