понедельник, 1 марта 2021 г.

Комплект типовых документов по ISO/IEC 27001:2013


Я выступаю за свободный доступ к информации, в частности, за доступ к шаблонам документов по информационной безопасности, что позволяет значительно сократить время на поиск и разработку типовых документов и уделить больше времени процессам безопасности на практике. Хотя никакой ценности "рыба" не несет (разве что документы, связанные с выходом новой нормативки либо стандартов), консалтинговые компании стараются на этом всячески подзаработать.

Ниже представлен минимальный набор документов, необходимых для прохождения сертификации ISO/IEC 27001, а также даны ссылки на шаблоны и примеры этих документов. 

При составлении данного перечня опирался на требования приложения А стандарта ISO 27007-2020 и рекомендации IT-Task. Шаблоны искал в знаменитых ISO 27001 Toolkit от iso27001security, CertiKit, Advisera и аккаунте Андрея Прозорова на Patreonвтор постоянно пополняет свой «ISMS Implementation Toolkit» новыми шаблонами, рекомендациями и интеллект-картами).

Большинство документов гуглятся по запросу: «Название документа» (ext:pdf OR ext:docx OR ext:doc OR ext:xlsx OR ext:xls)

Номер пункта стандарта ISO 27001

Варианты названий документов

Ссылка на шаблоны/примеры документов

русский

английский

4.3

Область действия СУИБ / Information Security Context, Requirements and Scope

-

1

5.2, 6.2

Политика СУИБ/ Декларация ИБ/ Концепция ИБ/ ISMS Policy + Политика информационной безопасности / Information Security Policy

1, 2, 3, 4

1, 2, 3, 4

5.3

Положение о ролях / Положение об управлении ролями / Guideline for Roles & Responsibilities in
Information Asset Management

1

1, 2, 3, 4

6.1.2, 6.1.3

Процедура управления рисками ИБ/ Методика оценки рисков ИБ/ Методология оценки и обработки рисков / Risk Assessment and Treatment Process

1, 2

1

6.1.3 d)

Положение о применимости / Положение о применимости механизмов (мер) контроля/ Соглашение о применимости контролей / Декларация о применимости (Statement of Applicability, SoA)

1

1

7.2 d)

Записи о степени подготовки, навыках, опыте и квалификации

-

-

7.5.1 b)

Процедура управления документами / Процедура управления записями / Procedure for Document and Record Control

1

1

8.2

Отчет об оценке рисков ИБ / Risk Assessment Report

-

1, 2

8.3

План устранения рисков / План обработки рисков / Risk Treatment Plan

1

1

9.1

Мониторинг и измерение результатов / Политики контроля эффективности СУИБ / Logging and Monitoring Policy

-

1, 2

9.2 g)

Программа внутреннего аудита / Порядок внутреннего аудита / Методика проведения оценки состояния системы управления информационной безопасностью / ISMS internal audit procedure/ Supplier Information Security Evaluation Process

1

1, 2

9.2 g)

Результаты внутренних аудитов / Internal Audit Report

-

1, 2

9.3

Результаты анализа со стороны руководства / Management Review Minutes

-

1, 2, 3

10.1

Порядок и устранение неисправностей / Несоответствия и корректирующие действия / Corrective Action Procedure / Procedure for the Management of Nonconformity

1*

1, 2

10.1

Результаты корректирующих действий

1*

1

A.8.1.1

Реестр активов / Материально-технические ресурсы активов / Перечень ИС и сервисов / Guideline for Information Asset Valuation

 

1, 2, 3

A.8.1.3

Политика допустимого (приемлемого) использования / Допустимое использование активов / Acceptable Use Policy

1

1, 2

A.9.1.1

Политика управления доступом

1

 

A.12.1.1

Процессы управления IT / Standard Operating Procedure / Security Procedures for IT Department

1*, 2*

1, 2

A.12.4.1, A.12.4.3

Журналы пользовательских действий, исключений и событий безопасности

-

-

A.14.2.5

Принципы разработки защищенной системы / Secure Development Policy + Principles for Engineering Secure Systems

-

1, 2

A.15.1.1

Политика безопасности поставщика / Стандарт информационной безопасности для поставщиков / Information Security Policy for Supplier Relationships

1, 2

1, 2

A.16.1.5

Процедура управления инцидентами / Инструкция по управлению инцидентами ИБ / Information Security Incident Response Procedure

1, 2, 3

1, 2

A.17.1.2

Процедуры непрерывности бизнеса / Business Continuity Plan

1

1, 2

A.18.1.1

Юридические, регулирующие договорные требования / Legal, Regulatory and Contractual Requirements

-

1

                             

Примечание: *  - шаблоны не из сферы ИТ, но смысл понятен.

Другие шаблоны типовых документов по информационной безопасности можно скачать со следующих сайтов: SecurityPolicy.ru, SANS, Washington University in St. Louis.

P.S. коллеги, если вы знаете, где еще можно найти шаблоны документов по СУИБ (СМИБ), пишите в комментариях, я добавлю.