Я выступаю за свободный доступ к информации, в частности, за доступ к шаблонам
документов по информационной безопасности, что позволяет значительно сократить
время на поиск и разработку типовых документов и уделить больше времени процессам
безопасности на практике. Хотя никакой ценности "рыба" не несет (разве что документы, связанные с выходом новой нормативки либо стандартов), консалтинговые компании стараются на этом всячески подзаработать.
Ниже представлен минимальный набор
документов, необходимых для прохождения сертификации ISO/IEC 27001, а также
даны ссылки на шаблоны и примеры этих документов.
При составлении данного перечня
опирался на требования приложения А стандарта ISO 27007-2020 и рекомендации IT-Task. Шаблоны искал
в знаменитых ISO
27001 Toolkit от iso27001security, CertiKit, Advisera и аккаунте Андрея
Прозорова на Patreon (автор постоянно пополняет свой «ISMS Implementation Toolkit» новыми шаблонами,
рекомендациями и интеллект-картами).
Большинство документов гуглятся по
запросу: «Название документа» (ext:pdf OR ext:docx OR ext:doc OR ext:xlsx OR ext:xls)
|
Номер пункта стандарта ISO 27001
|
Варианты названий
документов
|
Ссылка на шаблоны/примеры
документов
|
|
русский
|
английский
|
|
4.3
|
Область
действия СУИБ / Information Security Context, Requirements and Scope
|
-
|
1
|
|
5.2, 6.2
|
Политика СУИБ/ Декларация ИБ/ Концепция ИБ/ ISMS Policy +
Политика информационной безопасности / Information Security Policy
|
1, 2, 3, 4
|
1, 2, 3, 4
|
|
5.3
|
Положение о ролях
/ Положение об управлении ролями / Guideline
for Roles & Responsibilities in
Information
Asset Management
|
1
|
1, 2, 3, 4
|
|
6.1.2, 6.1.3
|
Процедура
управления рисками ИБ/ Методика оценки рисков ИБ/ Методология оценки и
обработки рисков / Risk Assessment and Treatment Process
|
1, 2
|
1
|
|
6.1.3 d)
|
Положение
о применимости / Положение о
применимости механизмов (мер) контроля/ Соглашение о применимости контролей / Декларация о
применимости (Statement of Applicability, SoA)
|
1
|
1
|
|
7.2 d)
|
Записи о
степени подготовки, навыках, опыте и квалификации
|
-
|
-
|
|
7.5.1 b)
|
Процедура
управления документами / Процедура управления записями / Procedure for Document and Record Control
|
1
|
1
|
|
8.2
|
Отчет об
оценке рисков ИБ / Risk Assessment Report
|
-
|
1, 2
|
|
8.3
|
План
устранения рисков / План обработки рисков / Risk Treatment Plan
|
1
|
1
|
|
9.1
|
Мониторинг
и измерение результатов / Политики контроля эффективности СУИБ / Logging and Monitoring Policy
|
-
|
1, 2
|
|
9.2 g)
|
Программа
внутреннего аудита / Порядок внутреннего аудита / Методика проведения оценки
состояния системы управления информационной безопасностью / ISMS internal audit procedure/ Supplier Information Security
Evaluation Process
|
1
|
1, 2
|
|
9.2 g)
|
Результаты
внутренних аудитов / Internal Audit
Report
|
-
|
1, 2
|
|
9.3
|
Результаты
анализа со стороны руководства / Management Review Minutes
|
-
|
1,
2, 3
|
|
10.1
|
Порядок и
устранение неисправностей / Несоответствия и корректирующие действия / Corrective Action Procedure / Procedure for the Management of Nonconformity
|
1*
|
1,
2
|
|
10.1
|
Результаты
корректирующих действий
|
1*
|
1
|
|
A.8.1.1
|
Реестр активов
/ Материально-технические ресурсы активов / Перечень ИС и сервисов / Guideline for Information Asset Valuation
|
|
1,
2, 3
|
|
A.8.1.3
|
Политика
допустимого (приемлемого) использования / Допустимое использование активов / Acceptable Use Policy
|
1
|
1, 2
|
|
A.9.1.1
|
Политика
управления доступом
|
1
|
|
|
A.12.1.1
|
Процессы управления IT / Standard Operating Procedure / Security Procedures
for IT Department
|
1*, 2*
|
1,
2
|
|
A.12.4.1,
A.12.4.3
|
Журналы
пользовательских действий, исключений и событий безопасности
|
-
|
-
|
|
A.14.2.5
|
Принципы разработки защищенной системы / Secure Development Policy + Principles for
Engineering Secure Systems
|
-
|
1,
2
|
|
A.15.1.1
|
Политика
безопасности поставщика / Стандарт информационной безопасности для
поставщиков / Information
Security Policy for Supplier Relationships
|
1, 2
|
1,
2
|
|
A.16.1.5
|
Процедура
управления инцидентами / Инструкция по управлению инцидентами ИБ / Information Security Incident Response Procedure
|
1, 2, 3
|
1,
2
|
|
A.17.1.2
|
Процедуры
непрерывности бизнеса / Business Continuity Plan
|
1
|
1,
2
|
|
A.18.1.1
|
Юридические,
регулирующие договорные требования / Legal,
Regulatory and Contractual Requirements
|
-
|
1
|
Примечание: * - шаблоны не
из сферы ИТ, но смысл понятен.
Другие шаблоны типовых документов по информационной
безопасности можно скачать со следующих сайтов: SecurityPolicy.ru,
SANS, Washington University in St. Louis.
P.S. коллеги, если вы знаете,
где еще можно найти шаблоны документов по СУИБ (СМИБ), пишите в комментариях, я
добавлю.
