Карточка защитной меры

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Определение области действия системы менеджмента информационной безопасности

1 2

Цель: определение границ для распространения процессов управления информационной безопасностью.

Примеры описания области действия
Система управления информационной безопасностью в части обеспечения безопасности процессов ...

производства и реализации продукции
разработки программного обеспечения
продаж и взаимодействия с клиентами
предоставления консалтинговых услуг
управления ИТ инфраструктурой

Рекомендации к заполнению карточки:

Добавить шаблон регулярной задачи на пересмотр и актуализацию области действия (периодичность: раз в 1-3 года);
Если правила документооборота компании позволяют, то область действия может быть задокументирована в карточке данной защитной меры.
Если область действия утверждена документом, то добавить этот документ как отдельный актив (тип Документ) и указать в защитной мере в качестве Инструмента.

Инструкция к регулярной задаче:

Провести пересмотр области действия на предмет расширения и корректировки
Согласовать изменение области действия с заинтересованными сторонами
Внести изменения в область действия (в карточку защитной меры)
Отразить в отчете по выполнению регулярной задачи результаты пересмотра области действия

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Ежегодно

Ответственный

Не определено

Инструменты

Не определено

Цепочка мер

Определение контекста организации

Определение потребностей и ожиданий заинтересованных сторон

Определение области действия системы менеджмента информационной безопасности

Предшествующие меры

№	Этап -1
1					Определение контекста организации
2					Определение потребностей и ожиданий заинтересованных сторон

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":

ПЗИ.1

ПЗИ.1 Документарное определение области применения процесса системы защиты информации (область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России) для уровней информационной инфраструктуры

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":

4.3

4.3 Определение области действия системы менеджмента информационной безопасности
Для установления области действия системы менеджмента информационной безопасности организация должна определить применимость системы менеджмента информационной безопасности и ее границы.
При определении области действия системы менеджмента информационной безопасности необходимо учитывать:
a) внутренние и внешние факторы, указанные в 4.1;
b) требования, приведенные в 4.2;
c) порядок взаимодействия и зависимости между деятельностью данной организации и деятельностью других организаций.
Область действия системы менеджмента информационной безопасности должна быть доступна в виде документированной информации.

Связанные риски

Риск	Угроза	Уязвимость	Тип актива	Связи
Высокие затраты на обеспечение информационной безопасности из-за непонимания контекста, целей и задач компании в подразделении по информационной безопасности Финансы	Высокие затраты на обеспечение информационной безопасности Финансы	Непонимание контекста, целей и задач компании	Подразделение по информационной безопасности	3