+380676929691
info@bic-cert.com.ua
Лого BIC
Ми з Вами зв'яжемося

Для заповнення цієї форми увімкніть JavaScript у браузері.

Перевірити сертифікат

Statement of Applicability: що це і чому без нього не працює система

У багатьох компаніях створення Системи менеджменту інформаційної безпеки (СМІБ) зводиться до набору політик та кількох базових процедур — наприклад, “Політика інформаційної безпеки”, “Політика паролів” та “Методика проведення внутрішнього аудиту”. Це створює ілюзію впровадження системи. Проте без Statement of Applicability (SoA) — система нежиттєздатна.

SoA — не просто документ. Це наріжний камінь СМІБ, який:

  • визначає, які саме контролі з Додатку A ISO/IEC 27001:2022 застосовуються в компанії;
  • пояснює, чому деякі контролі не застосовуються;
  • вказує, як реалізовано застосовані контролі;
  • прив’язує відповідальність до конкретних осіб або ролей;
  • є засобом перевірки для аудиторів, замовників, партнерів і самої організації.

📌 Важливо: Додаток A не є рекомендаційним — він обов’язковий до розгляду. Ваша організація має пройтись по кожному з 93 контролів і дати чітку відповідь щодо застосовності кожного з них.

 

Що містить SoA і скільки контролів?

Згідно з ISO/IEC 27001:2022, Додаток A містить 93 контролі, згруповані у 4 категорії:

  1. Організаційні заходи (37)
  2. Заходи, пов’язані з людьми (8)
  3. Фізичні заходи (14)
  4. Технологічні заходи (34)

У SoA компанія повинна вказати всі 93 контролі — незалежно від того, чи застосовуються вони, — і надати обґрунтування для кожного, якщо певні не застосовуються.

Як виглядає реальний SoA? — приклад фрагмента

Контроль (з Додатку A)

Застосовується?

Обґрунтування

Як реалізовано

Відповідальний

A.5.11Політика прийнятного використання

Компанія надає обладнання та канали зв’язку працівникамСМІБ-П-02 «Політика прийнятного використання активів», доведена до всіх співробітників, включена до вступного інструктажуВідповідальний за інформаційну безпеку (VIB)
A.7.4Розділення обов’язків

Усі ІТ-операції виконує одна особа, ризик визнано прийнятнимНемає потреби, процеси ручні та не автоматизовані
A.8.9Безпечне знищення носіїв

У компанії використовуються флеш-накопичувачі, диски, офісне обладнанняСМІБ-П-11 «Політика безпечної утилізації інформаційних носіїв та обладнання» + форма акту утилізаціїСистемний адміністратор
A.5.23Контроль змін

В компанії часто оновлюються CRM, ERPСМІБ-П-16 «Політика управління конфігураціями», журнал змін ведетьсяКерівник ІТ-відділу

Чому без SoA — СМІБ не працює

  1. Немає основи для перевірки

Аудитор не може підтвердити, що компанія врахувала всі потенційні ризики і впровадила відповідні заходи.

  1. Немає обґрунтування

Якщо контроль відсутній — чому? Відповідь “нам не потрібно” без аналізу ризиків — неприйнятна.

  1. Немає прозорості

Замовник не бачить, чи справді компанія управляє інформаційною безпекою, чи просто має формальні документи.

  1. Немає управління відповідальністю

SoA прив’язує контролі до конкретних осіб. Це забезпечує виконання, контроль і подальший моніторинг.

 

⚠️ Поширена помилка: “у нас уже є політики — значить, є система”

Так, політики — важливі. Але без SoA ви:

  • не визначили, чи охоплюють ці політики всі сфери;
  • не обґрунтували, що не використовується;
  • не зафіксували, хто і як це виконує.
  • не побачили, яких документів бракує.

🧩 SoA — це не ще один документ. Це — мапа контролю інформаційної безпеки в реальності.

 

Як впровадити SoA у вашій компанії

  1. 📋 Перевірте всі 93 контролі з Додатку A

Вивчіть кожен контроль з A.5–A.18, не пропускаючи жодного.

  1. Визначте, які контролі застосовні — і чому

Якщо контроль не застосовується — поясніть це обґрунтовано (наприклад, компанія не зберігає конфіденційних даних на паперових носіях).

  1. 📎 Прив’яжіть кожен контроль до чинної політики, методики чи запису

Наприклад, контроль A.5.17 має бути реалізований через Політику управління конфігураціями (СМІБ-П-16). Якщо документа не існує — його слід створити.

  1. 👤 Призначте відповідального за кожен контроль

Це може бути VIB, ІТ-відділ, керівник напрямку тощо. Без відповідального контроль — мертвий.

  1. 🔁 Регулярно оновлюйте SoA

Після змін у процесах, технологіях або після аудиту. SoA — це “живий” документ, що розвивається разом із компанією.

 

Під час складання SoA швидко виявляються “білі плями” — відсутність політик, записів або відповідальних. Усунення цих прогалин — запорука реальної, а не фіктивної, СМІБ.

Саме SoA допомагає зібрати все докупи: контролі, документи і тих, хто має їх реалізовувати. Це не додаток до СМІБ — це її “скелет”, без якого система не тримається.

