Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Определение контекста организации

Контекст организации это описание внешних/внутренних факторов, имеющих отношение организации и влияющих на ее систему безопасности.
Требование определить контекст присутствует в ряде стандартов - ISO 31000, 9001, 27001, ГОСТ 57580 и является основой для определения области действия системы менеджмента безопасности.
Пример контекста приведен в заметке
Статьи о контексте организации и том, как его описать: 1, 2.

Рекомендации к заполнению карточки:
  • Добавить шаблон регулярной задачи на пересмотр и актуализацию контекста (периодичность: раз в 1-3 года);
  • Если правила документооборота компании позволяют, то контекст может быть задокументирован в карточке данной защитной меры.
  • Если контекст утвержден документом, то добавить этот документ как отдельный актив (тип Документ) и указать в защитной мере в качестве Инструмента.
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено

Цепочка мер

Последующие меры
Этап 1
1 Определение области (scope) действия систем и применения стандартов по информационной безопасности

Ресурсная оценка

Качественная оценка

Количественная оценка

Итоговая оценка

Стоимость

Трудозатраты

Сложность

Стоимость, тыс. руб

Трудозатраты, дней/ год

CAPEX

?
Неизвестно
Неизвестно
Неизвестно
Неизвестно
Неизвестно
Отсутствует

OPEX

?
Неизвестно
Неизвестно
Неизвестно
Неизвестно
Неизвестно

Заметки

1
2 года назад

Пример контекста Организации

1 Анализ Организации
1.1 Миссия: делать так, чтобы XXX.
1.2 Цель: производство.
1.3 Бизнес: легкая промышленность (производство чайников, оптовая торговля, научные исследования и разработки).
1.4 Назначение: разработка, регистрация, производство, маркетинг и реклама, оптовая продажа чайников.
1.5 Ценность:
- Изменение жизни людей к лучшему;
- XXX;
- XXX.
1.6 Структура: функциональная.
1.7 Диаграмма: установлена в XXX.
1.8 Стратегия: устанавливается приказом по организации «XXX», определяющим основные направления деятельности Организации на предстоящий период. Актуальная на момент разработки настоящего Стандарта версия: XXX.
1.9 Составляющей стратегии Организации является XXX.

2 Характеристики Организации
2.1 Определяются характеристики (контекст) Организации, значимые с точки зрения его целей и влияющие на способность СМИБ достигать ожидаемых результатов.
2.2 Внешние характеристики
Культурная область: Наличие публично известного бренда и признания (наград);
Социальная область: Лояльность профильного научного соОрганизации;
Политическая область: Позиция стратегического инвестиционного проекта XXX;
Правовая область: Юрисдикция Российской Федерации;
Регулирующая область: Действуют российские и международные требования к производству чайников;
Финансовая область: Наличие больших кредитных обязательств;
Экономическая область: Наличие на рынке конкурентных продуктов;
 - Частые факты недобросовестного поведения компаниями конкурентами, дистрибьютерами, заказчиками продукции на местах;
Технологическая область:
- Наличие собственного поставщика сырья;
- Высокотехнологический аспект компании и новое дорогостоящее оборудование;
- Зависимость от внешних поставщиков ИТ и телекоммуникационных услуг;
Рыночная область: Большие объемы экспорта продукции за рубеж (XXX);
Международный уровень:
- Наличие договорных обязательств с международными компаниями по контрактному производству;
- Наличие договорных обязательств с иностранными дистрибьютерами по продажам;
- Планируемое расширение географии препаратов, XXX;
Региональный уровень:
- Наличие XXX представителей во всех регионах страны;
- Работа как через крупных дистрибьютеров в масштабах страны, так и через региональных дистрибьютеров.
2.4 Внутренние характеристики Организации.
Капитал:
- Наличие собственного производства;
- Здания XXX в собственности;
Время
- Масштабное строительство новых XXX;
- Планируемое значительное увеличение количества сотрудников;
Люди: Наличие высококвалифицированного научного персонала;
Информационные системы:
- Наличие ERP и CRM систем;
- Смешанная ИТ инфраструктура на базе ОС Windows и Linux;
Информационные потоки и процессы принятия решений
- Наличие 2-х систем электронного документооборота;
- Отсутствие системы управления ИТ процессами (ITIL);
Культура организации: XXX компания;
Принятые стандарты, руководства и модели: Взятые обязательства по обеспечению высокого уровня качества, охраны труда, экологии;
Форма и содержание контрактных отношений:
- Продажа через дистрибьютеров;
- Контрактное производство;

3 Перечень ограничений, влияющих на Организацию
Ресурсные ограничения: 
- Дороговизна средств защиты информации, не позволяющая использовать дорогостоящие средства защиты информации в полном объеме;
- Отсутствие XXX;
Политические ограничения: 
- Российская юрисдикция требует исполнения законодательства Российской Федерации о персональных данных, коммерческой тайне, критических информационных инфраструктурах и АСУ ТП;
- Компьютеризация большинства процессов требует обеспечения их информационной безопасности и юридической значимости электронных операций;
Стратегические ограничения: 
- Международное сотрудничество в рамках контрактного производства требует исполнения соглашений о конфиденциальности, обеспечения безопасного обмена, исполнения требований международных стандартов в части ИБ;
- Строительство новых производственных и офисных зданий и мощностей требует развития и масштабирования ИТ и ИБ инфраструктуры;
- Расширение списка контрагентов, в том числе иностранных, требует унифицированного подхода к обеспечению ИБ при взаимодействии с ними;
- Разработка новых чайников требует обеспечения конфиденциальности и непрерывности научной деятельности;
Территориальные ограничения: Раздельное расположение XXX, XXX и филиалов требует обеспечения бесперебойной и защищенной связи, возможности удаленного контроля и администрирования компонент ИБ;
Структурные ограничения: Функциональная структура требует учета специфики работы каждого структурного подразделения для эффективного встраивания процессов ИБ в рабочие процессы;
Функциональные ограничения: 
- Круглосуточное производство требует постоянной доступности информационных ресурсов, связанных с АСУ ТП;
- Работа XXX представителей в различных часовых поясах требует постоянной доступности эксплуатируемых в их работе информационных сервисов;
- Важность близости к конечному покупателю продукции и поддержание репутации бренда требуют высокой доступности и защищенности интернет сайтов Организации;
Ограничения, касающиеся персонала: 
Наличие большого числа подрядных организаций, осуществляющих свою работу удаленно, требует безопасности и контроля процессов удаленного доступа;
- Научная деятельность требует высокой квалификации и низкой текучести кадров, необходимо выявление нелояльности персонала на ранних стадиях;
- Невозможность обеспечения ИБ исключительно техническими мерами требует программ повышения осведомленности персонала в вопросах ИБ;
Ограничения, связанные с методами: Наличие внедренной системы менеджмента качества обуславливает использование ее документальной платформы для построения СМИБ;
Ограничения культурного свойства: 
- Большое число XXX требует аккуратного и постепенного внедрения мер ИБ, ограничивающих доступные ранее возможности и свободы;
- Низкий уровень готовности персонала исполнять требования ИБ в силу отсутствия примера и опыта требует постепенного внедрения мер безопасности.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.