Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Определение контекста организации

Контекст организации это описание внешних/внутренних факторов, имеющих отношение организации и влияющих на ее систему безопасности.
Требование определить контекст присутствует в ряде стандартов - ISO 31000, 9001, 27001, ГОСТ 57580 и является основой для определения области действия системы менеджмента безопасности.
Пример контекста приведен в заметке
Статьи о контексте организации и том, как его описать: 1, 2.

Рекомендации к заполнению карточки:
  • Добавить шаблон регулярной задачи на пересмотр и актуализацию контекста (периодичность: раз в 1-3 года);
  • Если правила документооборота компании позволяют, то контекст может быть задокументирован в карточке данной защитной меры.
  • Если контекст утвержден документом, то добавить этот документ как отдельный актив (тип Документ) и указать в защитной мере в качестве Инструмента.
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Направленные на организацию деятельности пользователей, включают выпуск документации.
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено

Цепочка мер

Последующие меры
Этап 1
1 Определение области действия системы менеджмента информационной безопасности

Исполнение требований

NIST Cybersecurity Framework (RU):
ID.BE-2
ID.BE-2:  Определено и сообщено место организации в критически важной инфраструктуре и ее отраслевом секторе
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
4.1
4.1 Понимание внутренних и внешних факторов деятельности организации
В организации должны быть определены внешние и внутренние факторы, имеющие отношение к деятельности организации и оказывающие влияние на ее способность достигать ожидаемого(ых) результата(ов) от системы менеджмента информационной безопасности.

Примечание — Определение этих факторов относится к установлению внутреннего и внешнего контекста организации, рассматриваемого в ИСО 31000:2009 (подраздел 5.3). 
NIST Cybersecurity Framework (EN):
ID.BE-2 ID.BE-2: The organization’s place in critical infrastructure and its industry sector is identified and communicated

Комментарии 1

1 неделю назад

Пример контекста Организации

1 Анализ Организации
1.1 Миссия: делать так, чтобы XXX.
1.2 Цель: производство.
1.3 Бизнес: легкая промышленность (производство чайников, оптовая торговля, научные исследования и разработки).
1.4 Назначение: разработка, регистрация, производство, маркетинг и реклама, оптовая продажа чайников.
1.5 Ценность:
- Изменение жизни людей к лучшему;
- XXX;
- XXX.
1.6 Структура: функциональная.
1.7 Диаграмма: установлена в XXX.
1.8 Стратегия: устанавливается приказом по организации «XXX», определяющим основные направления деятельности Организации на предстоящий период. Актуальная на момент разработки настоящего Стандарта версия: XXX.
1.9 Составляющей стратегии Организации является XXX.

2 Характеристики Организации
2.1 Определяются характеристики (контекст) Организации, значимые с точки зрения его целей и влияющие на способность СМИБ достигать ожидаемых результатов.
2.2 Внешние характеристики
Культурная область: Наличие публично известного бренда и признания (наград);
Социальная область: Лояльность профильного научного соОрганизации;
Политическая область: Позиция стратегического инвестиционного проекта XXX;
Правовая область: Юрисдикция Российской Федерации;
Регулирующая область: Действуют российские и международные требования к производству чайников;
Финансовая область: Наличие больших кредитных обязательств;
Экономическая область: Наличие на рынке конкурентных продуктов;
 - Частые факты недобросовестного поведения компаниями конкурентами, дистрибьютерами, заказчиками продукции на местах;
Технологическая область:
- Наличие собственного поставщика сырья;
- Высокотехнологический аспект компании и новое дорогостоящее оборудование;
- Зависимость от внешних поставщиков ИТ и телекоммуникационных услуг;
Рыночная область: Большие объемы экспорта продукции за рубеж (XXX);
Международный уровень:
- Наличие договорных обязательств с международными компаниями по контрактному производству;
- Наличие договорных обязательств с иностранными дистрибьютерами по продажам;
- Планируемое расширение географии препаратов, XXX;
Региональный уровень:
- Наличие XXX представителей во всех регионах страны;
- Работа как через крупных дистрибьютеров в масштабах страны, так и через региональных дистрибьютеров.
2.4 Внутренние характеристики Организации.
Капитал:
- Наличие собственного производства;
- Здания XXX в собственности;
Время
- Масштабное строительство новых XXX;
- Планируемое значительное увеличение количества сотрудников;
Люди: Наличие высококвалифицированного научного персонала;
Информационные системы:
- Наличие ERP и CRM систем;
- Смешанная ИТ инфраструктура на базе ОС Windows и Linux;
Информационные потоки и процессы принятия решений
- Наличие 2-х систем электронного документооборота;
- Отсутствие системы управления ИТ процессами (ITIL);
Культура организации: XXX компания;
Принятые стандарты, руководства и модели: Взятые обязательства по обеспечению высокого уровня качества, охраны труда, экологии;
Форма и содержание контрактных отношений:
- Продажа через дистрибьютеров;
- Контрактное производство;

3 Перечень ограничений, влияющих на Организацию
Ресурсные ограничения: 
- Дороговизна средств защиты информации, не позволяющая использовать дорогостоящие средства защиты информации в полном объеме;
- Отсутствие XXX;
Политические ограничения: 
- Российская юрисдикция требует исполнения законодательства Российской Федерации о персональных данных, коммерческой тайне, критических информационных инфраструктурах и АСУ ТП;
- Компьютеризация большинства процессов требует обеспечения их информационной безопасности и юридической значимости электронных операций;
Стратегические ограничения: 
- Международное сотрудничество в рамках контрактного производства требует исполнения соглашений о конфиденциальности, обеспечения безопасного обмена, исполнения требований международных стандартов в части ИБ;
- Строительство новых производственных и офисных зданий и мощностей требует развития и масштабирования ИТ и ИБ инфраструктуры;
- Расширение списка контрагентов, в том числе иностранных, требует унифицированного подхода к обеспечению ИБ при взаимодействии с ними;
- Разработка новых чайников требует обеспечения конфиденциальности и непрерывности научной деятельности;
Территориальные ограничения: Раздельное расположение XXX, XXX и филиалов требует обеспечения бесперебойной и защищенной связи, возможности удаленного контроля и администрирования компонент ИБ;
Структурные ограничения: Функциональная структура требует учета специфики работы каждого структурного подразделения для эффективного встраивания процессов ИБ в рабочие процессы;
Функциональные ограничения: 
- Круглосуточное производство требует постоянной доступности информационных ресурсов, связанных с АСУ ТП;
- Работа XXX представителей в различных часовых поясах требует постоянной доступности эксплуатируемых в их работе информационных сервисов;
- Важность близости к конечному покупателю продукции и поддержание репутации бренда требуют высокой доступности и защищенности интернет сайтов Организации;
Ограничения, касающиеся персонала: 
Наличие большого числа подрядных организаций, осуществляющих свою работу удаленно, требует безопасности и контроля процессов удаленного доступа;
- Научная деятельность требует высокой квалификации и низкой текучести кадров, необходимо выявление нелояльности персонала на ранних стадиях;
- Невозможность обеспечения ИБ исключительно техническими мерами требует программ повышения осведомленности персонала в вопросах ИБ;
Ограничения, связанные с методами: Наличие внедренной системы менеджмента качества обуславливает использование ее документальной платформы для построения СМИБ;
Ограничения культурного свойства: 
- Большое число XXX требует аккуратного и постепенного внедрения мер ИБ, ограничивающих доступные ранее возможности и свободы;
- Низкий уровень готовности персонала исполнять требования ИБ в силу отсутствия примера и опыта требует постепенного внедрения мер безопасности.