Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Определение области действия системы менеджмента информационной безопасности

Цель: определение границ для распространения процессов управления информационной безопасностью. 

Примеры описания области действия
Система управления информационной безопасностью в части обеспечения безопасности процессов ...
  1. производства и реализации продукции
  2. разработки программного обеспечения
  3. продаж и взаимодействия с клиентами
  4. предоставления консалтинговых услуг 
  5. управления ИТ инфраструктурой
Рекомендации к заполнению карточки:
  • Добавить шаблон регулярной задачи на пересмотр и актуализацию области действия (периодичность: раз в 1-3 года);
  • Если правила документооборота компании позволяют, то область действия может быть задокументирована в карточке данной защитной меры.
  • Если область действия утверждена документом, то добавить этот документ как отдельный актив (тип Документ) и указать в защитной мере в качестве Инструмента.
Инструкция к регулярной задаче:
  1. Провести пересмотр области действия на предмет расширения и корректировки
  2. Согласовать изменение области действия с заинтересованными сторонами
  3. Внести изменения в область действия (в карточку защитной меры)
  4. Отразить в отчете по выполнению регулярной задачи результаты пересмотра области действия
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Направленные на организацию деятельности пользователей, включают выпуск документации.
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено

Цепочка мер

Определение области действия системы менеджмента информационной безопасности
Предшествующие меры
Этап -1
1 Определение контекста организации
2 Определение потребностей и ожиданий заинтересованных сторон

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
ПЗИ.1
ПЗИ.1 Документарное определение области применения процесса системы защиты информации (область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России) для уровней информационной инфраструктуры
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
4.3
4.3 Определение области действия системы менеджмента информационной безопасности 
Для установления области действия системы менеджмента информационной безопасности организация должна определить применимость системы менеджмента информационной безопасности и ее границы. 
При определении области действия системы менеджмента информационной безопасности необходимо учитывать: 
a) внутренние и внешние факторы, указанные в 4.1; 
b) требования, приведенные в 4.2; 
c) порядок взаимодействия и зависимости между деятельностью данной организации и деятельностью других организаций. 
Область действия системы менеджмента информационной безопасности должна быть доступна в виде документированной информации.