Куда я попал?
Контекст организации это описание внешних/внутренних факторов, имеющих отношение организации и влияющих на ее систему безопасности.
Требование определить контекст присутствует в ряде стандартов - ISO 31000, 9001, 27001, ГОСТ 57580 и является основой для определения области действия системы менеджмента безопасности.
Пример контекста приведен в заметке
Статьи о контексте организации и том, как его описать: 1, 2.
Рекомендации к заполнению карточки:
Требование определить контекст присутствует в ряде стандартов - ISO 31000, 9001, 27001, ГОСТ 57580 и является основой для определения области действия системы менеджмента безопасности.
Пример контекста приведен в заметке
Статьи о контексте организации и том, как его описать: 1, 2.
Рекомендации к заполнению карточки:
- Добавить шаблон регулярной задачи на пересмотр и актуализацию контекста (периодичность: раз в 1-3 года);
- Если правила документооборота компании позволяют, то контекст может быть задокументирован в карточке данной защитной меры.
- Если контекст утвержден документом, то добавить этот документ как отдельный актив (тип Документ) и указать в защитной мере в качестве Инструмента.
Область действия: Вся организация
Классификация
Тип
Организационная
?
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено
Цепочка мер
Определение контекста организации
Последующие меры
| № | Этап 1 | ||||
|---|---|---|---|---|---|
| 1 | Определение области (scope) действия систем и применения стандартов по информационной безопасности |
Исполнение требований
NIST Cybersecurity Framework (RU):
ID.BE-2
ID.BE-2: Определено и сообщено место организации в критически важной инфраструктуре и ее отраслевом секторе
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
4.1 Понимание организации и ее контекста
4.1 Понимание организации и ее контекста
Организация должна определить внешние и внутренние параметры, которые относятся к ее цели и влияют на ее способность достигать ожидаемого (-ых) результата (-ов) ее системы менеджмента информационной безопасности.
ПРИМЕЧАНИЕ Определение данных параметров относится к формированию внешнего и внутреннего контекста организации, рассмотренного в Разделе 5.4.1 ИСО 31000:2018.
Организация должна определить внешние и внутренние параметры, которые относятся к ее цели и влияют на ее способность достигать ожидаемого (-ых) результата (-ов) ее системы менеджмента информационной безопасности.
ПРИМЕЧАНИЕ Определение данных параметров относится к формированию внешнего и внутреннего контекста организации, рассмотренного в Разделе 5.4.1 ИСО 31000:2018.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
4.1
4.1 Понимание внутренних и внешних факторов деятельности организации
В организации должны быть определены внешние и внутренние факторы, имеющие отношение к деятельности организации и оказывающие влияние на ее способность достигать ожидаемого(ых) результата(ов) от системы менеджмента информационной безопасности.
Примечание — Определение этих факторов относится к установлению внутреннего и внешнего контекста организации, рассматриваемого в ИСО 31000:2009 (подраздел 5.3).
В организации должны быть определены внешние и внутренние факторы, имеющие отношение к деятельности организации и оказывающие влияние на ее способность достигать ожидаемого(ых) результата(ов) от системы менеджмента информационной безопасности.
Примечание — Определение этих факторов относится к установлению внутреннего и внешнего контекста организации, рассматриваемого в ИСО 31000:2009 (подраздел 5.3).
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
4.1 Understanding the organization and its context
4.1 Understanding the organization and its context
The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.
NOTE Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.4.1 of ISO 31000:2018.
The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.
NOTE Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.4.1 of ISO 31000:2018.
NIST Cybersecurity Framework (EN):
ID.BE-2
ID.BE-2: The organization’s place in critical infrastructure and its industry sector is identified and communicated
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.
Заметки
1Пример контекста Организации
1.1 Миссия: делать так, чтобы XXX.
1.2 Цель: производство.
1.3 Бизнес: легкая промышленность (производство чайников, оптовая торговля, научные исследования и разработки).
1.4 Назначение: разработка, регистрация, производство, маркетинг и реклама, оптовая продажа чайников.
1.5 Ценность:
- Изменение жизни людей к лучшему;
- XXX;
- XXX.
1.6 Структура: функциональная.
1.7 Диаграмма: установлена в XXX.
1.8 Стратегия: устанавливается приказом по организации «XXX», определяющим основные направления деятельности Организации на предстоящий период. Актуальная на момент разработки настоящего Стандарта версия: XXX.
1.9 Составляющей стратегии Организации является XXX.
2 Характеристики Организации
2.1 Определяются характеристики (контекст) Организации, значимые с точки зрения его целей и влияющие на способность СМИБ достигать ожидаемых результатов.
