Statement of Applicability to jeden z najważniejszych dokumentów w ISMS, i nikt nie jest podekscytowany jego tworzeniem. To lista główna wszystkich rozważonych przez organizację kontroli bezpieczeństwa - tych zaimplementowanych i tych świadomie pominiętych, z uzasadnieniami. Audytorzy będą o nią pytać. Zarząd musi ją rozumieć. Zespół ds. bezpieczeństwa musi się nią kierować na co dzień.
W CISO Assistant SoA buduje się poprzez Applied Controls - konkretne środki bezpieczeństwa faktycznie wdrażane przez organizację. Nie teoretyczne pozycje “powinniśmy to zrobić”, lecz działania “robimy to, oto jak to działa”. Poniżej opiszę, jak stworzyć strukturę kontroli, zorganizować ją i powiązać z resztą ISMS.
Jak wyglądają Applied Controls w praktyce
Applied Control to konkretny, realny środek bezpieczeństwa. Oto przykłady pokazujące właściwy poziom szczegółowości:
- “User and Access Management Procedure” obejmujący procesy onboarding i offboarding realizowane przez JumpCloud
- “Encrypted Drives” - szyfrowanie całego dysku na wszystkich firmowych laptopach za pomocą FileVault i BitLocker
- “ESET Endpoint Antivirus” wdrożony na wszystkich stacjach roboczych przez MDM
- “Information Backup” - codzienne kopie zapasowe baz produkcyjnych z przechowywaniem przez 30 dni
Kontrole mogą być politykami (zapisanymi zasadami), procesami (udokumentowanymi procedurami), środkami technicznymi (oprogramowanie, konfiguracja sprzętu) lub fizycznymi (zamki, kamery, systemy gaśnicze). Podział na kategorie ułatwia myślenie o tym, co już macie i czego brakuje.
| Kategoria | Zakres | Przykłady |
|---|---|---|
| Policy | Zapisywane zasady i zobowiązania | Information Security Policy, Acceptable Use Policy, Password Policy |
| Process | Udokumentowane procedury stosowane przez pracowników | Onboarding/offboarding, przeglądy dostępu, change management |
| Technical | Środki oparte na technologii | MFA, szyfrowanie, firewalle, antywirus, DLP, monitoring |
| Physical | Fizyczne środki bezpieczeństwa | Kontrola dostępu do biur, CCTV, UPS, zabezpieczenie okablowania |
Buduj bibliotekę kontroli
Przejdź do Governance > Applied Controls i zacznij tworzyć kontrole systematycznie. Kuszące jest przejście od razu do środków technicznych, ale zacznij od kontroli organizacyjnych - dają bazę, na której opiera się reszta.
Kontrole organizacyjne (Annex A.5)
Kontrole zarządzania ISMS określają, kto co robi i jak podejmowane są decyzje. Stwórz kontrole dla ISMS Roles and Responsibilities (A.5.2) obejmujące COO, CISO i członków zespołu ds. bezpieczeństwa oraz ich zakres odpowiedzialności. Segregation of Duties (A.5.3) dokumentuje sposób rozdzielenia obowiązków, aby uniknąć konfliktu interesów. Contact with Authorities and Interest Groups (A.5.5) opisuje współpracę z regulatorami, organami ścigania i forumami ds. bezpieczeństwa.
W zakresie obróbki informacji potrzebujesz Information Classification and Labelling (A.5.12) definiującego kategorie wrażliwości danych, np. Public, Internal, Confidential, Legally Protected. Acceptable Use of Information (A.5.10) ustala zasady postępowania pracowników z informacjami objętymi klasyfikacją.
Zarządzanie dostawcami wymaga minimum dwóch kontroli. Information Security in Supplier Relationships (A.5.19) obejmuje ocenę i nadzór nad bezpieczeństwem dostawców - nasz przewodnik po zarządzaniu bezpieczeństwem dostawców opisuje to szczegółowo - a Supplier Management Process (A.5.21) to ciągły monitoring, przeglądy i change management. Dodaj Cloud Security Guidelines (A.5.23) z zaleceniami bezpieczeństwa dla usług w chmurze.
W zakresie zgodności stwórz Legal Documents and Compliance Management (A.5.31) do śledzenia wymogów prawnych, Software Licensing Compliance (A.5.32) do zapewnienia prawidłowego licencjonowania oraz Audit Management Procedure (A.5.35) opisującą, jak organizujecie i śledzicie audyty.
