ГОСТ Р ИСО/МЭК 27003—2012
b
)засекреченная или ценная информация:
1Какая информация является наиболее важнойдля организации?
2 Какими могли бы быть возможные последствия при разглашении определенной информации не
уполномоченным сторонам (например, потеря конкурентных преимуществ, ущерб по отношению к бренду
или репутации, судебный иск и т. д.)?
c) законы, делающие обаятельным принятие мер информационной безопасности:
1 Какие законы, относящиеся кобработке риска или информационной безопасности, применяются в
организации?
2 Является ли организация публичной глобальной организацией, для которой требуется внешняя фи
нансовая отчетность?
d) контрактные или организационные соглашения, относящиеся к информационной безопасности:
1 Какие требования предъявляются к хранению данных (включая сроки хранения)?
2 Существуют ли контрактные требования, связанные с секретностью или качеством (например, со
глашение об уровне услуг — SLA)?
e)отраслевые требования, определяющие конкретные способы управления и меры информационной
безопасности:
1 Какие требования, характерные для данной отрасли, применяются корганизации?
0 угрозы:
1 Какие нужны виды защиты и от каких угроз?
2 Для каких отдельных категорий информации требуется защита?
3 Каковы отдельные типы информационной деятельности, требующие защиты?
д) Конкурентные движущие факторы:
1 Какие минимальные требования к информационной безопасности существуют на рынке?
2 Какиедополнительные способы менеджмента информационной безопасности могут быть стимули
рованы конкурентными преимуществами организации?
h) требования непрерывности бизнес-процессов
1 Какие существуют важнейшие бизнес-процессы?
2 Как долго организация может вьщерживать приостановки каждого из важнейших бизнес-
процессов?
Предварительную область действия СМИБ можно определить, ответив на приведенные выше вопро
сы. Это также необходимодля того, чтобы определитьслучай применения СМИБдляданного предприятия
и общий план проекта СМИБ для утверждения руководством. Подробная область действия СМИБдолжна
быть определена во время составления проекта СМИБ.
Требования,указанные в ISO/1EC 27001:2005. пункт4.2.1, а), определяют область действия на основе
характеристикпредприятия, организации, местонахождения, активов и технологий. Определению этих фак
торов способствует информация, полученная на основе вышеуказанных вопросов.
Перечень некоторых тем. которые необходимо рассмотреть при принятии первоначальных решений,
касающихся области действия СМИБ:
a) каковы обязательные требования к менеджменту информационной безопасности, определенные
руководством организации, и обязательства, накладываемые на организацию извне?
b
) несут ли ответственность за предлагаемые системы в рамках области действия СМИБ руководя
щие группы (например, сотрудники разных филиалов и отделов)?
c) как будут передаваться документы, связанные с СМИБ, внутри организации (например, на бумаге
или через корпоративную сеть)?
d) могут ли существующие системы управления удовлетворять потребности организации? Являются
ли они полнофункциональными, поддерживаются ли в работоспособном состоянии и функционируют ли,
какэто необходимо?
Примеры целей управления, которые могут использоваться в качестве исходныхданныхдля опреде
ления предварительной области действия СМИБ. включают:
a) содействие непрерывности бизнес-процессов и восстановлению их вчрезвычайных ситуациях:
b
) повышение устойчивости к инцидентам;
c) внимание к соответствию законам (условиям) контракта и обязательствам;
d) обеспечение возможности сертификации по другим стандартам ISO/1EC;
е) обеспечение развития и положения организации;
0 снижение затрат на управление безопасностью;
д)защита стратегически важных активов;
7