SlideShare uma empresa Scribd logo
1 de 10
Baixar para ler offline
Перечень	
  документов	
  (ISO	
  27001-­‐2013),	
  http://80na20.blogspot.ru	
  	
  
Сертификация	
  по	
  ISO	
  27001-­‐2013.	
  
Рекомендации	
  по	
  перечню	
  документов	
  
	
  
	
  
Версия:	
  3.0,	
  23.01.2015	
  	
  
Автор:	
  Прозоров	
  Андрей,	
  CISM	
  
Блог:	
  «Жизнь	
  80	
  на	
  20»	
  -­‐	
  http://80na20.blogspot.ru	
  	
  
	
  
Данный	
   перечень	
   является	
   ориентировочным	
   (обязательные	
   документы	
   отмечены	
   цветом	
   и	
   в	
  
комментариях)	
   и	
   может	
   быть	
   существенно	
   пересмотрен	
   при	
   внедрении	
   СУИБ	
   в	
   каждом	
   конкретном	
  
случае.	
  
	
  
Все	
  документы	
  сгруппированы	
  по	
  темам:	
  
• Управление	
  проектом	
  
• Управление	
  документацией	
  
• Управление	
  ИБ	
  
• Управление	
  рисками	
  
• Кадровая	
  и	
  физическая	
  безопасность	
  
• Обеспечение	
  ИБ	
  и	
  управление	
  ИТ	
  
• Управление	
  непрерывностью	
  бизнеса	
  
• Обучение	
  и	
  повышение	
  осведомленности	
  
• Внутренний	
  аудит	
  
• Дополнительные	
  требования	
  (compliance)	
  
	
  
Для	
  каждого	
  документа	
  проставлен	
  условный	
  «коэффициент	
  важности/полезности»	
  (К):	
  
	
  
1	
   Обязательный	
  документ.	
  Наличие	
  документа	
  необходимо	
  для	
  сертификации	
  по	
  ISO	
  
27001-­‐2013	
  
9	
  шт.	
  
2	
   Рекомендуемый	
  документ.	
  Может	
  быть	
  заменен	
  аналогом	
  или	
  обоснованно	
  исключен.	
   45	
  шт.	
  
3	
   Полезный	
  документ.	
   ~19	
  шт.	
  
	
  
Обратите	
   внимание,	
   что	
   область	
   действия	
   у	
   документов	
   может	
   быть	
   различной	
   (некоторые	
   только	
   в	
  
рамках	
  области	
  действия	
  СУИБ,	
  другие	
  же	
  могут	
  распространяться	
  на	
  всю	
  компанию).	
  
	
  
В	
   документах	
   с	
   описанием	
   процессов	
   полезно	
   прилагать	
   схемы	
   данных	
   процессов.	
   Для	
   этого	
   удобно	
  
использовать	
  следующие	
  нотации	
  описания:	
  EPC,	
  BPMN	
  или	
  простая	
  блок-­‐схема.	
  	
  
	
   	
  
Перечень	
  документов	
  (ISO	
  27001-­‐2013),	
  http://80na20.blogspot.ru	
  	
  
Перечень	
  документов	
  (ISO	
  27001-­‐2013)	
  
№	
   Документ	
   Ссылка	
   Комментарий	
   К	
  
Управление	
  проектом	
  	
  
1. 	
   Приказ	
  о	
  внедрении	
  СУИБ	
   -­‐	
   	
   2	
  
2. 	
   Отчет	
  о	
  проведении	
  GAP-­‐
анализа	
  (27001/27002)	
  
-­‐	
  
	
  
4.1,	
  4.2	
  
Документ	
  описывает	
  текущее	
  состояние	
  информационной	
  
безопасности	
  в	
  разрезе	
  выполнения	
  требований	
  и	
  
рекомендаций	
  стандартов	
  ISO	
  27001	
  и	
  ISO	
  27002.	
  
Дополнительно	
  желательно	
  указать:	
  	
  контекст
1
	
  организации,	
  
перечень	
  уже	
  внедренных	
  документов,	
  сильные	
  и	
  слабые	
  
стороны	
  существующей	
  системы	
  ИБ,	
  первичные	
  
пожелания/предположения	
  об	
  области	
  действия	
  СУИБ.	
  
3	
  
3. 	
   Устав	
  проекта	
   -­‐	
  
7.1	
  
«Классический»	
  документ	
  по	
  управлению	
  проектами.	
  Важно	
  
указать	
  цели,	
  бюджет,	
  руководителя	
  проекта,	
  прочих	
  
ответственных	
  (команда	
  проекта)	
  и	
  сроки.	
  
2	
  
4. 	
   ИСР2
	
  Проекта	
  /	
  ТЗ	
  на	
  СУИБ	
  /	
  
Модель	
  СУИБ	
  
-­‐	
   Документ	
  описывает	
  общую	
  модель	
  СУИБ	
  (роли,	
  процессы,	
  
документы	
  и	
  пр.),	
  применимо	
  к	
  конкретной	
  организации.	
  
