ГОСТ Р ИСО/МЭК 27003—2012
Рекомендации
Степень усилий, требуемых для внедрения СМИБ. зависитот величины области действия, к которой
эти усилия прилагаются. Этот фактор также может повлиять на вседействия, связанные с поддержанием
информационной безопасности элементов, входящих в областьдействия системы (например, процессов,
материальных объектов, информационных систем и людей), включая внедрение и содержание средств
управления операциями и выполнение таких задач, как определение информационных активов и оценка
риска. Если руководство решает исключить некоторые части организации и области действия СМИБ. при
чины такого решения такжедолжны бытьдокументированы.
Когда определена областьдействия СМИБ. важно, чтобы границы были достаточно ясными, чтобы
объяснить их сотрудникам, участвующим в их определении.
Некоторые меры и средства контроля и управления, касающиеся информационной безопасности,
могут уже существовать в организации в результате ввода в действие других систем управления. Их сле
дует учитывать при планировании СМИБ. но они необязательно определяют границы области действия
существующей СМИБ.
Одним из методов определения организационных границ является определение сфер ответственнос
ти. не перекрывающих другдруга, чтобы облегчить назначение подотчетности в организации.
Сферы ответственности, напрямуюсвязанные с информационными активами или производственными
процессами, включаемые в областьдействия СМИБ. должны выбираться как часть организации, находя
щейся под контролем СМИБ. При определении организационных границ следует учитывать следующие
факторы:
a) форум по менеджменту СМИБ должен состоять из руководящих работников, непосредственно
связанных с областью действия СМИБ;
b
) членом руководства, ответственным за СМИБ. должен быть сотрудник, в конечном счете отвечаю
щий за все затронутые сферы ответственности (т. е. его роль должна диктоваться его сферой контроля и
ответственности в организации);
c) в случав, если сотрудник, отвечающий за управление СМИБ. не является членом высшего руко
водства. необходим поручитель высшего руководства, представляющий интересы информационной безо
пасности и действующий в качестве защитника СМИБ на высших уровнях организации;
d)областьдействия и границы необходимо определитьдля того,чтобы быть уверенным в том. что все
связанные активы принимаются в расчет при оценке риска, и охватить риски, которые могут выйти за пре
делы этих границ.
На основе такого подхода анализируемые организационные границы должны определять всех
сотрудников, попадающих поддействие СМИБ, и эти границы должны быть включены вобластьдействия
системы. Определение сотрудников может быть связано с процессами и (или) функциями в зависимости от
выбранного подхода. Если некоторые процессы в организации выполняются третьими сторонами, эти зави
симости должны быть четко документированы. Такие зависимости подлежат дополнительному анализу в
проекте внедрения СМИБ.
Выходные данные
Выходные данные этогодействия следующие:
a) описание организационных границ СМИБ. включая обоснования исключения каких-либо частей
организации из областидействия СМИБ;
b
)функции и структура частей организации, находящихся в областидействия СМИБ:
c) определение информации, подлежащей обмену в рамках области действия системы, и информа
ции, обмен которой осуществляется через границы;
d) процессы в организации и сферы ответственности за информационные активы вобласти действия
системы и за ее пределами.
e) процесс в иерархии принятия решений, а также ее структура в рамках СМИБ.
Дополнительная информация
Дополнительная специальная информация нетребуется.
6.3Определение области действия и границ для информационных и коммуникационных
технологий (ИКТ)
Действия
Необходимоопределить областьдействия и границы элементов информационных и коммуникацион
ных технологий (ИКТ) и другие технологические элементы, подпадающие поддействие СМИБ.
13