2.2 Внешние характеристики
Культурная область: Наличие публично известного бренда и признания (наград);
Социальная область: Лояльность профильного научного соОрганизации;
Политическая область: Позиция стратегического инвестиционного проекта XXX;
Правовая область: Юрисдикция Российской Федерации;
Регулирующая область: Действуют российские и международные требования к производству чайников;
Финансовая область: Наличие больших кредитных обязательств;
Экономическая область: Наличие на рынке конкурентных продуктов;
- Частые факты недобросовестного поведения компаниями конкурентами, дистрибьютерами, заказчиками продукции на местах;
Технологическая область:
- Наличие собственного поставщика сырья;
- Высокотехнологический аспект компании и новое дорогостоящее оборудование;
- Зависимость от внешних поставщиков ИТ и телекоммуникационных услуг;
Рыночная область: Большие объемы экспорта продукции за рубеж (XXX);
Международный уровень:
- Наличие договорных обязательств с международными компаниями по контрактному производству;
- Наличие договорных обязательств с иностранными дистрибьютерами по продажам;
- Планируемое расширение географии препаратов, XXX;
Региональный уровень:
- Наличие XXX представителей во всех регионах страны;
- Работа как через крупных дистрибьютеров в масштабах страны, так и через региональных дистрибьютеров.
2.4 Внутренние характеристики Организации.
Капитал:
- Наличие собственного производства;
- Здания XXX в собственности;
Время
- Масштабное строительство новых XXX;
- Планируемое значительное увеличение количества сотрудников;
Люди: Наличие высококвалифицированного научного персонала;
Информационные системы:
- Наличие ERP и CRM систем;
- Смешанная ИТ инфраструктура на базе ОС Windows и Linux;
Информационные потоки и процессы принятия решений
- Наличие 2-х систем электронного документооборота;
- Отсутствие системы управления ИТ процессами (ITIL);
Культура организации: XXX компания;
Принятые стандарты, руководства и модели: Взятые обязательства по обеспечению высокого уровня качества, охраны труда, экологии;
Форма и содержание контрактных отношений:
- Продажа через дистрибьютеров;
- Контрактное производство;
3 Перечень ограничений, влияющих на Организацию
Ресурсные ограничения:
- Дороговизна средств защиты информации, не позволяющая использовать дорогостоящие средства защиты информации в полном объеме;
- Отсутствие XXX;
Политические ограничения:
- Российская юрисдикция требует исполнения законодательства Российской Федерации о персональных данных, коммерческой тайне, критических информационных инфраструктурах и АСУ ТП;
- Компьютеризация большинства процессов требует обеспечения их информационной безопасности и юридической значимости электронных операций;
Стратегические ограничения:
- Международное сотрудничество в рамках контрактного производства требует исполнения соглашений о конфиденциальности, обеспечения безопасного обмена, исполнения требований международных стандартов в части ИБ;
- Строительство новых производственных и офисных зданий и мощностей требует развития и масштабирования ИТ и ИБ инфраструктуры;
- Расширение списка контрагентов, в том числе иностранных, требует унифицированного подхода к обеспечению ИБ при взаимодействии с ними;
- Разработка новых чайников требует обеспечения конфиденциальности и непрерывности научной деятельности;
Территориальные ограничения: Раздельное расположение XXX, XXX и филиалов требует обеспечения бесперебойной и защищенной связи, возможности удаленного контроля и администрирования компонент ИБ;
Структурные ограничения: Функциональная структура требует учета специфики работы каждого структурного подразделения для эффективного встраивания процессов ИБ в рабочие процессы;
Функциональные ограничения:
- Круглосуточное производство требует постоянной доступности информационных ресурсов, связанных с АСУ ТП;
- Работа XXX представителей в различных часовых поясах требует постоянной доступности эксплуатируемых в их работе информационных сервисов;
- Важность близости к конечному покупателю продукции и поддержание репутации бренда требуют высокой доступности и защищенности интернет сайтов Организации;
Ограничения, касающиеся персонала:
Наличие большого числа подрядных организаций, осуществляющих свою работу удаленно, требует безопасности и контроля процессов удаленного доступа;
- Научная деятельность требует высокой квалификации и низкой текучести кадров, необходимо выявление нелояльности персонала на ранних стадиях;
- Невозможность обеспечения ИБ исключительно техническими мерами требует программ повышения осведомленности персонала в вопросах ИБ;
Ограничения, связанные с методами: Наличие внедренной системы менеджмента качества обуславливает использование ее документальной платформы для построения СМИБ;
Ограничения культурного свойства:
- Большое число XXX требует аккуратного и постепенного внедрения мер ИБ, ограничивающих доступные ранее возможности и свободы;
- Низкий уровень готовности персонала исполнять требования ИБ в силу отсутствия примера и опыта требует постепенного внедрения мер безопасности.