За определяне на обхвата на СУСИ, т.4.3 от ISO/IEC 27001:2022 поставя изискването да се определят нейните граници и приложимост. Липсата на разбиране за значението на обхвата на СУСИ води до затруднения при неговото определяне.
Каква е целта на обхвата на СУСИ?
Основната цел на обхвата на СУСИ е да се определи важната за организацията информация, която ще бъде защитавана. Проблемът тук е, че информацията, която организацията възнамерява да защити е разпръсната на различни места и може да бъде достъпна за голям брой хора. Съхранява се на сървъри в офиса или извън него, или в облак. Достъпът до информацията може да се осъществява от локална мрежа, от лаптопи на служители чрез отдалечен достъп или чрез мобилни устройства. Това затруднява организациите при определяне на обхвата на СУСИ, защото определяйки коя информация ще защитава, организацията поема отговорността за защитата на тази информация, независимо къде се съхранява тя – в офис, в облак, както и от къде ще бъде достъпна – локална мрежа, отдалечен достъп. Така че, ако служители изнасят лаптопи от офиса, за да работят от вкъщи или от разстояние, това не означава, че тези лаптопи са извън обхвата на СУСИ. Те са част от обхвата, ако чрез тях служителите имат достъп до чувствителна информация, за която организацията е поела отговорността да я защитава.
Как се определя обхвата?
Според т.4.3 от ISO/IEC 27001:2022 при определяне на обхвата е необходимо да се разгледат:
- вътрешните и външните обстоятелства на контекста съгласно т.4.1;
- изискванията на заинтересованите страни съгласно т.4.2;
- интерфейсите и зависимостите между дейностите изпълнявани от организацията и тези от други организации.
Зависимости – това са процесите, които се предоставят извън определения обхват. Ако обхватът включва само основните процеси на една организация, като критични бизнес процеси извън този обхват се разглеждат правни услуги, услуги за почистване, счетоводство, човешки ресурси и др.
Интерфейсите помагат на организацията да разбере границите на СУСИ и да определи кои входове и изходи ще преминават през определените интерфейси, с цел да ги защити по-добре. Това означава, да се определят всички крайни точки, които се контролират от организацията(локална мрежа, входни врати и др.).
Анализът на информацията от трите направления дава отправната точка за дефинирането на обхвата на СУСИ. Това е най-важната стъпка при стартиране на проект за разработване на СУСИ и оказва огромно влияние върху останалата част от проекта включително и по отношение на разходи и усилия. Важно условие е обхватът да отговаря на бизнес изискванията на организацията и да добавя стойност към продуктите и/или услугите, които тя предоставя. За тази цел, при определяне на обхвата е добре организацията да си отговори на въпроса: в кои продукти/услуги нашите клиенти очакват да защитим тяхната информация? Така, че уверете се, че сте избрали внимателно обхвата на СУСИ, защото обхватът независимо на каква система винаги е бизнес решение.
Документиране на обхвата
ISO/IEC 27001:2022 изисква обхватът на СУСИ да е наличен като документирана информация. Организацията има свободата да избере как да документира обхвата – в отделен документи или като част от друг (например Политика по сигурност на информацията).
Проблеми при определяне на обхвата
При определяне на обхвата можете да се натъкнете на следните ситуации:
- ограничаване на обхвата за сметка на по-малко работа и разходи. По-малкият обхват не означава непременно по-малко работа и по-малко разходи. Когато се оставят части от организацията извън обхвата на СУСИ, това означава, че ще трябва да се третират като външни доставчици независимо, че са част от организацията и да се ограничи достъпът им до информацията в обхвата, което може да създаде много повече проблеми и разходи;
- изкключване на контроли с цел ограничаване на обхвата. Изключването на контроли няма нищо общо с определяне обхвата на СУСИ. Не могат да се изключват контроли, защото организацията няма желание да ги прилага или ги счита за неподходящи. Контролите могат да се изключат само ако няма рискове или изисквания, които налагат тяхното използване, т.е. ако има определени рискове или изисквания, свързаните с тях контроли не могат да се изключват. Въпросът е, че рисковете и изискванията се определят на базата на вече установения обхват, т.е. първо се определя обхвата на СУСИ, а на по-следващ етап се разсъждава за рискове, изисквания, механизми за контрол.
Ползи
Определянето на обхвата определено не е лесен процес, но когато се премине през този процес организацията:
- ще започне да разбира по-добре средата, в която работи;
- ще разбира коя е информацията, която иска да защити;
- ще е наясно кои изисквания за сигурност трябва да изпълни.
Това са причините, обхватът на СУСИ да е първата и най-важна стъпка от процеса на разработване и внедряване на СУСИ. Така, че уверете се, че сте избрали внимателно обхвата на СУСИ, ако искате да се възползвате максимално от ползите, които носи прилагането на този стандарт.
0 отговори на "Как да определим обхвата на СУСИ?"