СУИБ: Заявление о применимости (SoA)

СУИБ: Заявление о применимости (SoA)
Если вы когда-нибудь внедряли СУИБ по ISO 27001, то знаете, что необходимо (и это требование стандарта, 6.1.3d) разработать "Statement of Applicability" (SoA, Заявление о применимости), в котором вы должны описать какие меры/контроли из Приложения А "Reference control objectives and controls" (Базовые цели управления и меры по управлению) применимы и внедрены в организации.

В стандарте не даются рекомендации/требования по составлению документа, но он очень важный и полезный, поэтому решил кратко написать свои мысли о нем.

1. Лучше всего делать документ в Excel. В нем, ожидаемо, удобно работать с таблицами.

2. Обязательное требование стандарта - контроль версионности документов. Поэтому стоит в файле сделать отдельный лист с таблицей по версиям. Наш вариант состоит из таких столбцов:
  • Author (Автор)
  • Reviewed by (Кто проверил, у нас это CISO)
  • Approved by (Кто утвердил, у нас это Председатель Комитета по ИБ)
  • Date (Дата)
  • Version (Версия)
3. Если вы выходите на сертификацию, то крайне желательно делать документ на английском языке или двуязычным. Обратите внимание, что SoA необходимо будет оправить в орган по сертификации...

4. Основную таблицу документа рекомендую составить из следующих столбцов:
  • ID (Номер меры из Приложения А)
  • Control (Текст на английском, копи-паст из Приложения А стандарта)
  • Контроль (Текст на русском, я стараюсь делать 2 языка текста требований, так с ними работать удобнее)
  • Applicability (Применимость, Да/Нет)
  • Justification of inclusion or exclusion (Обоснование применимости / исключения)
  • Organizational controls (Принятые организационные меры, краткое описание)
  • Technical controls (Принятые технические меры, краткое описание)
  • Documents and records (Документы и записи, достаточно наименований (без полных реквизитов, версий и дат), для записей, если их много, достаточно обобщенных групп: "приказы", "протоколы", "планы" и пр.)
  • Links (Ссылки, аудиторам понравится, если у вас тут будут ссылки на внутренний сетевой диск с документами и записями, но это не критично)
5. Некоторые консультанты рекомендуют добавлять столбцы "Уровень зрелости", "Ссылка на реестр рисков", "Ответственный", но я считаю их избыточными (усложняют заполнение, дополнительной ценности почти не несут),

6. Мало кто это делает, но я рекомендую (это рекомендация, а не требование) создать и заполнить еще один лист - таблицу, но не c мерами из Приложения А, а с положениями-требованиями из текстовой части стандарта (по сути, именно их и будут у вас проверять на аудите). Таблица будет схожая, но, очевидно, что без полей "Applicability" и "Justification of inclusion or exclusion", а поле "Technical control" в большинстве случаев будет пустым.

Заполнение такой таблицы поможет понять какие еще проблемные зоны остались, что надо успеть улучшить до аудита. В рабочей версии документа, которую вы НЕ будете показывать аудитору, стоит для визуализации добавить столбец Compliance (Соответствие), но об этом чуть ниже. 

7. Сохраняйте старые версии SoA, это полезно для понимания того, как развивается система ИБ...

8. Я обычно добавляю еще один "технический" лист с текстом, который используется для выпадающих списков (для столбцов Applicability и Compliance).

Это пожалуй все, что я хотел рассказать про SoA для целей сертификации СУИБ по ISO 27001.

Но у такого подхода/документа, для меня появилось еще одно практическое применение. Я использую схожие таблицы для своей самооценки ИБ, особенно это полезно перед внешними аудитами. Таблица будет чуть меняться, но суть остается прежней, вот мои стандартные столбцы для оценки по определенным критериям (в моем случае это часто уже не 27001, а другие критерии аудита):
  • ID requirement (ID требования / критерия аудита)
  • Text requirement (Текст требования / критерия аудита)
  • Текст требования (Текст требования / критерия аудита на русском языке, если есть хороший перевод)
  • Short descriptions of requirements (Краткое описание требования, полезно если они длинно сформулированы)
  • ISO 27001 (Ссылки - маппинг с ISO 27001) 
  • Organizational controls (Принятые организационные меры, краткое описание)
  • Technical controls (Принятые технические меры, краткое описание)
  • Documents and records (Документы и записи)
  • Comments (Комментарии)
Методом проб я для себя выбрал вот такую шкалу для Compliance:
  • 100% - Все супер, выполнено полностью, есть подтверждающие свидетельства, происходит постоянное улучшение
  • 95% - Выполняется, но есть вопросы к актуальности / рациональности / эффективности, есть что улучшить (и это можно заметить)
  • 80% - Выполняется большая часть, но могут быть выявлены несоответствия
  • 50% - Что-то сделано, есть что показать аудитору
  • 20% - Что-то сделано, но мало
  • 0% - Все плохо, ничего не сделано
  • N/A - Не применимо
Я раскрашиваю ячейки в следующие цвета:
  • 100% - зеленый
  • 95% - светло зеленый
  • 80% - желтый
  • 50% - оранжевый
  • 20% - красный
  • 0% - ярко красный
  • N/A - зеленый, текст красный

Вот такие идеи и мысли про SoA. Надеюсь, что полезно...
Alt text

Andrey Prozorov

Информационная безопасность в России и мире