выделить сначала критичные процессы, а потом взять вних все активы - это не эргономично. Даже в самых критичных процессах есть некритичные активы, незачем время на них терять.

Т.е. помещение это информационный актив? . Нет, можно и так конечно. Я пытаюсь понять надо ли. В целом по описанному вами алгоритму получаем гигантскую работу.
Получается очень широкий Scope. Я вот хочу понять – можно ли его более узким сделать? В конце концов стандартизируем то мы процессы.. те самые что нам важны. Бизнесу то есть.

Дело в том , что описаны уже процессы в рамках ИСО9001! Все уже сделано, владельцы ИА определены, в приоритетные процессы руководство может пальцем показать, сам процесс детально описан в паспорте! Очень хочется воспользоваться результатами чужого труда!
Переписываешь там активы и вперед. ИМХО конечно.

А так .. Если как вы пишите
ну и вот если как выше описано
СМИБ процесса продажи услуг связи и технической поддержки клиентов
то с чего начать? Я не понимаю
Что первично было в вашем подходе?
Я так понимаю есть 2 варианта:
1. сначала пишем ИА - после ищем процессы где они задействованы
2. наоборот - выбираем критичные процессы - и смотрим на активы. и думаем как их защищать
И вот тут ключевой момент в том, что искать процессы где есть перечисленные активы труднее, чем переписать активы из процессов!

Так вы же сами пишите!

Т.е. не критичные не берем

Можно кстати по одному примеру того и другого актива?
Спасибо за содержательные ответы.

Вопрос - можно ли выбирать такой Scope как в указанной выше ветке
СМИБ корпоративной сети??
Если да, то каков должен быть порядок действий дальше?
Спасибо за тему, а то все заглохло вообще

нет, нельзя
Если вам сказано заниматься сетями, то назовите процесс хотя бы "Управление ИТ-инфраструктурой"
А к бизнесу в продажи лезть со своим СМИБом не спешите, головной боли получите сполна, а голова от вас только контроль сетей хочет
P.S.: СМК- это конечно хорошо, но слизать с него много не получится

ИМХО: зря так категорично про "нельзя" В Точке мы в Scope включили и бизнусовые процессы фронта по ДБО ЮЛ и ФЛ и процессы бэк-офиса, по обслуживанию указанных процессов фронта. Тут главное - четко понимать границы Scope: чего именно мы хотим добится выбрав именно этот Scope.

Коллеги, в этой и соседней ветке, по инвентаризации, идет полемика по подходам к выбору Scope.
Давайте уточним: для чего мы определяемся с областью применения СМИБ?
Для сертификации по ISO 27001, для СТО БР ИББС, для соответствия требованиям 152-ФЗ, или просто по жизни хочется порядка??

нюансы везде разные

Как я уже говорил - всерху спущено требование снедрение ISO27001 на области действия "корпоративная сеть"
Требования обязательной сертификации голова не ставит.
Однако, голова собирает раз в 1-2 года проводить аудит
Потому, исходя из вашего определения, видимо это "по жизни хочется порядка".

Так а мне много и не надо от СМК - перечень активов и владельцы.
Головную боль мы и так получим, т.к. задача выполнять работу по СМИБ поставлена. Потому, хотелось бы чтоб от нее был хотя бы какой-то смысл.
Я всегда понимал, что сертифицируется в организации бизнес-процесс, а не часть активов.

У нас же что мы сделали.. СМИБ КС - к нему относится только все то, что входит в КС.. информационные и неинформационные активы,
люди и т.п.
Причем косяки и вопросы возникают уже тут:
- список активов я составил лично.. а не забыл ли я чего?
- актив БД 1С - кто его владелец?? ИТ отдел получается.. А реально должны быть - владельцы бизнес-процессов, в которых эта БД задействована..
- Все риски по ИБ я сосчитал сам по некой методике. А должны оны расчитываться по экспертной оценке,например.. с привлечение владельцев из бизнеса.. Но у нас же нет их - владельцы ИТ


И вот смотрите.. выполнив все работы по ИСО27001 мы можем спросить себя - а какие бизнес-процессы мы защитили и потенциально сертифицировали?(и это не говоря о том, что хотелось бы поставить вопрос Какие важные для бизнеса процессы мы защитили)

И что мы получаем? Берем процесс продажа услуг и паспорт от него и читаем
1. Пользователь А зашел в свою ОС - во.. это наша область. И пользователь и ОС и принтер входят в КС.. записываем
2. Пользователь А открыл со своего ПК БД биллинга (расположенную не в КС !) и занес туда клиента - хоп.. а это уже не наше .. БД клиентов - не наша область.
И т.д !
Получаем, что бизнес-процесс разорван нашей областью определения стандарта!
Потому бизнес не понимает как защищены его бизнес-активы
ИТ же - область вспомогательная.. как и ИБ, а потому никому не интересная. Интересная ИМХО она может стать если что то предложит интересное основным подразделениям.

