Поговорим немного про Scope СМИБ

Поговорим немного про Scope СМИБ, вот только несколько из встреченных мною переводов этого термина:

• Область деятельности СМИБ
• Область действия СМИБ
• Область заявления СМИБ
• Область применения СМИБ
• Область применимости СМИБ
• Границы СМИБ
• Область СМИБ
• Масштаб СМИБ

Что требует стандарт? - ГОСТ Р ИСО/МЭК 27001-2006 п.4.2.1 Разработка СМИБ

a) определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий, в том числе детали и оборудование, любых исключений из области действия.

Еще загадочней это определено тут - СТО БР ИББС 1.0 2008. Несмотря на то, что раздел 8 касается "СМИБ организаций банковской системы РФ", в п.8.3 речь о scope почему то ведется к контексте СОИБ:

8.3. Требования к определению/коррекции области действия системы обеспечения информационной безопасности

8.3.1. Должна быть документально определена/скорректирована опись структурированных по классам защищаемых информационных активов (типов информационных активов — типов информации). Классификацию информационных активов рекомендуется проводить на основании оценок ценности информационных активов для интересов (целей) организации БС РФ, например, в соответствии с тяжестью последствий потери свойств ИБ информационных активов.

8.3.2. В случае наличия в организации БС РФ классификации информационных активов опись информационных активов должна содержать информацию о принадлежности конкретного информационного актива к выделенным типам информационных активов.

8.3.3. Опись информационных активов (типов информационных активов) должна содержать перечень их объектов среды. Перечень объектов среды должен покрывать все уровни информационной инфраструктуры организации БС РФ, определенной в разделе 6 настоящего стандарта.

8.3.4. Должны быть документально определены процедуры анализа и пересмотра области действия СОИБ, в частности, процедуры пересмотра при изменении перечня информационных активов организации (типов информационных активов).

8.3.5. В организации БС РФ должны быть документально определены роли по определению/коррекции области действия СОИБ, по составлению и пересмотру описи информационных активов (типов информационных активов), находящихся в области действия СОИБ. В организации БС РФ должны быть назначены ответственные за выполнение ука‑занных ролей.

Я в принципе не согласен с такой формулировкой - люди просто наплевали на процессный подход, который так трогательно был привнесен в стандарты ИБ. Не говоря уже про то, что люди запутались в терминах - информационные активы и субъекты среды информационных активов. Не надо плодить сущности - бритва Оккама вам в руки.

Я предлагаю следующий метод выбора и документирования Scope (далее - Область применения, ОП):

1. Технологическая сложность процессов - д.б. низкая

2. Количество вовлеченных людей - д.б. маленькое

3. Количество используемых систем - д.б. низкое

4. Документированность процессов и/или систем - д.б. высокая

5. Потребность в контроле - д.б. высокая. Определяется:

   - критичностью операций

   - требованием и регулярным надзором регуляторов. партнеров, клиентов, инвесторов

   - фактами уже произошедших инцидентов

   - важностью для бизнеса исходя из BIA (вкл. зависимые бизнес-процессы)

6. Маркетинговые цели - д.б. важные (обычно учитывают при последующей сертификации)

7. Зрелость процессов управления в т.ч. ИБ (наличие уже внедренных механизмов контроля) - д.б. высокая

8. Важность для руководства (иногда не совпадает с п.5 и п.6, определяется бизнес стратегией компании) - д.б. высокой

Нужно также иметь в виду, что органы сертификации требуют включения в ОП основных процессов деятельности компании (наряду с обеспечивающими).

И в заключении напомню, что некоторую информацию по ОП вы также могли почерпнуть из предыдущего моего поста о проектной методологии, там тоже есть ОП.