Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Большие расходы на систему защиты информации, в том числе:
  • финансовые затраты, на закупку средств защиты информации и услуг. 
  • временные затраты, на обеспечение операционных процессов, со стороны специалистов по безопасности и работников компании.

Описание уязвимости

Непонимание целей и задач компании, ее контекста - внешних и внутренних факторов, имеющих отношение к деятельности организации и оказывающих влияние на достижение компанией своих целей

Описание типа актива

Структурное подразделение компании отвечающее за информационную безопасность
Классификация
Иное: Финансы ? Финансовые, экономические угрозы / Financial threats Экономические потери или упущенная выгода.
Источники угрозы
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

Связанные защитные меры

Название Дата Влияние
Community
1 1 / 2
Определение потребностей и ожиданий заинтересованных сторон
Ежегодно Вручную Организационная
03.08.2022
03.08.2022 1 1 / 2
Общий алгоритм управления потребностями и ожиданиями заинтересованных сторон:
  1. Сбор потребностей и ожиданий от информационной безопасности у руководства компании (внутренняя сторона)
  2. Определение потребностей внешних сторон - контрагентов
  3. Учету заинтересованных сторон и их потребностей реестре
  4. Исполнение и контроль исполнения потребностей
  5. Уведомление внутренних заинтересованных сторон об исполнении их потребностей и ожиданий
    Например, в рамках регулярных отчетов перед руководством о проделанной работе.
  6. Актуализация (повторный сбор) потребностей
В SECURITM для учета и контроля исполнения потребностей сторон используется создание документов с внутренними требованиями (раздел Требования) и их исполнение через защитные меры.

Рекомендации к заполнению карточки:
  • Создать реестр потребностей заинтересованных сторон в SECURITM. Для этого:
    • Создать в разделе Требования внутренний документ
    • Все собранные потребности указать в документе в качестве требований
    • Определить как требования исполняются или будут исполняться и описать решение через защитные меры 
    • Связать требования внутреннего документа с защитными мерами, которые их исполняют (или будут исполнять)
  • Добавить в карточку меры ссылку на созданный документ с реестром потребностей
  • Добавить шаблон регулярной задачи на пересмотр и актуализацию потребностей заинтересованных сторон (периодичность: ежегодно)
Community
1 3 / 2
Определение контекста организации
Ежегодно Вручную Организационная
03.08.2022
03.08.2022 1 3 / 2
Контекст организации это описание внешних/внутренних факторов, имеющих отношение организации и влияющих на ее систему безопасности.
Требование определить контекст присутствует в ряде стандартов - ISO 31000, 9001, 27001, ГОСТ 57580 и является основой для определения области действия системы менеджмента безопасности.
Пример контекста приведен в заметке
Статьи о контексте организации и том, как его описать: 1, 2.

Рекомендации к заполнению карточки:
  • Добавить шаблон регулярной задачи на пересмотр и актуализацию контекста (периодичность: раз в 1-3 года);
  • Если правила документооборота компании позволяют, то контекст может быть задокументирован в карточке данной защитной меры.
  • Если контекст утвержден документом, то добавить этот документ как отдельный актив (тип Документ) и указать в защитной мере в качестве Инструмента.
Community
1 2
Определение области действия системы менеджмента информационной безопасности
Ежегодно Вручную Организационная
07.08.2021
07.08.2021 1 2
Цель: определение границ для распространения процессов управления информационной безопасностью. 

Примеры описания области действия
Система управления информационной безопасностью в части обеспечения безопасности процессов ...
  1. производства и реализации продукции
  2. разработки программного обеспечения
  3. продаж и взаимодействия с клиентами
  4. предоставления консалтинговых услуг 
  5. управления ИТ инфраструктурой
Рекомендации к заполнению карточки:
  • Добавить шаблон регулярной задачи на пересмотр и актуализацию области действия (периодичность: раз в 1-3 года);
  • Если правила документооборота компании позволяют, то область действия может быть задокументирована в карточке данной защитной меры.
  • Если область действия утверждена документом, то добавить этот документ как отдельный актив (тип Документ) и указать в защитной мере в качестве Инструмента.
Инструкция к регулярной задаче:
  1. Провести пересмотр области действия на предмет расширения и корректировки
  2. Согласовать изменение области действия с заинтересованными сторонами
  3. Внести изменения в область действия (в карточку защитной меры)
  4. Отразить в отчете по выполнению регулярной задачи результаты пересмотра области действия