Я выступаю за свободный доступ к информации, в частности, за доступ к шаблонам
документов по информационной безопасности, что позволяет значительно сократить
время на поиск и разработку типовых документов и уделить больше времени процессам
безопасности на практике. Хотя никакой ценности "рыба" не несет (разве что документы, связанные с выходом новой нормативки либо стандартов), консалтинговые компании стараются на этом всячески подзаработать.
Ниже представлен минимальный набор документов, необходимых для прохождения сертификации ISO/IEC 27001, а также даны ссылки на шаблоны и примеры этих документов.
При составлении данного перечня
опирался на требования приложения А стандарта ISO 27007-2020 и рекомендации IT-Task. Шаблоны искал
в знаменитых ISO
27001 Toolkit от iso27001security, CertiKit, Advisera и аккаунте Андрея
Прозорова на Patreon (автор постоянно пополняет свой «ISMS Implementation Toolkit» новыми шаблонами,
рекомендациями и интеллект-картами).
Большинство документов гуглятся по запросу: «Название документа» (ext:pdf OR ext:docx OR ext:doc OR ext:xlsx OR ext:xls)
|
Номер пункта стандарта ISO 27001 |
Варианты названий документов |
Ссылка на шаблоны/примеры документов |
|
|
русский |
английский |
||
|
4.3 |
Область
действия СУИБ / Information Security Context, Requirements and Scope |
- |
|
|
5.2, 6.2 |
Политика СУИБ/ Декларация ИБ/ Концепция ИБ/ ISMS Policy +
Политика информационной безопасности / Information Security Policy |
||
|
5.3 |
Положение о ролях
/ Положение об управлении ролями / Guideline
for Roles & Responsibilities in
Information
Asset Management
|
||
|
6.1.2, 6.1.3 |
Процедура управления рисками ИБ/ Методика оценки рисков ИБ/ Методология оценки и обработки рисков / Risk Assessment and Treatment Process |
||
|
6.1.3 d) |
Положение о применимости / Положение о применимости механизмов (мер) контроля/ Соглашение о применимости контролей / Декларация о применимости (Statement of Applicability, SoA) |
||
|
7.2 d) |
Записи о степени подготовки, навыках, опыте и квалификации |
- |
- |
|
7.5.1 b) |
Процедура управления документами / Процедура управления записями / Procedure for Document and Record Control |
||
|
8.2 |
Отчет об оценке рисков ИБ / Risk Assessment Report |
- |
|
|
8.3 |
План устранения рисков / План обработки рисков / Risk Treatment Plan |
||
|
9.1 |
Мониторинг и измерение результатов / Политики контроля эффективности СУИБ / Logging and Monitoring Policy |
- |
|
|
9.2 g) |
Программа внутреннего аудита / Порядок внутреннего аудита / Методика проведения оценки состояния системы управления информационной безопасностью / ISMS internal audit procedure/ Supplier Information Security Evaluation Process |
||
|
9.2 g) |
Результаты внутренних аудитов / Internal Audit Report |
||
|
9.3 |
Результаты анализа со стороны руководства / Management Review Minutes |
- |
|
|
10.1 |
Порядок и устранение неисправностей / Несоответствия и корректирующие действия / Corrective Action Procedure / Procedure for the Management of Nonconformity |
1* |
|
|
10.1 |
Результаты корректирующих действий |
1* |
|
|
A.8.1.1 |
Реестр активов / Материально-технические ресурсы активов / Перечень ИС и сервисов / Guideline for Information Asset Valuation |
|
|
|
A.8.1.3 |
Политика допустимого (приемлемого) использования / Допустимое использование активов / Acceptable Use Policy |
||
|
A.9.1.1 |
Политика управления доступом |
|
|
|
A.12.1.1 |
Процессы управления IT / Standard Operating Procedure / Security Procedures for IT Department |
||
|
A.12.4.1, A.12.4.3 |
Журналы пользовательских действий, исключений и событий безопасности |
- |
- |
|
A.14.2.5 |
Принципы разработки защищенной системы / Secure Development Policy + Principles for Engineering Secure Systems |
- |
|
|
A.15.1.1 |
Политика безопасности поставщика / Стандарт информационной безопасности для поставщиков / Information Security Policy for Supplier Relationships |
||
|
A.16.1.5 |
Процедура управления инцидентами / Инструкция по управлению инцидентами ИБ / Information Security Incident Response Procedure |
||
|
A.17.1.2 |
Процедуры непрерывности бизнеса / Business Continuity Plan |
||
|
A.18.1.1 |
Юридические, регулирующие договорные требования / Legal, Regulatory and Contractual Requirements |
- |
|
Примечание: * - шаблоны не из сферы ИТ, но смысл понятен.
Другие шаблоны типовых документов по информационной безопасности можно скачать со следующих сайтов: SecurityPolicy.ru, SANS, Washington University in St. Louis.
P.S. коллеги, если вы знаете, где еще можно найти шаблоны документов по СУИБ (СМИБ), пишите в комментариях, я добавлю.
