Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Внедрение СУИБ Положение о применимости.
Protectiva Compliance Manager

Положение о применимости.

Операции с документом
Вверх к Внедрение СУИБ

Положение о применимости.

Послано Максим Гинц в 8.Апрель.2013 12:43

Добрый день.

Подскажите как как поступить.

Вкратце опишу ситуацию. В нашей организации были определены активы и риски для них, в соответствии с методикой по оценке рисков разработанной и принятой у нас в Организации. Те риски которые руководство посчитало неприемлемыми для нашей организации попали в план по обработке рисков (естественно это далеко не все риски).

Риски снижаем, в основном, путем применения мер из приложения А стандарта ISO 27001.

Вопросы:

На сегодняшний момент уже есть задача формирования SoA (положения о применимости) и при попытке его формирования из 134 мер мы используем только порядка 40, так как обрабатываем не все риски, а только те которые являются неприемлемыми. Внимание вопрос, как в положении о применимости внести такие меры, начинающиеся с 5.1.1 и заканчивающиеся А 7.2.2, ведь все применимые меры в положении о применимости должны быть обоснованы, а обоснование ведь только одно - это меры по обработке рисков?

Как не занести ничего лишнего в SoA? Ведь если нет риска (или он не выявлен) то и не должно быть механизма контроля который отображается в SoA как не применимый.

Я так понимаю, что каждую строчку в SoA необходимо обосновать, что "применимость" этого контроля нужна в Организации, и это обоснование можно сделать только опираясь на план по обработке рисков. Это так?

Re: Положение о применимости.

Послано Александр Астахов в 8.Апрель.2013 15:05

SoA должна включать в себя все механизмы контроля из Приложения А к стандарту а также, в случае необходимости, дополнительные механизмы контроля, выбранные организацией для обработки рисков. Для каждого механизма контроля в SoA должно быть указано: применимость, реализованность или неприменимость. Обоснование должно быть приведено только для тех механизмов контроля, которые неприменимы. Для применимых и/или реализованных контролей  в Декларации о применимости обоснование приводить не нужно.

Re: Положение о применимости.

Послано Максим Гинц в 8.Апрель.2013 15:34

Хммм... А какие могут быть обоснования для неприменимости тех или иных методов контроля?

В частности, как же поступать в том случае, если , после анализа рисков, руководство принимает риск как есть и, соответственно, не собирается его обрабатывать и применять методы контроля по обработке этого риска, является ли это основанием для исключения метода контроля из SoA?

 

Re: Положение о применимости.

Послано Александр Астахов в 8.Апрель.2013 16:05

обоснованием может быть: отсутствие соответствующих рисков, либо избыточность данного механизма контроля (когда из без него соответствующие риски являются приемлемыми), либо любые другие соображения, по которым организация не считает возможным его применение

если руководство принимает риск, то это основание для того, чтобы обосновать в SoA неприменение конкретных механизмов контроля. только из механизма контроля не следуют непосредственно риски, т.е. один механизм может влиять на многие риски, совместно с другими контролями. поэтому не достаточно просто указать, что руководство принимает риск. надо пояснить, почему именно данный механизм контроля не применяется.

Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex