ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

Приложение А
(справочное)

     
Определение области применения и границ процесса менеджмента риска информационной безопасности

А.1 Анализ организации

Анализ организации. Изучение организации дает возможность воспроизвести характерные элементы, определяющие особенности организации. Оно касается цели, бизнеса, назначения, ценностей и стратегий этой организации, которые должны быть определены наряду с элементами, способствующими их разработке (например, заключение контрагентских договоров).

Трудность такой деятельности заключается в полном понимании структуры организации. Определение ее реальной структуры дает понимание роли и значимости каждого подразделения в достижении целей организации.

Пример - Тот факт, что ответственный за ИБ отчитывается перед высшим руководством, а не перед руководством ИТ, может указывать на участие высшего руководства в проблемах ИБ.

Основная цель организации. Основная цель организации может определяться сферой ее деятельности, сегментом рынка и др.

Бизнес организации. Бизнес организации, определяемый техническими приемами, применяемыми ее сотрудниками и накопленным ими опытом (ноу-хау), дает ей возможность реализовывать свое назначение. Он является специфичной областью деятельности организации и зачастую определяет культуру ее труда.

Назначение организации. Организация достигает своей цели посредством реализации своего назначения. Для определения ее назначения должны быть определены предоставляемые сервисы и/или производимая продукция.

Ценность организации. Ценностями являются основные нормы или четко определенный кодекс поведения, выполняемые для осуществления бизнеса. Это может касаться персонала, отношений с внешними сторонами (например, клиентами), качества поставляемой продукции или предоставляемых сервисов.

Пример - Рассмотрим организацию, целью которой является предоставление услуг населению, бизнесом - транспортные услуги, а назначение заключается в перевозке детей в школу и обратно. Ее ценностями могут быть пунктуальность предоставления услуг и безопасность перевозок.

Структура организации. Существуют разные типы структур:

- филиальная структура, в которой каждое подразделение работает под началом руководителя подразделения, ответственного за принятие стратегических, административных и операционных решений, касающихся его подразделения;

- функциональная структура, в которой функциональные полномочия осуществляются относительно процедур, характера работы и, иногда, принятия решений или составления планов (например производство, ИТ, кадры, маркетинг и т.д.).

Замечания:

- подразделение, существующее в пределах организации с филиальной структурой, может быть организовано как функциональная структура и наоборот;

- структура организации, имеющей элементы обоих типов структуры, называется матричной.

При любой организационной структуре могут различаться следующие уровни:

- уровень принятия решений (определение стратегической ориентации);

- уровень руководства (координация и менеджмент);

- операционный уровень (виды деятельности, связанные с производством и поддержкой).

Диаграмма организации. Структура организации представляется схематически в виде диаграммы организации. При таком представлении следует выделять линии отчетности и делегирования полномочий, кроме того, следует также включать в диаграмму и другие связи, которые, даже если они не основываются на каких-либо формальных полномочиях, являются тем не менее линиями информационного потока.

Стратегия организации. Для нее требуется формальное выражение руководящих принципов организации. Стратегия определяет направление и развитие организации, необходимые для извлечения выгоды из задач, стоящих перед ее бизнесом, и планируемых ею основных изменений.

А.2 Перечень ограничений, влияющих на организацию

Следует учитывать все ограничения, влияющие на организацию и определяющие направленность ее ИБ. Источник ограничений может находиться в пределах организации, и в этом случае она имеет некоторый контроль над ними, или за пределами организации и, следовательно, не может контролироваться. Наиболее важными являются ограничения ресурсов (бюджетных, кадровых) и ограничения, связанные с чрезвычайными обстоятельствами.

Организация устанавливает свои цели (касающиеся ее бизнеса, режима работы и т.д.), способствующие выбору ее пути, возможно, на длительный период времени. Она определяет, какой организацией она хочет стать, и выбирает средства, которые для этого потребуются. При выборе своего пути организация учитывает эволюцию методов и ноу-хау, пожелания пользователей, клиентов и др. Этот путь может быть выражен в форме стратегий эксплуатации или разработки с намерением, например, снизить эксплуатационные расходы, повысить качество обслуживания и т.д.

Такие стратегии, вероятно, будут включать в себя информацию и информационные системы, способствующие их реализации. Следовательно, свойства, касающиеся особенностей, назначения и стратегий организации, являются основополагающими элементами в анализе проблемы, поскольку нарушение аспекта ИБ может привести к переосмыслению целей этих стратегий. Кроме того, важно, чтобы предложения, касающиеся требований ИБ, находились в соответствии с правилами, режимами эксплуатации и средствами, применяемыми в организации.

Перечень включает в себя, но не ограничивается, следующие ограничения.

Ограничения политического свойства. Они могут касаться правительственной администрации, общественных учреждений или любой организации, которая должна применять решения, принятые на государственном уровне. Такими обычно являются решения, касающиеся стратегии или эксплуатационной направленности, принятые правительственным подразделением или организацией, уполномоченной в соответствии с законодательством принимать решения, и которые должны быть выполнены.