Документация под ISO 27001:2013. Сколько ее должно быть и какой?

Система менеджмента информационной безопасности ISO 27001:2013

Скорее всего Вы зададитесь этим вопросом в процессе внедрения в любом случае, но особенно он будет для Вас актуален, если Вы сталкиваетесь с системой менеджмента информационной безопасности, она же СМИБ, СУИБ или ISMS, и стандартом впервые, особенно если Вам достались старые документы предыдущих специалистов. Их слишком много или слишком мало на Ваш взгляд и Вам необходимо решить, что с ними делать дальше. Или Вы в самом начале пути и Вам необходимо создать хотя бы базовый первоначальный план разработки.


Сразу оговорим, что мы приводим здесь сведения, основанные на нашем опыте и знаниях с расчетом на среднюю организации (так скажем корреляция всех наших клиентов в одного), которые ни в коем случае не должны стать эталоном. В каждом отдельно взятом случае все индивидуально – зависит от Ваших процессов, их масштабов и Ваших потребностей. Но вот то, что мы можем сказать точно: в каждой организации, внедряющей у себя ISO/IEC 27001:2013, в обязательном порядке должны быть следующие документы, прописанные самим стандартом: политика и заявление о применимости. Более развернутый перечень предложен далее.


Таблица 1 - Базовый набор политик и процедур согласно последнему стандарту:


Документация* Номер статьи стандарта
Область действия СМИБ
(границы и применимость СМИБ)
4.3
Политики и цели информационной безопасности 5.2, 6.2
Оценка рисков и методология обработки рисков 6.1.2, 8.2, 8.3
Заявление о применимости 6.1.3
Определение ролей по безопасности и обязанности 5.3, A.7.1.2, A.13.2.4
Реестр активов A.8.1.1
Правила использования активов A.8.1.3
Политика управления доступом A.9.1.1
Антивирусная политика A.12.2
Политика управления персоналом в разрезе кадровой безопасности A.7
Классификация и маркировка информации A.8.2
Политика по криптографическим методам защиты информации и использовании криптографических ключей A.10, A.18.1.5
Политика обеспечения физической безопасности A.11.1, A.11.2, A.8.3
Политика резервного копирования и восстановления A.12.3
Политика управления безопасностью обмена информацией A.13.2
Операционные процедуры для управления ИТ A.12.1.1
Принципы разработки безопасных систем A.14.2.5
Политика взаимодействия с поставщиками A.15.1.1
Процедура управления инцидентами A.16.1.5
Процедура обеспечения непрерывности бизнеса A.17.1.2
Правовые, нормативные и договорные условия A.18.1.1

Таблица 2 - Базовый набор записей:


Документация* Номер статьи стандарта
Записи обучения, навыков, опыта и квалификации сотрудников 7.2
Результаты мониторинга и измерений 9.1
Цели информационной безопасности 6.2
Программа внутреннего аудита,
Результаты внутреннего аудита
9.2
Результаты анализа СМИБ руководством (отчет по анализу СМИБ со стороны руководства) 9.3
Результаты корректирующих действий 10.1
Программа и План непрерывности бизнеса A.17.1.2
План производительности A.12.1.3
Журналы, содержащие записи активности пользователей, возникновения исключений, сбоев и событий, связанных с информационной безопасностью A.12.4.1, A.12.4.3

* Элементы управления из Приложения A могут использоваться частично, если нет рисков или других условий, которые потребовали бы осуществления контроля.


Это ни в коем случае не исчерпывающий список документов для внедрения ISO 27001 - стандарт позволяет добавлять любые другие документы для повышения безопасности, в том числе уже имеющиеся и используемые Вами. Вот перечень наиболее встречаемых из них.


Таблица 3 - Часто используемые при внедрении дополнительные документы:


Документация* Номер статьи стандарта
Порядок контроля документов 7.5
Порядок управления документацией
Процедура внутреннего аудита
7.5
9.2
Методика проведения корректирующих действий 10.1
Политика в отношении мобильных устройств и дистанционной работы
Политика классификации информации
A.6.2.1

A.8.2.1, A.8.2.2, A.8.2.3
Политика паролей A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3
Политика утилизации и уничтожения A.8.3.2, A.11.2.7
Правила работы в безопасных зонах
Чистый рабочий стол и прозрачная политика экрана
A.11.1.5
A.11.2.9
Политика управления изменениями A.12.1.2, A.14.2.4
Политика резервного копирования A.12.3.1
Политика передачи информации
Анализ влияния на бизнес
A.13.2.1, A.13.2.2, A.13.2.3
A.17.1.1
План тренировок и тестирований
План технического обслуживания и проверки
A.17.1.3
A.17.1.3
Стратегия обеспечения непрерывности бизнес-процесса A.17.2.1

Для тех, кто с перечнем ознакомился и решил использовать, как основу своей СМИБ, далее кратко описан каждый документ для лучшего понимания:


Обязательная документация по ISO/IEC 27001:2013

Область (сфера) действия СМИБ


Этот обычно довольно короткий отдельный документ пишется в начале. Его можно и объединить с «Политика информационной безопасности» для уменьшения числа документации.


Политика и цели информационной безопасности


«Политика в области ИБ» обычно представляет собой короткий документ верхнего уровня, описывающий основное назначение СМИБ. «Цели в области ИБ» определяет конкретные задачи, которые ставит перед собой организация в рамках обеспечения ИБ. Эти цели должны быть взаимосвязаны с положениями «Политика в области ИБ».


Оценка рисков, методология обработки рисков, отчет об оценке и обработке рисков


«Методология оценки и обработки рисков» обычно представляет собой документ небольшого объема, который следует написать до проведения оценки и обработки рисков. «Отчет об оценке и обработке рисков» должен быть составлен после их проведения с обобщением всех результатов.


Заявление о применимости


«Заявление о применимости» (SoA) пишется на основе результатов обработки рисков — это основополагающий документ в СМИБ, его номер и дата утверждения указывается в сертификате соответствия в случае, если Вы собираетесь сертифицировать свою систему. Это обязательный, уникальный с точки зрения систем менеджмента качества ISO документ (ни одна другая СМК не указывает документов в свидетельстве), описывающий применимые меры контроля из приложения, способы их реализации и текущее состояние. Т.е. «Заявление о применимости» описывает уровень безопасности Вашей компании.


Определение ролей по безопасности и обязанности


Лучше всего описать их во всех документах максимально точно: специалист ИБ будет выполнять ... действия каждую среду в часы .. - .. . Некоторые компании предпочитают описывать роли безопасности и обязанности в своих должностных инструкциях, но это может привести к серьезному увеличению количества документов. Безопасность для третьих лиц располагается в контрактах и соглашениях NDA.


Инвентаризация (реестр) активов


Если у Вас не было такого перечня до проекта ISO 27001, его лучше всего создать из результатов оценки рисков, потому что в процессе оценки все активы и ответственные за них должны были быть идентифицированы, и Вы просто сможете скопировать их.


Правила использования активов


Обычно пишутся в форме политики, которая может охватывать очень широкий круг тем, потому что стандарт не очень хорошо описывает этот элемент управления. Лучше всего оставить его до конца внедрения СМИБ, когда будут видны все области и элементы управления не охваченные другими документами, но касающиеся всех сотрудников. Их и необходимо закрыть этой политикой.


Политика управления доступом


Охватывает деловую сторону утверждения доступа к данным и системам, техническую сторону контроля доступа, т.е правила логического и физического доступа. Она пишется после оценки и обработки рисков.


Операционные процедуры для управления ИТ


Можно написать отдельный документ или серию политик к процедурам исходя из принципа: чем меньше компания, тем меньше документов. Этот документ создается после завершения процесса оценки и обработки рисков.


Принципы разработки безопасных систем


Этот элемент управления требует, чтобы принципы безопасной разработки документировались в форме процедуры или стандарта, а там определялось, какие методы безопасности используются на всех уровнях архитектуры - бизнес, данные, приложения и технологии. Например, проверка входных данных, отладка, методы аутентификации, безопасное управление сеансами и т.д.


Политика взаимодействия с поставщиками


Она может охватывать широкий спектр элементов управления: как проводится проверка потенциальных подрядчиков, как проводится оценка рисков поставщика, какие положения по безопасности необходимо включить в контракт, как контролировать выполнение договорных положений о безопасности, как изменить договор, как закрыть доступ после расторжения договора и т.д.