Степень	
  детализации	
  может	
  быть	
  различной.	
  
3	
  
5. 	
   Календарный	
  план	
  проекта	
   -­‐	
  
8.1	
  
	
   2	
  
6. 	
   План	
  коммуникаций	
   7.4,	
  4.2	
   	
   2	
  
	
   …	
  прочие	
  документы	
   -­‐	
   Например,	
  План	
  управления	
  рисками	
  (проекта),	
  различные	
  
отчеты	
  и	
  пр.	
  
3	
  
Управление	
  документацией	
  
7. 	
   Процедура	
  управления	
  
документацией	
  
7.5.2,	
  
7.5.3,	
  
А.5.1.2,	
  
А.8.2.2,	
  
А.18.1.3	
  
В	
  организации	
  уже	
  могут	
  быть	
  разработаны	
  и	
  
документированы	
  требования	
  по	
  управлению	
  документацией	
  
(определены	
  места	
  хранения,	
  ответственные,	
  правила	
  по	
  
пересмотру,	
  разработке,	
  наименованию,	
  содержанию,	
  
оформлению	
  и	
  пр.).	
  Также	
  данный	
  процесс	
  может	
  быть	
  
автоматизированным.	
  	
  
В	
  таком	
  случае	
  разрабатывать	
  и	
  документировать	
  отдельную	
  
процедуру	
  по	
  разработке	
  документов	
  СУИБ	
  	
  не	
  имеет	
  смысла.	
  
Следует	
  проверить	
  существующие	
  документы	
  на	
  наличие	
  в	
  
них	
  положений,	
  необходимых	
  по	
  ISO	
  (например,	
  по	
  
регулярному	
  пересмотру),	
  если	
  часть	
  из	
  них	
  отсутствует,	
  то	
  
можно	
  их	
  задокументировать	
  в	
  «Политике	
  управления	
  ИБ»	
  
(см.	
  п.15).	
  
Рекомендуется	
  создать	
  краткую	
  памятку,	
  по	
  управлению	
  
документацией	
  СУИБ.	
  Пригодится…	
  
2	
  
8. 	
   Памятка	
  по	
  разработке	
  и	
  
пересмотру	
  документов	
  
СУИБ	
  
7.5.2,	
  
7.5.3,	
  
А.5.1.2	
  
3	
  
9. 	
   Комплект	
  шаблонов	
  типовых	
  
документов	
  СУИБ	
  
-­‐	
  
см.27003	
  
Политики/положения,	
  процедуры/регламенты,	
  инструкции,	
  
отчеты,	
  журналы	
  учета	
  и	
  пр.	
  
Пригодится	
  при	
  дальнейшей	
  разработке	
  документов.	
  
3	
  
10. 	
   Перечень	
  документов	
  СУИБ	
   7.5.3	
   Рабочий	
  (регулярно	
  обновляемый)	
  документ	
  (обычно	
  
таблица).	
  	
  
Рекомендуется	
  помимо	
  наименования	
  документов	
  указывать	
  
дату	
  утверждения	
  документа,	
  ответственного	
  за	
  пересмотр,	
  
дату	
  последнего	
  пересмотра.	
  Отдельной	
  таблицей	
  
рекомендуется	
  вести	
  перечень	
  «записей»	
  (приказы,	
  отчеты,	
  
протоколы,	
  акты,	
  и	
  пр.)	
  
3	
  
	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  
1
	
  См.	
  п.4	
  стандарта	
  ISO	
  27001-­‐2013	
  и,	
  дополнительно,	
  http://80na20.blogspot.ru/2014/06/blog-­‐post_20.html	
  	
  
2
	
  Иерархическая	
  структура	
  работ	
  
Перечень	
  документов	
  (ISO	
  27001-­‐2013),	
  http://80na20.blogspot.ru	
  	
  
11. 	
   Перечень	
  внешних	
  
требований	
  по	
  ИБ	
  	
  
4.2,	
  
A.18.1.1	
  
Рабочий	
  (регулярно	
  обновляемый)	
  документ	
  (обычно	
  
таблица).	
  	
  
Обычно	
  включает	
  в	
  себя	
  перечень	
  важных	
  договоров	
  (в	
  
которых	
  есть	
  специальные	
  требования	
  по	
  ИБ),	
  локальные	
  
законодательные	
  акты	
  ,руководящие	
  документы,	
  стандарты,	
  
регламентирующие	
  документы	
  вышестоящих	
  организаций,	
  
отраслевые	
  требования	
  и	
  рекомендации,	
  и	
  пр.	
  
Отдельно	
  имеет	
  смысл	
  вести	
  перечень	
  закупленных	
  
стандартов	
  и	
  руководящих	
  документов.	
  
