Поговорим немного про Scope СМИБ
Как его выбирать и что это такое.
Поговорим немного про Scope СМИБ, вот только несколько из встреченных мною переводов этого термина:
- Область деятельности СМИБ
- Область действия СМИБ
- Область заявления СМИБ
- Область применения СМИБ
- Область применимости СМИБ
- Границы СМИБ
- Область СМИБ
- Масштаб СМИБ
Что требует стандарт? - ГОСТ Р ИСО/МЭК 27001-2006 п.4.2.1 Разработка СМИБ
a) определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий, в том числе детали и оборудование, любых исключений из области действия.
Еще загадочней это определено тут - СТО БР ИББС 1.0 2008. Несмотря на то, что раздел 8 касается "СМИБ организаций банковской системы РФ", в п.8.3 речь о scope почему то ведется к контексте СОИБ:
8.3. Требования к определению/коррекции области действия системы обеспечения информационной безопасности
8.3.1. Должна быть документально определена/скорректирована опись структурированных по классам защищаемых информационных активов (типов информационных активов — типов информации). Классификацию информационных активов рекомендуется проводить на основании оценок ценности информационных активов для интересов (целей) организации БС РФ, например, в соответствии с тяжестью последствий потери свойств ИБ информационных активов.
8.3.2. В случае наличия в организации БС РФ классификации информационных активов опись информационных активов должна содержать информацию о принадлежности конкретного информационного актива к выделенным типам информационных активов.
8.3.3. Опись информационных активов (типов информационных активов) должна содержать перечень их объектов среды. Перечень объектов среды должен покрывать все уровни информационной инфраструктуры организации БС РФ, определенной в разделе 6 настоящего стандарта.
8.3.4. Должны быть документально определены процедуры анализа и пересмотра области действия СОИБ, в частности, процедуры пересмотра при изменении перечня информационных активов организации (типов информационных активов).
8.3.5. В организации БС РФ должны быть документально определены роли по определению/коррекции области действия СОИБ, по составлению и пересмотру описи информационных активов (типов информационных активов), находящихся в области действия СОИБ. В организации БС РФ должны быть назначены ответственные за выполнение ука‑занных ролей.
Я в принципе не согласен с такой формулировкой - люди просто наплевали на процессный подход, который так трогательно был привнесен в стандарты ИБ. Не говоря уже про то, что люди запутались в терминах - информационные активы и субъекты среды информационных активов. Не надо плодить сущности - бритва Оккама вам в руки.
Я предлагаю следующий метод выбора и документирования Scope (далее - Область применения, ОП):
1. Технологическая сложность процессов - д.б. низкая
2. Количество вовлеченных людей - д.б. маленькое
3. Количество используемых систем - д.б. низкое
4. Документированность процессов и/или систем - д.б. высокая
5. Потребность в контроле - д.б. высокая. Определяется:
- критичностью операций
- требованием и регулярным надзором регуляторов. партнеров, клиентов, инвесторов
- фактами уже произошедших инцидентов
- важностью для бизнеса исходя из BIA (вкл. зависимые бизнес-процессы)
6. Маркетинговые цели - д.б. важные (обычно учитывают при последующей сертификации)
7. Зрелость процессов управления в т.ч. ИБ (наличие уже внедренных механизмов контроля) - д.б. высокая
8. Важность для руководства (иногда не совпадает с п.5 и п.6, определяется бизнес стратегией компании) - д.б. высокой
Нужно также иметь в виду, что органы сертификации требуют включения в ОП основных процессов деятельности компании (наряду с обеспечивающими).
И в заключении напомню, что некоторую информацию по ОП вы также могли почерпнуть из предыдущего моего поста о проектной методологии, там тоже есть ОП.