Процедура управления инцидентами


Определяет, как слабые места безопасности, события и инциденты сообщаются, классифицируются и обрабатываются. Она нужна, что делать правильные выводы из инцидентов ИБ, чтобы их можно было предотвратить в будущем.


Процедура обеспечения непрерывности бизнеса


Обычно это «План обеспечения непрерывности бизнеса», «План реагирования на инциденты», «План восстановления для бизнес-части организации» и «План аварийного восстановления»/«План восстановления для ИТ-инфраструктуры» (лучше всего они описаны в стандарте непрерывности бизнеса ISO 22301).


Правовые, нормативные и договорные условия


Этот список лучше составить как можно раньше в ходе проекта, поскольку многое должно быть разработано на его основе. «Правовые, нормативные и договорные условия» должен содержать не только обязанности по соблюдению определенных требований, но и сроки.


Записи обучения, навыков, опыта и квалификации


Обычно ведутся отделом кадров. Если у Вас его нет, эту работу должен выполнять тот, кто занимается наймом, увольнением и другими манипуляциями, связанными с сотрудниками (бухгалтер, секретарь или др.). По сути, папка со всеми документами, вставленными в нее, подойдет.


Результаты мониторинга и измерений


Самый простой способ реализации это краткое описание в конце каждой политики и процедуры, которые определяют каждый элемент управления. Здесь прописываются виды KPI (ключевые показатели эффективности), которые необходимо измерять для каждого элемента управления или их группы. Как только этот метод измерения будет внедрен, Вы должны выполнять измерения соответствующим образом. Важно регулярно сообщать об этих результатах лицам, отвечающим за их оценку.


Программа внутреннего аудита


Программа внутреннего аудита — это не что иное, как годовой план проведения аудитов: для небольшой компании это может быть только один аудит, для более крупной организации — серия (например, 12) внутренних аудитов. Эта программа должна определять исполнителей, методы, критерии аудита и т.д.


Результаты внутреннего аудита


Внутренний аудитор должен подготовить аудиторский отчет, который включает результаты аудита (наблюдения и корректирующие действия). Такой отчет должен быть составлен в течение нескольких дней после проведения внутреннего аудита. В некоторых случаях внутренний аудитор должен будет проверить, все ли корректирующие действия были выполнены должным образом.


Результаты анализа СМИБ руководством


Эти записи обычно имеют форму «Протокола собрания» - они должны включать все материалы, которые были задействованы на собрании руководства, а также все решения, которые были приняты. Протокол может быть в бумажном или цифровом виде.


Результаты корректирующих действий


Их традиционно включают в «Форму корректирующих действий» (CARs). Но лучше включать такие записи в какое-либо приложение, которое уже используется в организации для службы технической поддержки, поскольку корректирующие действия — это списки дел с четко определенными обязанностями, задачами и сроками.


Журналы действий пользователей, исключений и событий безопасности


Обычно они хранятся в двух формах:


- в цифровом виде — автоматически/полуавтоматически создаются как журналы различных ИТ и др. систем;


- в бумажном виде, где каждая запись создается вручную.

Порядок контроля документов


Обычно это отдельная короткая процедура. При наличии у Вас внедренной ISO (например, ISO 9001:2015), можно использовать ее процедуру, т.к. они идентичны для всех систем управления данной серии. Если же Вы строите систему с нуля, то в большинстве случаев лучше написать эту процедуру в качестве первого документа проекта.


Порядок управления документацией


Самый простой способ описать управление записями в конце каждой политики или процедуры таблицей, в которой описано, где находится архивная запись, кто имеет доступ к ней, как она защищена, как долго она хранится и т.д.


Процедура внутреннего аудита


Статистически эта небольшая одна отдельная процедура на всю систему, которая пишется до начала внутреннего аудита.


Процедура корректирующих действий


Ее длина редко превышать три страницы. Она традиционно создается в конце проекта внедрения, но лучше написать ее раньше, чтобы сотрудники привыкли к ней.

Список документов для ИСО 27001

Мы обладаем компетенциями для написания, проверки или модернизации любого из перечисленных документов. Наш опыт и знания позволяют дать подробные разъяснения по всем возникшим вопросам о разработке, внедрении и сертификации СМИБ.



Обращайтесь за помощью к профессионалам для получения качественного результата!

Спасибо, Вам перезвонят в течении 15 минут!
Спасибо, Вам пришлют КП в течении 15 минут!