Kontrole dotyczące osób (Annex A.6)
Obejmują ludzki aspekt bezpieczeństwa - często ważniejszy, niż chcą przyznać zespoły techniczne.
| Control Name | Ref ID | Category | Zakres |
|---|---|---|---|
| Employee Screening Process | A.6.1 | Process | Weryfikacja kandydatów przed zatrudnieniem |
| Employment Terms - Security Obligations | A.6.2 | Policy | Obowiązki bezpieczeństwa w umowach o pracę |
| Security Awareness, Education and Training | A.6.3 | Process | Regularne szkolenia bezpieczeństwa dla wszystkich pracowników |
| Offboarding Process - Asset Return | A.6.5 | Process | Zwrot sprzętu, cofnięcie dostępu, procedury odejścia |
| NDA and Confidentiality Agreements | A.6.6 | Policy | Postanowienia o poufności w umowach |
Kontrole zarządzania dostępem
Zarządzanie dostępem to obszar, w którym najczęściej widzimy luki - nawet gdy organizacje twierdzą, że mają go pod kontrolą.
| Control Name | Ref ID | Category | Zakres |
|---|---|---|---|
| User and Access Management Procedure | A.5.15 | Process | Zasady onboarding/offboarding realizowane przez JumpCloud |
| Privileged Access Management | A.8.2 | Process | Kontrola dostępu administracyjnego i root |
| Regular Access Review | A.5.18 | Process | Okresowy przegląd uprawnień dostępu |
| Source Code Access Control | A.8.4 | Technical | Dostęp do repozytoriów według projektu i roli |
| MFA | A.8.5 | Technical | Multi-factor authentication w systemach krytycznych |
| 1Password - Password Manager | A.5.17 | Technical | Korporacyjne zarządzanie hasłami dla wszystkich credencjałów |
Przeglądy dostępu są uciążliwe w przeprowadzaniu. Wiemy. Ale alternatywą jest dowiedzenie się podczas incydentu, że były kontrahent nadal ma uprawnienia administracyjne do produkcji. To gorsze.
Kontrole fizyczne (Annex A.7)
| Control Name | Ref ID | Category | Zakres |
|---|---|---|---|
| Office Security | A.7.1 | Physical | Fizyczne obwody bezpieczeństwa i kontrola wejścia w każdym biurze |
| Secure Areas and Zones | A.7.6 | Physical | Podział stref bezpieczeństwa z monitoringiem wideo |
| Clear Desk and Clear Screen Policy | A.7.7 | Policy | Minimalizowanie widocznych wrażliwych informacji |
| UPS and Power Protection | A.7.11 | Physical | Zasilacze awaryjne i zabezpieczenie elektryczne |
| Cabling Security | A.7.12 | Physical | Prowadzenie okablowania sieciowego zapobiegające nieautoryzowanemu dostępowi |
| IT Equipment Maintenance | A.7.13 | Process | Regularne przeglądy i harmonogram konserwacji |
| Data Retention and Deletion Procedure | A.7.14 | Process | Bezpieczna utylizacja i ponowne wykorzystanie sprzętu i nośników |
Kontrole techniczne (Annex A.8)
To zwykle największa sekcja - i słusznie. To praktyczne środki bezpośrednio chroniące wasze systemy.
W zakresie endpoint i bezpieczeństwa urządzeń potrzebujesz kontroli dla JumpCloud MDM (A.8.1) do zarządzania urządzeniami, JumpCloud Storage Media Control (A.7.10) dla nośników wymiennych i szyfrowania urządzeń, JumpCloud System Updates (A.8.8) do automatycznego łatania, ESET Endpoint Antivirus (A.8.7), ESET Web Filtering (A.8.23) do blokowania niebezpiecznych stron oraz Encrypted Drives (A.8.24) dla szyfrowania całego dysku.
Bezpieczeństwo sieci obejmuje UTM FortiGate (A.8.20) jako unified threat management, FortiGate Web Filtering (A.8.23), Networks Separation with VLANs (A.8.22) oraz JumpCloud RADIUS (A.8.21) do uwierzytelniania sieciowego.
Ochrona danych zawiera Encryption of Databases (A.8.24), Google Workspace DLP (A.8.12), Data Masking for Production Data (A.8.11), Information Backup (A.8.13) oraz Information Deletion (A.8.10).
Monitoring i wykrywanie obejmuje Security Monitoring and Alerts (A.8.16), Datadog SIEM (A.8.15) oraz NTP Clock Synchronization (A.8.17) dla spójności logów.
W bezpieczeństwie poczty e-mail udokumentuj możliwości Gmail: Antispam, AV Protection i Sandbox (A.8.7).
Bezpieczeństwo rozwoju wymaga Security Recommendations for Projects (A.8.25), ASVS and Secure Coding Guidelines (A.8.28), Dev/Test/Prod Environment Separation (A.8.31), Security Testing Procedure (A.8.29) oraz Change Management (A.8.32). Change management to kontrola, na którą narzekają najbardziej, a jednocześnie ta, która chroni przed największą liczbą incydentów.
Ciągłość działania zamyka zakres ICT Readiness for Business Continuity (A.5.30), SaaS Redundancy for Critical Services (A.8.14) oraz Capacity Management for Cloud Resources (A.8.6).
