ГОСТ Р ИСО/МЭК 27003-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

     4.3 Определение области действия системы менеджмента информационной безопасности

Необходимые мероприятия

Организация определяет границы и применимость СМИБ для установления области ее действия.

Пояснение

Область действия определяет, где и для чего именно применима СМИБ, а где и для чего нет. Таким образом, определение области действия является ключевым действием, задающим основу для всех других мероприятий по внедрению СМИБ. Например, оценка и обработка риска, включая определение мер обеспечения ИБ, не дадут достоверных результатов без точного понимания того, где именно применима СМИБ. Точное знание границ и применимости СМИБ, а также методов взаимодействия и зависимостей между организацией и другими организациями также имеет решающее значение. Все последующие изменения области действия могут привести к значительным дополнительным усилиям и затратам.

На определение области действия могут влиять следующие факторы:

a) внешние и внутренние факторы, описанные в 4.1;

b) заинтересованные стороны и их требования, определенные в соответствии с подразделом 4.2 ИСО/МЭК 27001;

c) готовность бизнес-процессов быть частью области СМИБ;

d) все вспомогательные функции, т.е. функции, необходимые для поддержки этих бизнес-процессов (например, управление кадрами; ИТ-услуги и программные приложения; средства управления недвижимостью, физическими зонами, основными службами и коммунальными услугами);

e) все функции, которые передаются на аутсорсинг либо другим подразделениям организации, либо независимым поставщикам.

Область действия СМИБ может сильно отличаться от одной реализации к другой. Например, область действия может включать следующее:

- один или несколько конкретных процессов;

- одну или несколько конкретных функций;

- одну или несколько конкретных услуг;

- один или несколько конкретных разделов или местоположений;

- целое юридическое лицо;

- целый административный орган и один или несколько его поставщиков.

Руководство

Для определения области действия можно использовать многоступенчатый подход:

f) определить предварительную область действия: это мероприятие должно проводиться небольшой, но уполномоченной группой представителей руководства;

g) определить уточненную область действия: функциональные подразделения в рамках и за пределами предварительной области действия должны быть проанализированы, возможно, с последующим добавлением или исключением некоторых из этих функциональных подразделений для сокращения числа взаимодействий в пределах области действия СМИБ. При уточнении предварительной области действия следует учитывать все вспомогательные функции, необходимые для поддержки бизнес-процессов;

h) определить окончательную область действия СМИБ: уточненная область действия должна быть оценена всем руководством в рамках уточненной области действия. При необходимости ее следует откорректировать, а затем в точности описать;

i) утверждение области действия: документированная информация, описывающая область действия, должна быть официально утверждена высшим руководством.

Организация должна также рассмотреть деятельность, оказывающую влияние на СМИБ, или деятельность, которая передается на аутсорсинг либо другим подразделениям организации, либо независимым поставщикам. Для таких видов деятельности следует определить методы взаимодействия (физические, технические и организационные) и их влияние на область действия СМИБ.

Документированная информация, описывающая область действия СМИБ, может включать:

j) организационную область действия, границы и методы взаимодействия;

k) область применения информационно-коммуникационных технологий, границы и методы взаимодействия;

l) физическую область действия, границы и методы взаимодействия.