Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

     6.5 Объединение всех областей действия и границ для получения области действия и границ СМИБ


Действия

Область действия и границы СМИБ должны быть получены путем объединения всех областей действия и границ.

Исходные данные

a) выходные данные действия 5.3, определение предварительной области действия СМИБ - документ с описанием предварительной области действия СМИБ;

b) выходные данные действия 6.2, определение организационной области действия и границ;

c) выходные данные действия 6.3, определение области действия и границ информационных и коммуникационных технологий (ИКТ);

d) выходные данные действия 6.4, определение физической области действия и границ.

Рекомендации

Область действия СМИБ можно описать и обосновать различными способами. Например, можно выбрать физический объект - центр обработки и хранения данных или офис и перечислить важнейшие процессы, каждый из которых охватывает области за пределами центра обработки и хранения данных, вводя эти элементы, находящиеся за пределами центра обработки и хранения данных, в область действия СМИБ. Одним из таких важнейших процессов может быть, например, мобильный доступ к центральной информационной системе.

Выходные данные

Выходные данные этого действия представляют собой документ, описывающий область действия и границы СМИБ и содержащий следующую информацию:

a) ключевые характеристики организации (функция, структура, услуги, активы и область действия и границы ответственности для каждого актива);

b) процессы в организации, находящиеся в области действия СМИБ;

c) конфигурация оборудования и сетей, находящихся в области действия СМИБ;

d) предварительный перечень информационных активов, находящихся в области действия СМИБ;

e) перечень активов ИКТ, находящихся в области действия СМИБ (например, серверов);

f) схемы объектов, находящихся в области действия СМИБ, определяющие физические границы СМИБ;

g) описание ролей и сфер ответственности в рамках СМИБ и их связи со структурой организации;

h) подробное описание и обоснование исключений каких-либо элементов из области действия СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.