Pisz opisy, które coś znaczą
W polu opisu SoA nabiera życia. Dobry opis precyzyjnie informuje czytelnika, co się dzieje, z wystarczającą ilością szczegółów do zrozumienia i weryfikacji kontroli.
Słabe opisy brzmią jak “Mamy kontrolę dostępu” (jaką? w jaki sposób? gdzie?), “Zgodne z A.5.15” (to koliste i nikomu nic nie mówi) albo “Patrz dokument polityki” (bo czytelnik musi sam szukać informacji).
Dobre opisy są konkretne i precyzyjne. “Procesy onboarding/offboarding z zasadami rejestracji użytkowników, wyrejestrowania i przypisania dostępu. Realizowane przez JumpCloud. Nowi pracownicy otrzymują dostęp według szablonów ról. Pracownikom odchodzącym dostęp jest cofany w ciągu 24 godzin od ostatniego dnia pracy.”
Albo “Szyfrowanie całego dysku wymuszane na wszystkich firmowych urządzeniach macOS i Windows przez polityki JumpCloud MDM. FileVault (macOS) i BitLocker (Windows) są wymagane i nie mogą być wyłączone przez użytkowników.”
Albo “Okresowy przegląd uprawnień dostępu użytkowników przeprowadzany kwartalnie. Wszystkie konta uprzywilejowane przeglądane miesięcznie. Wyniki przeglądu udokumentowane, niepoprawne uprawnienia usuwane w ciągu 5 dni roboczych.”
Schemat jest ten sam: czym jest kontrola, jak działa i jak wygląda jej faktyczna implementacja. Jeśli audytor po przeczytaniu opisu ma dodatkowe pytania, opis wymaga dopracowania.
Powiąż kontrole ze scenariuszami ryzyka
Każda Applied Control powinna łagodzić co najmniej jeden scenariusz ryzyka. Jeśli kontrola nie jest powiązana z żadnym ryzykiem, albo jest zbędna, albo brakuje scenariusza ryzyka.
Powiązania wyglądają tak: Unauthorized Data Access jest łagodzone przez MFA, JumpCloud MDM, przeglądy dostępu, szyfrowane dyski, szyfrowanie bazy, DLP, monitoring bezpieczeństwa i zarządzanie bezpieczeństwem dostawców. Unauthorized Network Access obejmują RADIUS, FortiGate UTM, VLANy, MFA i monitoring. Malicious Code zwalczany jest przez antywirus, filtrowanie webowe na wielu warstwach, Gmail AV, aktualizacje systemu, ochronę DNS, monitoring i segmentację sieci.
Data Loss adresowane jest przez procedury backupowe, szyfrowanie, procedury usuwania danych i DLP. Social Engineering łagodzony przez szkolenia, MFA, menedżer haseł, zabezpieczenia poczty, filtrowanie webowe i monitoring. User Error i Operational Errors ograniczane przez szkolenia, bazy wiedzy i change management.
Unavailability obsługiwane przez planowanie ciągłości działania, change management, redundancję SaaS i zarządzanie pojemnością. Fire and flood opierają się na BCP, backupach i bezpieczeństwie fizycznym. Theft and loss obejmuje MDM, szyfrowane dyski i MFA.
Utrzymuj SoA na bieżąco
Struktura kontroli nie jest czymś, co buduje się raz i zapomina. Gdy wdrażasz nową kontrolę, dodaj ją natychmiast i powiąż ze scenariuszami ryzyka oraz wymogami zgodności. Gdy kontrola się zmienia - np. przejście z jednego firewalla na inny - zaktualizuj nazwę i opis. Gdy wycofujesz kontrolę, zmień jej status na “Inactive” zamiast ją usuwać - rejestr historyczny będzie potrzebny do audytów.
Przed audytami przejrzyj wszystkie kontrole, aby upewnić się, że opisy odzwierciedlają rzeczywistość. Podczas przeglądu zarządczego przedstaw podsumowanie SoA z liczbą kontroli według kategorii i statusu.
Statement of Applicability to dokument, który najlepiej pokazuje, że organizacja traktuje bezpieczeństwo poważnie i rozważnie dobiera kontrole. Zbuduj go starannie, utrzymuj rzetelnie - będzie służyć przy każdym audycie, przeglądzie zarządczym i reagowaniu na incydenty. Organizacje mające trudności z audytami zwykle nie są tymi ze słabymi kontrolami. Są tymi, które nie potrafią jasno opisać, co robią i dlaczego.
Gdy Twoja SoA jest gotowa, następnym krokiem jest mapowanie kontroli na wymagania frameworków zgodności dla ISO 27001 i TISAX. Upewnij się, że Twój inwentarz aktywów jest również połączony, aby audytorzy widzieli pełny łańcuch od aktywów przez ryzyka do kontroli. Szerszy obraz tego, jak CISO Assistant obsługuje cały proces ISMS, znajdziesz w artykule dlaczego zespoły wybierają CISO Assistant.