Statement of Applicability: що це і чому без нього не працює система

У багатьох компаніях створення Системи менеджменту інформаційної безпеки (СМІБ) зводиться до набору політик та кількох базових процедур — наприклад, “Політика інформаційної безпеки”, “Політика паролів” та “Методика проведення внутрішнього аудиту”. Це створює ілюзію впровадження системи. Проте без Statement of Applicability (SoA) — система нежиттєздатна.

SoA — не просто документ. Це наріжний камінь СМІБ, який:

  • визначає, які саме контролі з Додатку A ISO/IEC 27001:2022 застосовуються в компанії;
  • пояснює, чому деякі контролі не застосовуються;
  • вказує, як реалізовано застосовані контролі;
  • прив’язує відповідальність до конкретних осіб або ролей;
  • є засобом перевірки для аудиторів, замовників, партнерів і самої організації.

📌 Важливо: Додаток A не є рекомендаційним — він обов’язковий до розгляду. Ваша організація має пройтись по кожному з 93 контролів і дати чітку відповідь щодо застосовності кожного з них.

 

Що містить SoA і скільки контролів?

Згідно з ISO/IEC 27001:2022, Додаток A містить 93 контролі, згруповані у 4 категорії:

  1. Організаційні заходи (37)
  2. Заходи, пов’язані з людьми (8)
  3. Фізичні заходи (14)
  4. Технологічні заходи (34)

У SoA компанія повинна вказати всі 93 контролі — незалежно від того, чи застосовуються вони, — і надати обґрунтування для кожного, якщо певні не застосовуються.

Як виглядає реальний SoA? — приклад фрагмента

Контроль (з Додатку A)

Застосовується?

Обґрунтування

Як реалізовано

Відповідальний

A.5.11Політика прийнятного використання

Компанія надає обладнання та канали зв’язку працівникамСМІБ-П-02 «Політика прийнятного використання активів», доведена до всіх співробітників, включена до вступного інструктажуВідповідальний за інформаційну безпеку (VIB)
A.7.4Розділення обов’язків

Усі ІТ-операції виконує одна особа, ризик визнано прийнятнимНемає потреби, процеси ручні та не автоматизовані
A.8.9Безпечне знищення носіїв

У компанії використовуються флеш-накопичувачі, диски, офісне обладнанняСМІБ-П-11 «Політика безпечної утилізації інформаційних носіїв та обладнання» + форма акту утилізаціїСистемний адміністратор
A.5.23Контроль змін

В компанії часто оновлюються CRM, ERPСМІБ-П-16 «Політика управління конфігураціями», журнал змін ведетьсяКерівник ІТ-відділу

Чому без SoA — СМІБ не працює

  1. Немає основи для перевірки

Аудитор не може підтвердити, що компанія врахувала всі потенційні ризики і впровадила відповідні заходи.

  1. Немає обґрунтування

Якщо контроль відсутній — чому? Відповідь “нам не потрібно” без аналізу ризиків — неприйнятна.

  1. Немає прозорості

Замовник не бачить, чи справді компанія управляє інформаційною безпекою, чи просто має формальні документи.

  1. Немає управління відповідальністю

SoA прив’язує контролі до конкретних осіб. Це забезпечує виконання, контроль і подальший моніторинг.

 

⚠️ Поширена помилка: “у нас уже є політики — значить, є система”

Так, політики — важливі. Але без SoA ви:

  • не визначили, чи охоплюють ці політики всі сфери;
  • не обґрунтували, що не використовується;
  • не зафіксували, хто і як це виконує.
  • не побачили, яких документів бракує.

🧩 SoA — це не ще один документ. Це — мапа контролю інформаційної безпеки в реальності.

 

Як впровадити SoA у вашій компанії

  1. 📋 Перевірте всі 93 контролі з Додатку A

Вивчіть кожен контроль з A.5–A.18, не пропускаючи жодного.

  1. Визначте, які контролі застосовні — і чому

Якщо контроль не застосовується — поясніть це обґрунтовано (наприклад, компанія не зберігає конфіденційних даних на паперових носіях).

  1. 📎 Прив’яжіть кожен контроль до чинної політики, методики чи запису

Наприклад, контроль A.5.17 має бути реалізований через Політику управління конфігураціями (СМІБ-П-16). Якщо документа не існує — його слід створити.

  1. 👤 Призначте відповідального за кожен контроль

Це може бути VIB, ІТ-відділ, керівник напрямку тощо. Без відповідального контроль — мертвий.

  1. 🔁 Регулярно оновлюйте SoA

Після змін у процесах, технологіях або після аудиту. SoA — це “живий” документ, що розвивається разом із компанією.

 

Під час складання SoA швидко виявляються “білі плями” — відсутність політик, записів або відповідальних. Усунення цих прогалин — запорука реальної, а не фіктивної, СМІБ.

Саме SoA допомагає зібрати все докупи: контролі, документи і тих, хто має їх реалізовувати. Це не додаток до СМІБ — це її “скелет”, без якого система не тримається.

Щоб відправити коментар вам необхідно авторизуватись.

Дивіться також