ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

     7.3 Область применения и границы

Организация должна определять область применения и границы менеджмента риска ИБ.

Область применения процесса менеджмента ИБ необходимо определять для того, чтобы все значимые активы принимались в расчет при оценке риска. Кроме того, необходимо определять границы [см. также ИСО/МЭК 27001, пункт 4.2.1, перечисление а)] для рассмотрения тех рисков, источники которых могут находиться за данными границами.

Должна быть собрана информация об организации для определения параметров среды, в которой функционирует организация, и их влияния на процесс менеджмента риска ИБ.

При определении области применения и границ должна учитываться следующая информация, касающаяся организации:

- стратегические цели бизнеса организации, стратегии и политики;

- бизнес-процессы;

- функции и структура организации;

- правовые, нормативные и договорные требования, применимые к организации;

- политика ИБ организации;

- общий подход организации к менеджменту риска;

- информационные активы;

- местоположение организации, ее подразделений и филиалов, а также их географические характеристики;

- ограничения, влияющие на организацию;

- ожидания причастных сторон;

- социокультурная среда;

- интерфейсы (т. е. обмен информацией с внешней средой).

Кроме того, организация должна обосновывать каждое исключение из области применения.

Примерами области применения менеджмента риска могут быть ИТ-приложение, ИТ-инфраструктура, бизнес-процесс или определенная часть организации.

Примечание - Область применения и границы менеджмента риска ИБ связаны с выполнением требования ИСО/МЭК 27001 [см. 4.2.1, перечисление а)] относительно определения области применения и границ СМИБ.

Более подробную информацию можно найти в приложении А.