Security Lab

Майндкарта про "контекст" ИБ?

Майндкарта про "контекст" ИБ?
Если вы обратили внимание, то в новой версии стандарта ISO 27001-2013 появился термин, которого раньше не было. Это я говорю про "контекст организации".


Вот, что написано в ISO 27001-2013 (перевод авторский: Alexander Dmitriev, Ildar Garipov, Michael Vernikov. www.sitma.pro )
"4 Контекст организации
4.1 Понимание организации и ее контекста
Организация должна определить внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от системы менеджмента информационной безопасности.
ПРИМЕЧАНИЕ Определение этих аспектов относится к установлению внешнего и внутреннего контекста организации в соответствии с Разделом 5.3 ISO 31000:2009.
4.2 Понимание потребностей и ожиданий заинтересованных сторон
Организация должна определить:
a) заинтересованные стороны, которые имеют отношение к системе менеджмента информационной безопасности, а также
b) требования этих заинтересованных сторон, имеющих отношение к информационной безопасности.
ПРИМЕЧАНИЕ Требования заинтересованных сторон могут включать в себя законодательные, нормативные требования и договорные обязательства.
4.3 Определение области применения системы менеджмента информационной безопасности
Организация для определения области применения СМИБ должна определить границы и возможность применения системы менеджмента информационной безопасности.
При определении этой области применения организация должна рассмотреть следующие вопросы:
a) внешние и внутренние аспекты, упомянутые в п.4.1;
b) требования, указанные в п.4.2;
c) интерфейсы и зависимости между деятельностью, выполняемой организацией, и деятельностью, которую выполняют другие организации.
Область применения должна быть доступна в виде документированной информации.
4.4 Система менеджмента информационной безопасности
Организация должна разработать, внедрить, поддерживать и постоянно совершенствовать систему менеджмента информационной безопасности в соответствии с требованиями настоящего стандарта."
На этом все. Дальше стандарт предполагает, что читатель додумает сам... Ну, или полезет смотреть ISO 31000 (это который про управление рисками). В нем уже про контекст написано чуть больше (1 страница) и приведены примеры внутреннего и внешнего контекста. Их можете посмотреть в майндкарте в конце поста.

Также ISO 31000 кратко описывает зачем "контекст" нужен:
"Посредством установления ситуации (контекста) организация формирует цели, определяет внешние и внутренние параметры, которые следует принимать во внимание при управлении рисками, и определяет область применения и критерии риска для оставшегося процесса."
Намного полнее и полезнее про "контекст" говориться в COBIT5. В нем даже есть определение термина:
"Контекст - Совокупность внешних и внутренних факторов, которые определяют или влияют на образ действия предприятия, организации, процесса или человека."
В COBIT5, также как и в ISO 31000, приводятся факторы внутренней и внешней среды (контекст), но еще есть и примеры заинтересованных сторон, "болевых точек" и событий-триггеров , которые также уместно рассматривать в "контексте организации".

Все примеры и положения стандартов я свел в единую майндкрту ( в PDF тут ). Ей удобно пользоваться при анализе текущего состояния организаций и планирования  совершенствования системы информационной безопасности .




P.S. Кстати, на систематизацию материала и написание поста меня натолкнула статья Александра Дмитриева (Директор по системам безопасности, компания TMS (представитель TÜV SÜD в Украине) "ISO 27001:2013. Определение контекста организации - базовый шаг внедрения системы менеджмента информационной безопасности". К сожалению, она находится в закрытой группе в ФБ , но может кто-то еще имеет к ней доступ. Рекомендую.
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Andrey Prozorov

Информационная безопасность в России и мире