2	
  
12. 	
   Список	
  внешних	
  контактов	
   7.4,	
  
А.6.1.3,	
  
А.6.1.4	
  
Контактная	
  информация	
  полезных	
  внешних	
  организаций	
  
(регуляторы,	
  партнеры,	
  поставщики,	
  консультанты,	
  
профессиональные	
  ассоциации	
  и	
  пр.).	
  
3	
  
	
   …различные	
  приказы	
  по	
  
организации	
  (в	
  рамках	
  СУИБ)	
  
-­‐	
   Об	
  утверждении	
  документов,	
  назначении	
  ответственных,	
  и	
  
пр.	
  
3	
  
Управление	
  ИБ	
  
13. 	
   Область	
  действия	
  СУИБ	
   4.3	
   «ISMS	
  scope»	
  
Желательно	
  в	
  документе	
  указать	
  основные	
  бизнес-­‐процессы,	
  
вспомогательные	
  процессы,	
  персонал,	
  площадку,	
  
информационные	
  активы,	
  	
  информационные	
  системы,	
  и	
  пр.	
  
Желательно	
  написать	
  обоснование	
  выбора	
  данной	
  области	
  
действия	
  СУИБ.	
  
Уровень	
  детализации	
  документа	
  определяется	
  
самостоятельно.	
  Обычно	
  5-­‐10	
  страниц	
  текста.	
  
Основные	
  процессы	
  удобно	
  описывать	
  в	
  нотации	
  IDEF0.	
  
1	
  
14. 	
   Декларация	
  ИБ	
   5.1,	
  5.2,	
  
А.5.1.1	
  
«ISMS	
  Policy»	
  
Декларация	
  представляет	
  собой	
  высокоуровневый	
  документ,	
  
показывающий	
  приверженность	
  руководства.	
  Обычно	
  
короткий	
  (1	
  страница	
  текста)	
  и	
  публичный	
  (общедоступный)	
  
документ.	
  
Политика	
  является	
  сборником	
  положений	
  по	
  управлению	
  ИБ,	
  
обычно	
  20-­‐30	
  страниц	
  текста.	
  	
  
1	
  
15. 	
   Политика	
  управления	
  ИБ	
  	
   5.1,	
  5.2,	
  
6.2,	
  
А.5.1.1	
  
	
  
А.6.1.5	
  
А.18.1.2	
  
2	
  
16. 	
   Положение	
  о	
  ролях	
  и	
  
ответственности	
  СУИБ	
  
5.3,	
  
А.6.1.1,	
  
А.7.2.1,	
  
A.16.1.1	
  
Возможно,	
  но	
  не	
  желательно,	
  объединение	
  документов	
  в	
  
один.	
  
Протокол(-­‐ы)	
  заседания	
  комитета	
  ИБ	
  необходимо	
  сохранять.	
  
В	
  англоязычной	
  литературе	
  «комитет	
  по	
  ИБ»	
  по	
  сути	
  
соответствует	
  «Steering	
  committee».	
  
В	
  государственных	
  органах	
  РФ	
  задачи	
  «комитета	
  по	
  ИБ»	
  могут	
  
быть	
  возложены	
  на	
  «Комиссию	
  ПДИТР»	
  (Комиссия	
  по	
  
противодействию	
  иностранным	
  техническим	
  разведкам).	
  
2	
  
17. 	
   Положение	
  о	
  комитете	
  ИБ	
   5.3	
  
+см.	
  ISO	
  
27003	
  
2	
  
18. 	
   Процедура	
  мониторинга	
  
СУИБ	
  
9.1	
   Удобно	
  приложением	
  к	
  документу	
  подготовить	
  перечень	
  
метрик	
  и	
  KPI	
  СУИБ.	
  
Отчеты	
  необходимо	
  сохранять.	
  	
  
2	
  
19. 	
   Процедура	
  анализа	
  СУИБ	
  
руководством	
  
9.3	
   Обычно	
  короткий	
  документ	
  (2-­‐5	
  страниц).	
  
Отчеты	
  и	
  протоколы	
  решений	
  необходимо	
  сохранять.	
  
2	
  
20. 	
   Процедура	
  постоянного	
  
улучшения	
  СУИБ	
  
10,	
  8.1	
   Обычно	
  короткий	
  документ	
  (2-­‐5	
  страниц).	
  
	
  
2	
  
	
   	
  
Перечень	
  документов	
  (ISO	
  27001-­‐2013),	
  http://80na20.blogspot.ru	
  	
  
Управление	
  рисками	
  
21. 	
   Перечень	
  информации	
  
ограниченного	
  доступа	
  
А.8.2.1,	
  
А.18.1.4	
  
Удобно	
  в	
  одном	
  документе	
  указать	
  все	
  типы	
  
конфиденуиальной	
  инфомрации	
  (ПДн,	
  КТ	
  и	
  пр.).	
  Для	
  ПДн	
  
полезно	
  указать	
  цели	
  и	
  основание	
  для	
  обработки,	
  тип	
  
обработки,	
  специальные	
  категории	
  ПДн,	
  срок	
  хранения.	
  
2	
  
22. 	
   Процедура	
  управления	
  
рисками	
  информационной	
  
безопасности	
  
6.1.2,	
  8.2	
   	
   1	
  
23. 	
   Методика	
  оценки	
  рисков	
  
информационной	
  
безопасности	
  
6.1.2,	
  
А.8.2.1,	
  
А.11.1.4	
  
Желательно	
  дополнить	
  методикой	
  инвентаризации	
  активов	
  и	
  
положениями	
  о	
  критериях	
  принятия	
  рисков.	
  
1	
  
24. 	
   Реестр	
  активов	
  
(информационных)	
  
А.8.1.1,	
  
А.8.1.2	
  
Могут	
  быть	
  объединены	
  в	
  один	
  документ.	
  
Для	
  информационных	
  активов	
  обязательно	
  указание	
  
владельца	
  (обычно	
  руководитель	
  подразделения).	
  
1	
  
25. 	
   Перечень	
  информационных	
  
систем	
  и	
  сервисов	
  /	
  Каталог	
  
сервисов	
  
А.8.1.1	
   2	
  
26. 	
   Схема	
  сети	
   -­‐	
   Рабочий	
  (регулярно	
  обновляемый)	
  документ	
  (обычно	
  схема	
  в	
  
visio).	
  	
  
3	
  
27. 	
   Перечень	
  средств	
  защиты	
   -­‐	
   Рабочий	
  (регулярно	
  обновляемый)	
  документ	
  (обычно	
  
таблица).	
  	
  
3	
  
28. 	
   Отчет	
  об	
  оценке	
  рисков	
  
информационной	
  
безопасности	
  
6.1.3	
  f,	
  
8.2	
  
A.8.1.1,	
  
А.8.2.1,	
  
Помимо	
  формальной	
  оценки	
  рисков	
  необходимо	
  провести	
  
совещание/согласование	
  допустимого	
  уровня	
  риска	
  
(остаточных	
  рисков).	
  
Итоговый	
  отчет	
  должен	
  содержать	
  упоминание	
  владельцев	
  
рисков	
  (обычно	
  владелец	
  связанного	
  информационного	
  
актива).	
  
1	
  
29. 	
   Положение	
  о	
  применимости	
  
мер	
  контроля	
  
6.1.3	
  d	
   «Statement	
  of	
  Applicability»	
   1	
  
30. 	
   План	
  обработки	
  рисков	
   6.1.1,	
  
6.1.3	
  e,	
  
8.3	
  
«Risk	
  treatment	
  plan»	
  
	
  
1	
  
31. 	
   Отчет(-­‐ы)	
  о	
  реализации	
  
Плана	
  обработки	
  рисков	
  
	
  
8.3	
   	
   2	
  
Кадровая	
  и	
  физическая	
  безопасность	
  
32. 	
   Политика	
  управления	
  
персоналом	
  
7.2,	
  
А.7.1.1,	
  
А.7.1.2,	
  
А.7.2.1,	
  
А.7.2.2,	
  
А.7.2.3,	
  
А.7.3.1	
  
В	
  организации	
  уже	
  могут	
  быть	
  разработаны	
  и	
  
документированы	
  требования	
  и	
  процессы	
  по	
  управлению	
  
персоналом.	
  В	
  таком	
  случае	
  разрабатывать	
  и	
  
документировать	
  отдельные	
  политику	
  и	
  процедуры	
  не	
  имеет	
  
смысла.	
  Следует	
  проверить	
  существующие	
  документы	
  на	
  
наличие	
  в	
  них	
  положений,	
  необходимых	
  по	
  ISO	
  (например,	
  по	
  
проверке	
  персонала),	
  если	
  часть	
  из	
  них	
  отсутствует,	
  то	
  можно	
  
их	
  задокументировать	
  в	
  «Политике	
  управления	
  ИБ»	
  (см.	
  п.15).	
  
Полезно	
  сделать	
  приложением	
  чек-­‐листы:	
  «При	
  приеме	
  
персонала»	
  и	
  «При	
  увольнении	
  персонала».	
  
Процедуру	
  приема	
  и	
  увольнения	
  персоналам	
  желательно	
  
связать	
  с	
  процессом	
  предоставления	
  и	
  изменения	
  прав	
  
доступа	
  к	
  информационным	
  системам.	
  
2	
  
33. 	
   Процедура	
  приема	
  и	
  
увольнения	
  персонала	
  
А.7.1.1,	
  
А.7.1.2,	
  
А.7.2.3,	
  
А.7.3.1,	
  
А.8.1.4,	
  
А.9.2.6	
  
	
  
2	
  
Перечень	
  документов	
  (ISO	
  27001-­‐2013),	
  http://80na20.blogspot.ru	
  	
  
34. 	
   Соглашение	
  о	
  
неразглашении	
  (шаблон)	
  
А.7.1.2	
   	
   2	
  
	
   Трудовой	
  договор,	
  
Положения	
  о	
  
подразделении,	
  
Должностные	
  инструкции	
  
А.6.1.1,	
  
А.6.1.2,	
  
А.7.1.2,	
  
А.7.2.1	
  
Необходимо	
  пересмотреть	
  и	
  актуализировать	
  существующие.	
  
В	
  частности,	
  внести	
  допольнительные	
  положения,	
  связанные	
  
с	
  СУИБ,	
  в	
  инструкции	
  сотрудников	
  подразделений	
  ИБ,	
  ИТ,	
  
отдела	
  кадров,	
  юридического	
  отдела,	
  а	
  также	
  в	
  положения	
  о	
  
данных	
  подразделениях.	
  
2	
  
35. 	
   Политика	
  физической	
  
безопасности	
  
А.11.1.1,	
  
А.11.1.2,	
  
А.11.1.3,	
  
А.11.1.4,	
  
A.11.1.5,	
  
А.11.1.6,	
  
А.11.2.1,	
  
А.11.2.2,	
  
А.11.2.3,	
  
А.11.2.4,	
  
А.11.2.5,	
  
А.11.2.6,	
  
А.11.2.7,	
  
А.8.1.4,	
  
А.8.3.3	
  
Большой	
  сводный	
  документ.	
  
Полезно	
  приложением	
  сделать	
  План	
  помещений	
  с	
  указанием	
  
зон	
  безопасности	
  (периметр).	
  Для	
  каждой	
  зоны	
  (например,	
  
серверные	
  помещения,	
  архив,	
  общие	
  коридоры)	
  желательно	
  
удобно	
  требования	
  по	
  защите	
  и	
  необходимое	
  техническое	
  
оснащение	
  (ОПС,	
  двери,	
  сейфы,	
  видеонаблюдение	
  и	
  пр.).	
  
Желательно	
  на	
  схеме	
  указать	
  помещения,	
  в	
  которых	
  
обрабатываются	
  ПДн.	
  Пригодится…	
  
Желательно	
  ограничить	
  доступ	
  к	
  данному	
  документу.	
  
2	
  
36. 	
   Памятка	
  по	
  работе	
  в	
  
защищенных	
  помещениях	
  
А.11.1.5	
   Обычно	
  разрабатывается	
  для	
  работы	
  в	
  серверных	
  
помещениях.	
  Часто	
  копия	
  документа	
  хранится	
  в	
  этих	
  
помещениях.	
  
3	
  
37. 	
   Перечень	
  лиц,	
  имеющих	
  
доступ	
  в	
  серверные	
  
помещения	
  
А.11.1.5	
  	
   Часто	
  копия	
  документа	
  прикрепляется	
  с	
  внутренней	
  стороны	
  
двери	
  серверного	
  помещения.	
  
3	
  
Обеспечение	
  ИБ	
  и	
  управление	
  ИТ	
  
38. 	
   Политика	
  допустимого	
  
использования	
  
А.6.2.1,	
  
А.6.2.2,	
  
A.8.1.3,	
  
А.8.3.1	
  
«Acceptable	
  use	
  policy»	
  
Большой	
  сводный	
  документ	
  по	
  требованиям	
  к	
  
использованию	
  ИТ-­‐сервисов	
  и	
  средств	
  обработки	
  
информации.	
  Может	
  быть	
  разделен	
  на	
  несколько	
  
документов.	
  Например,	
  может	
  быть	
  выделен	
  документ	
  
«Политика	
  использования	
  мобильных	
  устройств».	
  
Обычно	
  в	
  документе	
  указывают	
  положения	
  по	
  
использованию	
  корпоративной	
  электронной	
  почты	
  и	
  сети	
  
интернет,	
  	
  сервисов	
  мгновенных	
  сообщений	
  и	
  IP-­‐телефонии,	
  
съемных	
  носителей,	
  копировально-­‐множительной	
  техники,	
  
мобильных	
  устройств	
  (личных	
  и	
  корпоративных),	
  рабочих	
  
станций	
  и	
  общих	
  файловых	
  серверов,	
  удаленного	
  доступа.	
  	
  
Полезно	
  прописать	
  положения	
  по	
  наличию	
  систем	
  по	
  
контролю	
  выполнения	
  данных	
  требований	
  (обычно	
  DLP).	
  
2	
  
39. 	
   Политика	
  управления	
  
доступом	
  
A.9.1.1,	
  
А.9.1.2,	
  
А.9.2.2,	
  
А.9.2.3,	
  
А.9.2.4,	
  
А.9.2.5,	
  
А.9.2.6,	
  
А.9.4.1,	
  
А.9.4.2,	
  
А.6.1.2	
  
«Access	
  control	
  policy»	
  
Сводный	
  документ,	
  описывающий	
  общие	
  вопросы	
  
разграничения,	
  предоставления	
  и	
  изменения	
  прав	
  доступа.	
  
2	
  
Перечень	
  документов	
  (ISO	
  27001-­‐2013),	
  http://80na20.blogspot.ru	
  	
  
40. 	
   Процедура(-­‐ы)	
  
предоставления	
  и	
  
изменения	
  прав	
  доступа	
  
А.9.2.1,	
  
А.9.2.2,	
  
А.9.2.3,	
  
А.9.2.4,	
  
А.9.2.5,	
  
А.9.2.6	
  
Может	
  быть	
  несколько	
  с	
  привязкой	
  к	
  конкретным	
  
информационным	
  системам.	
  
Полезно	
  разработать	
  документ	
  по	
  предоставлению	
  доступа	
  к	
  
ИСПДн.	
  
Документ	
  может	
  отсутствовать	
  при	
  указании	
  необходимых	
  
положений	
  в	
  Политике	
  управления	
  доступом	
  (п.39).	
  
2	
  
41. 	
   Политика	
  управления	
  
паролям	
  
A.9.2.1,
A.9.2.2,
A.9.2.4,
A.9.3.1,
A.9.4.3
	
   2	
  
42. 	
   Политика	
  информационной	
  
безопасности	
  при	
  работе	
  с	
  
поставщиками	
  
А.15.1.1,	
  
А.15.1.2,	
  
А.15.1.3,	
  
А.15.2.1,	
  
А.15.2.2,	
  	
  
А.13.2.3,	
  
А.13.2.4,	
  
7.5.3	
  
«Supplier	
  security	
  policy»	
  
Приложением	
  к	
  документу	
  удобно	
  сделать	
  пример	
  
соглашение	
  в	
  части	
  ИБ	
  с	
  поставщиками	
  услуг	
  (NDA).	
  
Необходимо	
  хранить	
  все	
  договора	
  и	
  SLA,	
  подписанные	
  с	
  
поставщиками.	
  
2	
  
43. 	
   Политика	
  регистрации	
  и	
  
мониторинга	
  событий	
  ИБ	
  
А.12.4.1,	
  
А.12.4.2,	
  
А.12.4.3,	
  
А.12.4.4	
  
	
   2	
  
44. 	
   Процедура	
  управления	
  
инцидентами	
  
A.16.1.1,	
  
A.16.1.2,	
  
A.16.1.3,	
  
A.16.1.4,	
  
A.16.1.5	
  
A.16.1.6,	
  
A.16.1.7	
  
Часть	
  положений	
  об	
  управлении	
  инцидентами	
  удобно	
  
прписать	
  в	
  Политике	
  управлени	
  ИБ	
  (п.15).	
  
Необходимо	
  хранить	
  отчет(-­‐ы)	
  об	
  инцидентах.	
  
2	
  
45. 	
   Комплект	
  инструкций	
  по	
  
реагированию	
  на	
  инциденты	
  
А.7.2.3,	
  
A.16.1.5,	
  
A.16.1.7	
  
Например,	
  по	
  реагированию	
  на	
  утечку	
  информации,	
  потерю	
  
ноутбуков	
  и	
  документов,	
  заражение	
  компьютеров	
  
вредоносным	
  ПО,	
  	
  уничтожение	
  данных	
  и	
  пр.	
  
3	
  
46. 	
   Политика	
  антивирусной	
  
защиты	
  
А.12.2.1,	
  
А.9.4.4,	
  
А.9.4.5	
  
Иногда	
  в	
  документ	
  включают	
  положения	
  по	
  защите	
  от	
  спама.	
   2	
  
47. 	
   Перечень	
  допустимого	
  ПО	
   А.9.4.4,	
  
А.9.4.5	
  
Полезно	
  подготовить	
  и	
  утвердить	
  перечень	
  допустимого	
  
программного	
  обеспечения,	
  любое	
  другое	
  ПО	
  должно	
  быть	
  
запрещено	
  или	
  устанавливаться	
  только	
  по	
  согласованной	
  
заявке	
  пользователей.	
  
3	
  
48. 	
   Процедура	
  	
  резервного	
  
копирования	
  и	
  
восстановления	
  информации	
  	
  
А.12.3.1	
   К	
  документу	
  полезно	
  приложить	
  перечень	
  ресурсов	
  для	
  
резервного	
  копирования	
  с	
  указанием	
  RPO.	
  
2	
  
49. 	
   Политика	
  обмена	
  
информацией	
  
А.8.3.3,	
  
А.13.2.1,	
  
А.13.2.2,	
  
А.13.2.3,	
  
А.13.2.4,	
  
Довольно	
  редкий	
  документ,	
  без	
  которого	
  вполне	
  можно	
  
обойтись.	
  Основные	
  положения	
  можно	
  прописать	
  в	
  Политику	
  
управления	
  ИБ	
  (п.15),	
  Инструкцию	
  пользователю	
  (п.65)	
  и	
  
Политику	
  физической	
  безопасности	
  (п.35).	
  
2	
  
Перечень	
  документов	
  (ISO	
  27001-­‐2013),	
  http://80na20.blogspot.ru	
  	
  
50. 	
   Политика	
  использования	
  
криптографических	
  средств	
  
защиты	
  
А.10.1.1,	
  
А.10.1.2,	
  
А.18.1.5	
  
Довольно	
  редкий	
  документ,	
  без	
  которого	
  вполне	
  можно	
  
обойтись.	
  Основные	
  положения	
  можно	
  прописать	
  в	
  Политику	
  
управления	
  ИБ	
  (п.15)	
  и	
  Политику	
  обеспечения	
  сетевой	
  
безопасности	
  (п.52).	
  
2	
  
51. 	
   Процедура	
  уничтожения	
  
носителей	
  информации	
  	
  
A.8.3.2,	
  
А.11.2.7
Довольно	
  редкий	
  документ,	
  без	
  которого	
  вполне	
  можно	
  
обойтись.	
  Основные	
  положения	
  можно	
  прописать	
  в	
  
Инструкцию	
  пользователю	
  (п.65)	
  и	
  Политику	
  физической	
  
безопасности	
  (п.35).	
  
2	
  
52. 	
   Политика	
  обеспечения	
  
сетевой	
  безопасности	
  
А.13.1.1,	
  
А.13.1.2,	
  
А.13.1.3,	
  
А.9.1.2,	
  
А.9.4.1,	
  
А.9.4.2,	
  
А.17.2.1	
  	
  
Большой	
  сводный	
  документ,	
  содержащий	
  общие	
  положения	
  
по	
  сетевой	
  безопасности.	
  Может	
  быть	
  дополнен	
  или	
  заменен	
  
на	
  Корпоративный	
  стандарт	
  по	
  ИБ.	
  
Документ	
  связан	
  со	
  Схемой	
  сети	
  (п.26)	
  и	
  Перечнем	
  средств	
  
защиты	
  (п.27).	
  
Желательно	
  ограничить	
  доступ	
  к	
  данному	
  документу.	
  
2	
  
53. 	
   Политика	
  обеспечения	
  ИБ	
  
при	
  внедрении,	
  
обслуживании	
  и	
  
использовании	
  
информационных	
  систем	
  
A.12.1.1,	
  
A.12.1.2,	
  
A.12.1.3,	
  
A.12.1.4,	
  
A.12.5.1,	
  
A.12.6.1,	
  
A.12.6.2,	
  
A.14.1.1,	
  
A.14.1.2,	
  
A.14.1.3,	
  
A.14.2.1,	
  
A.14.2.2,	
  
A.14.2.3,	
  
A.14.2.4,	
  
A.14.2.5,	
  
A.14.2.6,	
  
A.14.2.7,	
  
A.14.2.8,	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  
A.14.2.9,	
  
A.14.3.1,	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  	
  
А.6.1.5 	
  
Большой	
  сводный	
  документ,	
  может	
  быть	
  разбит	
  на	
  несколько	
  
или	
  дополнен	
  отдельными	
  процессами	
  управления	
  ИТ	
  (при	
  
их	
  высокой	
  зрелости).	
  
2	
  
Управление	
  непрерывностью	
  бизнеса	
  
54. 	
   Политика	
  обеспечения	
  
непрерывности	
  бизнеса	
  
А.17.1.1	
   	
   2	
  
55. 	
   Методика	
  оценки	
  влияния	
  
на	
  бизнес	
  (BIA)	
  и	
  Отчет	
  
А.17.1.1	
   	
   3	
  
56. 	
   Реестр	
  рисков	
  
непрерывности	
  бизнеса	
  +	
  
Отчет	
  о	
  результатах	
  анализа	
  
рисков	
  
А.17.1.1	
   Если	
  не	
  сделано	
  отдельно	
  в	
  общих	
  рисках	
  ИБ	
  (п.28).	
   3	
  
57. 	
   Стратегия	
  непрерывности	
  
бизнеса	
  
А.17.1.1	
   Необходимо	
  указать	
  RTO	
  и	
  RPO.	
  
Необходимо	
  рассмотреть	
  необходимые	
  ресурсы:Персонал,	
  
Площадки,	
  Технологии,	
  Информация,	
  Запасы,	
  
договоренности	
  с	
  третьими	
  сторонами	
  и	
  пр.	
  
