Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

SoA и ПДн (требования ФСТЭК)

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Если вы изучали хороший международный стандарт ISO27001, то, вероятно, помните документ "Statement of Applicability" (SoA - "Соглашение о применимости контролей" / "Декларация о применимости", см. п.4.2.1 j). Этот документ является обязательным для прохождения сертификации. 
Так о документе говорит стандарт:
п.4.2.1 j) Prepare a Statement of Applicability.
A Statement of Applicability shall be prepared that includes the following:
1)  the control objectives and controls, selected in 4.2.1g) and the reasons for their selection;
2)  the control objectives and controls currently implemented (see 4.2.1e)2)); and
3)  the exclusion of any control objectives and controls in Annex A and the justification for their exclusion.
NOTE: The Statement of Applicability provides a summary of decisions concerning risk treatment. Justifying exclusions provides a cross-check that no controls have been inadvertently omitted. 
п.4.2.1 j) Подготовить Положение о применимости, которое включает в себя следующее:
1) цели и меры управления, выбранные в 4.2.1, перечисление g), и обоснование этого выбора;
2) цели и меры управления, реализованные в настоящее время (см. 4.2.1, перечисление e), 2));
3) перечень исключенных целей и мер управления, указанных в Приложении A, и процедуру обоснования их исключения.
Примечание - Положение о применимости содержит итоговые решения, касающиеся обработки рисков. Обоснование исключений предусматривает перекрестную проверку, позволяющую определить, что ни одна мера управления не была случайно упущена.
Суть документа проста: мы готовим таблицу из 133 контролей стандарта ISO27001 (Annex A), в которой для каждого контроля пишем применим/не применим и указываем какими средствами (СЗИ, орг.меры и документы).

А причем тут ПДн? Все просто, новый документ ФСТЭК (SOISO) предполагает набор базовых мер, на которые должен ориентироваться оператор ПДн. Оператор в некоторых случаях (о них напишу отдельно позже) может обоснованно сократить перечень мер, но должен четко понимать какие использует, почему и как. Поэтому предлагаю использовать аналог и с точки зрения построения СЗПДн. Чтобы иностранное название не резало глаз и слух, предлагаю использовать такой вариант: "Положение о применимости базовых мер по обеспечению безопасности ПДн". Аналогично SoA его удобно будет представить в таблице со следующими столбцами:
  1. Идентификатор меры (согласно SOISO)
  2. Применимо/Не применимо
  3. Перечень мер / Обоснование отсутствия мер
  4. Перечень регламентирующих документов
Документ составляется довольно просто и в итоге мы получаем следующее:
  • ясное понимание какие меры используются и каким образом они реализованы;
  • в случае отсутствия мер (для новых и модернизируемых СЗПДн), мы сможем спланировать их внедрение (некая вариация gap-анализа);
  • удобный инструмент для внутренних/внешних аудиторов (напомню, что по ПП1119 необходимо проводить регулярный контроль не реже одного раза в 3 года);
  • удобный инструмент для взаимодействия с регулирующими органами.
Я обязательно включу этот документ при пересмотре моего видения перечня локальных актов оператора ПДн. А сделаю я это уже совсем скоро...



Дополнительно можете посмотреть:

    Оцените материал:
    Total votes: 141
     
    Комментарии в Facebook
     

    Вы сообщаете об ошибке в следующем тексте:
    Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.