Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Степаныч Поговорим немного про Scope СМИБ
Protectiva Compliance Manager
Навигация
 

Поговорим немного про Scope СМИБ

Автор: СТЕПАНЫЧ опубликовано: 11-07-2009 последнее изменение: 11-07-2009

Как его выбирать и что это такое.

Поговорим немного про Scope СМИБ, вот только несколько из встреченных мною переводов этого термина:

  • Область деятельности СМИБ
  • Область действия СМИБ
  • Область заявления СМИБ
  • Область применения СМИБ
  • Область применимости СМИБ
  • Границы СМИБ
  • Область СМИБ
  • Масштаб СМИБ

Что требует стандарт? - ГОСТ Р ИСО/МЭК 27001-2006 п.4.2.1 Разработка СМИБ

a) определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий, в том числе детали и оборудование, любых исключений из области действия.

Еще загадочней это определено тут - СТО БР ИББС 1.0 2008. Несмотря на то, что раздел 8 касается "СМИБ организаций банковской системы РФ", в п.8.3 речь о scope почему то ведется к контексте СОИБ:

8.3. Требования к определению/коррекции области действия системы обеспечения информационной безопасности

8.3.1. Должна быть документально определена/скорректирована опись структурированных по классам защищаемых информационных активов (типов информационных активов — типов информации). Классификацию информационных активов рекомендуется проводить на основании оценок ценности информационных активов для интересов (целей) организации БС РФ, например, в соответствии с тяжестью последствий потери свойств ИБ информационных активов.

8.3.2. В случае наличия в организации БС РФ классификации информационных активов опись информационных активов должна содержать информацию о принадлежности конкретного информационного актива к выделенным типам информационных активов.

8.3.3. Опись информационных активов (типов информационных активов) должна содержать перечень их объектов среды. Перечень объектов среды должен покрывать все уровни информационной инфраструктуры организации БС РФ, определенной в разделе 6 настоящего стандарта.

8.3.4. Должны быть документально определены процедуры анализа и пересмотра области действия СОИБ, в частности, процедуры пересмотра при изменении перечня информационных активов организации (типов информационных активов).

8.3.5. В организации БС РФ должны быть документально определены роли по определению/коррекции области действия СОИБ, по составлению и пересмотру описи информационных активов (типов информационных активов), находящихся в области действия СОИБ. В организации БС РФ должны быть назначены ответственные за выполнение ука‑занных ролей.

Я в принципе не согласен с такой формулировкой - люди просто наплевали на процессный подход, который так трогательно был привнесен в стандарты ИБ. Не говоря уже про то, что люди запутались в терминах - информационные активы и субъекты среды информационных активов. Не надо плодить сущности - бритва Оккама вам в руки.

Я предлагаю следующий метод выбора и документирования Scope (далее - Область применения, ОП):

1. Технологическая сложность процессов - д.б. низкая

2. Количество вовлеченных людей - д.б. маленькое

3. Количество используемых систем - д.б. низкое

4. Документированность процессов и/или систем - д.б. высокая

5. Потребность в контроле - д.б. высокая. Определяется:

   - критичностью операций

   - требованием и регулярным надзором регуляторов. партнеров, клиентов, инвесторов

   - фактами уже произошедших инцидентов

   - важностью для бизнеса исходя из BIA (вкл. зависимые бизнес-процессы)

6. Маркетинговые цели - д.б. важные (обычно учитывают при последующей сертификации)

7. Зрелость процессов управления в т.ч. ИБ (наличие уже внедренных механизмов контроля) - д.б. высокая

8. Важность для руководства (иногда не совпадает с п.5 и п.6, определяется бизнес стратегией компании) - д.б. высокой

Нужно также иметь в виду, что органы сертификации требуют включения в ОП основных процессов деятельности компании (наряду с обеспечивающими).

И в заключении напомню, что некоторую информацию по ОП вы также могли почерпнуть из предыдущего моего поста о проектной методологии, там тоже есть ОП.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex