Когда я написал прошлую замету про SoA мне в комментарии написали, что схожий шаблон документа можно найти в довольно известной подборке шаблонов и рекомендаций по внедрению СУИБ - ISO27k Toolkit, который можно выложен в свободный доступ тут - http://iso27001security.com .
Как оказалось, тулкит был обновлен в начале 2019 года, поэтому я решил написать на него обзор. Полагаю, что это будет полезно.
Как оказалось, тулкит был обновлен в начале 2019 года, поэтому я решил написать на него обзор. Полагаю, что это будет полезно.
"The ISO27k Toolkit is a collection of generic ISMS-related materials contributed by members of the ISO27k Forum, most of which are licensed under the Creative Commons. We are very grateful for the generosity and community-spirit of the donors in allowing us to share them with you, free of charge. This is a work-in-progress: further contributions are most welcome, whether to fill-in gaps, offer constructive criticism, or provide additional examples of the items listed below."
ISO27k Toolkit - это сборник различных материалов по теме внедрения и сертификации СУИБ, собранных сообществом форума. От этого есть плюсы (документов много, они могут быть на разных языках, обобщено много полезного опыты) и минусы (документы друг с другом не связаны, написаны в разном стиле и плохо сгруппированы).
Я все изучил и сделал майндкарту по всем материалам, а смайликами отметил качество и пользу документов (грустные смайлики означают, что документ не стоит даже открывать). В pdf документ выложил в группу в ВК - https://vk.com/isms8020
Итак, про документы:
- Как я уже сказал, они плохо структурированы и сгруппированы. Почему-то группировка по "папкам" есть только в описании на сайте, а вот документы в zip-файле свалены в одну кучу. Их там чуть меньше 100, поэтому искать и работать с ними не очень удобно. Некоторые документы имеют другое наименование (не то, что в описании на сайте).
- Странно, что нет единого перечня с описанием всех документов, входящих в ISO27k Toolkit.
Начну с того, что мне понравилось.
- Коллеги за многие годы собрали действительно крутой FAQ по 27001. Его можно посмотреть или на сайте - http://iso27001security.com/html/faq.html или в отдельном документе, входящим в ISO27k Toolkit. В нем аж 94 страницы.
- Довольно интересно сделана ISO27k security awareness presentation, я нечто подобное делал для себя и у меня получилось схожее содержание. Забавно...
- Неплохо описаны процессы аудита и работы с несоответствиями (корректирующие и предупреждающие действия). Ну, и в целом, документы про процессы довольно неплохо сделаны.
- Много полезных примеров про роли и ответственность, есть RACI-таблицы.
- Полезные (для размышления) таблицы - шаблоны реестров активов и рисков. Мы используем схожие.
- Хорошо составлен List of ISO27k standards, указаны даже проекты документов. По каждому стандарту даны комментарии.
- Довольно интересные (к размышлению) документы "Generic ISO27k ISMS business case template v2" (короткий документ про ценность и цену СУИБ) и "ISMS implementation project estimator" (экселька, для оценки готовности и длительности приведения себя в соответствие стандарту, по умолчанию, ставит 18 месяцев)
Что мне не понравилось:
- Очень слабые примеры Политик, Особенно печально, что нет хорошего примера верхнеуровневой Политики ИБ.
- ISMS mandatory documentation checklist ужасен. По сути, рекомендаций о том, какие документы нужны толком не представлены.
- Примеры проектных документов "ISMS implementation and certification process flowchart v4.1" и "ISMS implementation plan" выглядят солидно, но не особо пригодятся в реальной жизни. На мой взгляд, они слишком обобщенные и будут сильно отличаться от реальных проектов.
- Большие таблицы GDPR-ISO27k mapping, ISO27k information security program maturity assessment tool, Information security controls cross-check - вообще чушь, не применимо и без ценности для проекта.
На что еще обратил внимание:
- Практически нет рекомендаций по управлению инцидентами, управлению непрерывностью и измерению ИБ. Кстати, про измерения ИБ дают неплохую подборку ссылок, найдете ее сами в FAQ).
- Странно, что нет общего перечня процессов СУИБ.
- Странно, что нет общего перечня документов СУИБ.
- Практически нет рекомендаций про прохождение сертификационного аудита.
- Примеров политик могло бы быть и побольше.
Итого: ISO27k Toolkit - штука, конечно, забавная, но не слишком полезная. Действительно ценных документов в нем единицы, а вот странных и разрозненных документов, которые будут отвлекать внимание слишком много.