Т.е.все сделано, но ощущение полной формальности процесса.. отношение бизнеса безразличное.. как следствие такое же отношение у сотрудников

И сравните, что было бы если б мы исходили из бизнес-процесса и его паспорта - переписали активы оттуда, взяли владельцев из паспортов, провели риски с участием владельцев активов..

Вот.. И если речь про ИСО 27001,
то первоначально нужно прочитать хотя бы основные документы стандарта.. Или хотя бы ГОСТа
Как то..
ГОСТ Р ИСО/МЭК 27001-2006
ГОСТ Р ИСО/МЭК 27002-2005
ISO 27005 (или хоть BS7799-3)!

Вот что пишет последний про Scope

4.1.2 Область действия СУИБ

Определение области действия СУИБ является одним из наиболее важных решений во всем процессе, поскольку определение области действия описывает, какие элементы будет включать в себя СУИБ. Определение области действия СУИБ полностью зависит от организации.
Областью действия СУИБ может являться вся организация в целом, либо конкретный бизнес процесс или информационная система. Область действия СУИБ должна определяться в терминах характеристик бизнеса, его расположения, ресурсов и технологий (см. BS ISO/IEC 27001:2005,4.2.1 а)), она должна быть четко определенной и завершенной и охватывать различные элементы, упомянутые в BS ISO/IEC 27001:2005.
Решение относительно области действия СУИБ должно учитывать интерфейсы и взаимозависимости этой СУИБ с другими частями организации (находящимися вне области действия СУИБ), другими организациями, поставщиками третьей стороны или любыми другими субъектами, не входящими в СУИБ.
Примером является СУИБ, состоящая только из одного конкретного бизнес процесса. В этом случае, другие части организации, которые необходимы СУИБ для повседневного функционирования (например, кадровые ресурсы, финансы, продажи и маркетинг или коммунальные службы), являются интерфейсами и зависимостями, в дополнение к любым другим интерфейсам и зависимостям, которые могут существовать.
Область действия СУ И Б должна быть подходящей и соответствовать как возможностям
организации, так и ее ответственности за обеспечение информационной безопасности в соответствии с требованиями, определяемыми оценкой рисков и применимыми законодательными и нормативными механизмами контроля. В действительности, такая область действия абсолютно необходима организациям, стремящимся заявить о соответствии BS ISO/IEC 27001:2005 (см. 1.2 в BS ISO/IEC 27001:2005). Также, для того, чтобы заявить об этом соответствии, из области действия СУ И Б не должно быть исключено ничего, что оказывает влияние на способность и/или ответственность организации за обеспечение информационной безопасности в соответствии с требованиями, определяемыми оценкой рисков и применимыми нормативными требованиями.

Вот этот 4.2.1
Область действия и границы СМИБ согласно ISO 27001 определяются «в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий, а также включая детальную информацию и обоснование для любых исключений из области действия»

Другими словами ОД будет считаться определенной, если указаны, входящие в данную ОД:
1) Направления бизнеса, его основные характеристики и бизнес процессы
2) Структурные подразделения, филиалы и прочие структурные единицы организации
3) Площадки: офисы, цеха, склады и т.п. и их расположение
4) ИТ активы (оборудование, ПО)
5) Информационные активы

Пересечение всех этих множеств и образует ОД.
Важно также, чтобы любые исключения из ОД были описаны и обоснованы. Т.е. при определении ОД вы должны описывать не только то, что в нее входит, но также и то, что в нее не включено, с указанием причин, по которым вы что-то исключаете из ОД.

"корпоративная сеть" - в наше время это вся организация. Если банк больше среднего, то желание объять не объятное может привести к пшику - все захлебнется на начальном уровне.

Т.к. вопрос о сертификации не стоит (??...зачем тогда все мутить? есть более простой вариант - СТО БР) то согласуйте с бизнесом несколько их наиболее критичных процесов, задокументируйте выбор - это и будут Ваши основные процессы. Вспомогательные процессы остануться теже.

дальше все как я уже писал - в процессах выбираете наиболее критичные активы, по ним наиболее критичные риски. Везде должны быть задокументированны эти контрольные уровни критичности, ниже которых вы не будете учитывать активы и риски.

Совершенно согласен с вами, об чем и речь.. еще и при условии, что я один в этом направлении

1. Мы не банк, я отмечал уже ранее как-то
2. Спускание приказа сверху так-то вообще в нашей текущей жизни – это само по себе достаточный повод, чтоб все мутить и моего мнения никто не спрашивал. Тут вот хоть область действия б изменить – вот о чем речь..

Совет ваш понял, спасибо.
Я в этом направлении и думал.. хотел скорректировать свое понимание

сорри, не читал


Если область действия спустили сверху приказом, то изменить её границы нельзя! Какими бы нелепыми они не были. Можно обоснованно уменьшить объем работы.

возьмите максимально крупные процессы, мысленно сломайте каждый, если влияние процесса на общий бизнес не превысит заданный вами, или бизнесом, критерий, то исключайте процесс из обработки (но не из области действия).

Оформите все протоколом заседания Комитета ИБ - получите обоснование и реальный объем работы.