Так о документе говорит стандарт:
п.4.2.1 j) Prepare a Statement of Applicability.
A Statement of Applicability shall be prepared that includes the following:
1) the control objectives and controls, selected in 4.2.1g) and the reasons for their selection;
2) the control objectives and controls currently implemented (see 4.2.1e)2)); and
3) the exclusion of any control objectives and controls in Annex A and the justification for their exclusion.
NOTE: The Statement of Applicability provides a summary of decisions concerning risk treatment. Justifying exclusions provides a cross-check that no controls have been inadvertently omitted.
п.4.2.1 j) Подготовить Положение о применимости, которое включает в себя следующее:Суть документа проста: мы готовим таблицу из 133 контролей стандарта ISO27001 (Annex A), в которой для каждого контроля пишем применим/не применим и указываем какими средствами (СЗИ, орг.меры и документы).
1) цели и меры управления, выбранные в 4.2.1, перечисление g), и обоснование этого выбора;
2) цели и меры управления, реализованные в настоящее время (см. 4.2.1, перечисление e), 2));
3) перечень исключенных целей и мер управления, указанных в Приложении A, и процедуру обоснования их исключения.
Примечание - Положение о применимости содержит итоговые решения, касающиеся обработки рисков. Обоснование исключений предусматривает перекрестную проверку, позволяющую определить, что ни одна мера управления не была случайно упущена.
А причем тут ПДн? Все просто, новый документ ФСТЭК (SOISO) предполагает набор базовых мер, на которые должен ориентироваться оператор ПДн. Оператор в некоторых случаях (о них напишу отдельно позже) может обоснованно сократить перечень мер, но должен четко понимать какие использует, почему и как. Поэтому предлагаю использовать аналог и с точки зрения построения СЗПДн. Чтобы иностранное название не резало глаз и слух, предлагаю использовать такой вариант: "Положение о применимости базовых мер по обеспечению безопасности ПДн". Аналогично SoA его удобно будет представить в таблице со следующими столбцами:
- №
- Идентификатор меры (согласно SOISO)
- Применимо/Не применимо
- Перечень мер / Обоснование отсутствия мер
- Перечень регламентирующих документов
Документ составляется довольно просто и в итоге мы получаем следующее:
- ясное понимание какие меры используются и каким образом они реализованы;
- в случае отсутствия мер (для новых и модернизируемых СЗПДн), мы сможем спланировать их внедрение (некая вариация gap-анализа);
- удобный инструмент для внутренних/внешних аудиторов (напомню, что по ПП1119 необходимо проводить регулярный контроль не реже одного раза в 3 года);
- удобный инструмент для взаимодействия с регулирующими органами.
Дополнительно можете посмотреть:
