ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

4 Контекст организации

 

4.1 Понимание организации и ее контекста

 

Необходимые мероприятия

Организация определяет внешние и внутренние факторы, относящиеся к ее цели и влияющие на ее способность достичь ожидаемого(ых) результата(ов) системы менеджмента информационной безопасности (СМИБ).

Пояснение

Для выполнения неотъемлемой функции СМИБ организация должна постоянно подвергать анализу как себя, так и окружающий мир. Такой анализ связан с внешними и внутренними факторами, которые каким-то образом влияют на ИБ и то, как она управляется, а также на соответствующие цели организации.

Анализ этих факторов преследует три цели:

- понимание контекста для определения области действия СМИБ;

- анализ контекста для определения рисков и возможностей;

- обеспечение адаптации СМИБ к меняющимся внешним и внутренним факторам.

Внешние факторы находятся вне контроля организации. Их часто называют средой организации. Анализ среды может включать следующие аспекты:

a) социальные и культурные;

b) политические, юридические, нормативные и правовые;

c) финансовые и макроэкономические;

d) технологические;

e) природные;

f) конкурентные.

Эти аспекты среды организации постоянно преподносят факторы, которые влияют на ИБ и на то, как она управляется. Соответствующие внешние факторы зависят от конкретных приоритетов организации и ситуации.

Например, внешние факторы для конкретной организации могут включать:

g) юридические последствия использования аутсорсинговых ИТ-услуг (юридический аспект);

h) природные условия с точки зрения возможности возникновения таких бедствий, как пожар, наводнение и землетрясение (природный аспект);

i) технические достижения хакерских инструментов и использование криптографии (технологический аспект);

j) общий спрос на услуги организации (социальные, культурные или финансовые аспекты).

Внутренние факторы находятся под контролем организации. Их анализ может включать следующие аспекты:

k) культура организации;

l) политика, цели и стратегии их достижения;

m) управление, организационная структура, роли и обязанности;

n) стандарты, руководящие принципы и модели, принятые организацией;

o) договорные отношения, которые могут непосредственно влиять на процессы организации, включенные в область действия СМИБ;

p) процессы и процедуры;

q) способности, понимаемые с точки зрения ресурсов и знаний (например, капитал, время, люди, процессы, системы и технологии);

r) физическая инфраструктура и среда;

s) информационные системы, информационные потоки и процессы принятия решений (как формальные, так и неформальные);

t) предыдущие аудиты или предыдущие результаты оценки рисков.

Результаты этих мероприятий используются в 4.3 и 6.1.

Руководство

Основываясь на понимании цели организации (например, ссылаясь на ее миссию или бизнес-план), а также ожидаемого(ых) результата(ов) ее СМИБ, организация должна:

- проанализировать внешнюю среду для выявления соответствующих внешних факторов;

- провести анализ внутренних аспектов для определения соответствующих внутренних факторов.

Для выявления соответствующих факторов можно задать следующий вопрос: как определенная категория факторов (в соответствии с перечислением "Пояснение" 4.1) влияет на цели ИБ? Ниже приведены три наглядных примера внутренних факторов.

Пример 1 касается управления и организационной структуры (перечисление m): при создании СМИБ следует учитывать уже существующие управленческие и организационные структуры. Например, организация может моделировать структуру своей СМИБ на основе структуры других существующих систем менеджмента и объединить общие функции, такие как анализ и аудит управления.

Пример 2 - о политике, целях и стратегиях (пункт l): анализ существующих политик, целей и стратегий может указывать на то, чего организация намерена достичь и как цели ИБ могут быть согласованы с бизнес-целями для обеспечения успешных результатов.

Пример 3 - об информационных системах и информационных потоках (перечисление s): при определении внутренних факторов организация должна детально определить информационные потоки между ее различными информационными системами.

Поскольку внутренние и внешние факторы со временем изменяются, то факторы и их влияние на область действия, ограничения и требования СМИБ следует регулярно пересматривать.

Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27001, 7.5, перечисление b)).

Дополнительная информация

В ИСО/МЭК 27000 определение "организация" содержит примечание, в котором говорится, что: "Понятие организации включает, но не ограничивается, индивидуального предпринимателя, компанию, корпорацию, фирму, предприятие, орган власти, товарищество, благотворительную организацию или учреждение, или их часть, или комбинацию, независимо от того, зарегистрированы они или нет, являются ли они государственными или частными". Некоторые из этих объектов являются юридическими лицами, в то время как другие - нет.

Рассмотрим четыре случая:

1) организация является юридическим или административным лицом (например, индивидуальный предприниматель, компания, корпорация, фирма, предприятие, орган власти, товарищество, благотворительная организация или учреждение, независимо от того, зарегистрированы они или нет, являются ли они государственными или частными);

2) организация является частью юридического или административного лица (например, частью компании, корпорации, предприятия);

3) организация представляет собой совокупность юридических или административных лиц (например, консорциум индивидуальных предпринимателей, крупных компаний, корпораций, фирм);

4) организация представляет собой совокупность частей юридических или административных лиц (например, клубы, торговые ассоциации).