Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

     6.3 Определение области действия и границ для информационных и коммуникационных технологий (ИКТ)


Действия

Необходимо определить область действия и границы элементов информационных и коммуникационных технологий (ИКТ) и другие технологические элементы, подпадающие под действие системы СМИБ.

Исходные данные

a) выходные данные действия 5.3, определение предварительной области действия СМИБ - документ с описанием предварительной области действия СМИБ;

b) выходные данные действия 6.2, определение организационной области действия и границ.

Рекомендации

Определение области действия и границ ИКТ может быть получено на основе анализа имеющихся информационных систем (вместо подхода на основе информационных технологий). Когда принимается решение руководства о включении процессов информационной системы в область действия СМИБ, необходимо также рассмотреть все связанные элементы ИКТ. Эти элементы включают все части организации, которые хранят, обрабатывают или передают важную информацию, активы или являются важными для других частей организации, входящих в область действия системы. Информационные системы могут охватывать границы организации или государства. В любом случае необходимо принять во внимание следующие факторы:

a) социально-культурная среда;

b) законные, обязательные или контрактные требования, применяемые к организациям;

c) подотчетность за ключевые сферы ответственности;

d) технические ограничения (например, доступная ширина полосы частот, наличие сервиса и т.д.).

Если принять во внимание вышесказанное, границы ИКТ, если это практически применимо, должны включать описание следующих элементов:

a) инфраструктура связи, в которой ответственность за ее управление входит в компетенцию организации, располагающей различными технологиями (например, беспроводные и проводные сети или сети передачи данных и телефонной связи);

b) программное обеспечение в рамках организационных границ, используемое и контролируемое организацией;

c) аппаратное обеспечение ИКТ, требуемое для сети или сетей, приложений или производственных систем;

d) роли и сферы ответственности, связанные с аппаратным обеспечением ИКТ, сетью и программным обеспечением.

Если один или более из вышеприведенных пунктов не контролируется организацией, необходимо документировать зависимости от третьих сторон. См. 6.2, рекомендации.

Выходные данные

Выходные данные этого действия следующие:

a) информация, обмен которой осуществляется в рамках области действия системы, и информация, обмен которой осуществляется через границы;

b) границы ИКТ для СМИБ с обоснованием исключения каких-либо элементов ИКТ, находящихся под управлением организации, из области действия СМИБ;

c) информация об информационных системах и телекоммуникационных сетях, описывающая, какие из них находятся в пределах области действия системы СМИБ вместе с ролями и сферами ответственности для этих систем. Также необходимо кратко описать системы, не входящие в область действия СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.