2	
  
58. 	
   План(-­‐ы)	
  реагирования	
   A.17.1.2	
   BCP	
  и,	
  при	
  необходимости,	
  DRP	
  .	
  
В	
  приложении	
  полезно	
  указывать	
  список	
  контактов.	
  
2	
  
Перечень	
  документов	
  (ISO	
  27001-­‐2013),	
  http://80na20.blogspot.ru	
  	
  
59. 	
   Процедура	
  тестирования	
  
плана	
  восстановления	
  	
  
А.17.1.3	
   Необходимо	
  хранить	
  отчет(-­‐ы)	
  о	
  тестировании	
  плана	
  
восстановления.	
  
2	
  
60. 	
   График	
  и	
  программа	
  учений	
   А.17.1.3	
   	
   2	
  
	
   …различные	
  договора	
  и	
  
соглашения	
  с	
  внешними	
  
поставщиками	
  
A.17.1.2	
   	
   2	
  
Обучение	
  и	
  повышение	
  осведомленности	
  
61. 	
   Процедура	
  обучения	
  и	
  
повышения	
  
осведомленности	
  
7.2,	
  7.3,	
  
А.7.2.2	
  
Необходимо	
  сохранять	
  отчеты	
  об	
  обучении	
  и/или	
  записи	
  в	
  
журнале	
  обучения,	
  а	
  также	
  различные	
  документы,	
  
подтверждающие	
  степень	
  подготовки	
  и	
  квалификацию	
  
сотрудников	
  компании.	
  
2	
  
62. 	
   План	
  обучения	
  и	
  повышения	
  
осведомленности	
  
7.2,	
  
А.7.2.2	
  
	
   2	
  
63. 	
   Памятка	
  по	
  СУИБ	
   7.3	
   Важные	
  положения	
  про	
  СУИБ	
  (когда	
  начали	
  внедрять,	
  какая	
  
область	
  действия,	
  кто	
  ответственный,	
  что	
  прописано	
  в	
  
Декларации,	
  что	
  делать	
  при	
  инцидентах	
  и	
  пр.).	
  Пригодится	
  
при	
  прохождении	
  сертификационного	
  аудита.	
  
3	
  
64. 	
   Материалы	
  по	
  обучению	
  и	
  
повышению	
  
осведомленности	
  
7.2	
  ,	
  
А.7.2.2	
  
	
   3	
  
65. 	
   Инструкция	
  пользователю	
  по	
  
информационной	
  
безопасности	
  
7.3,	
  
А.9.3.1,	
  
А.11.2.8,	
  
А.11.2.9,	
  
A.16.1.2,	
  
A.16.1.3	
  
Сборник	
  требований	
  и	
  рекомендации,	
  содержит	
  ссылки	
  на	
  
важные	
  документы,	
  регламентирующие	
  обработку	
  и	
  защиту	
  
информации.	
  	
  
Рекомендуется	
  прописать	
  положения	
  “политики	
  чистых	
  
столов	
  и	
  экранов”.	
  
Следует	
  регулярно	
  пересматривать	
  и	
  актуализировать,	
  
документ	
  должен	
  быть	
  простым	
  и	
  понятным	
  обычным	
  
пользователям.	
  
3	
  
Внутренний	
  аудит	
  
66. 	
   Процедура	
  внутреннего	
  
аудита	
  
9.2	
   	
   2	
  
67. 	
   Программа	
  внутреннего	
  
аудита	
  
9.2,	
  
А.12.7.1,	
  
А.18.2.1,	
  	
  
А.18.2.2,	
  
А.18.2.3	
  
	
   2	
  
68. 	
   Отчет	
  (-­‐ы)	
  о	
  проведении	
  
внутреннего	
  аудита	
  
9.2	
   	
   1	
  
69. 	
   Чек-­‐лист	
  (критерии	
  аудита)	
   9.2	
   Кстати,	
  удобно	
  сделать	
  отдельный	
  перечень	
  критериев	
  
аудита	
  для	
  проверки	
  выполнения	
  требований	
  по	
  ПДн.	
  
2	
  
	
   	
  
Перечень	
  документов	
  (ISO	
  27001-­‐2013),	
  http://80na20.blogspot.ru	
  	
  
Дополнительные	
  требования	
  (compliance).	
  	
  
При	
  наличии	
  в	
  области	
  действия	
  СУИБ	
  соответствующих	
  категорий	
  информации	
  (например,	
  ПДн)	
  
70. 	
   Политика	
  оператора	
  в	
  части	
  
обработки	
  ПДн	
  
(общедоступная)	
  
А.18.1.4	
   	
   -­‐	
  
71. 	
   Положение	
  об	
  обработке	
  
ПДн	
  
А.8.2.3,	
  
А.18.1.4	
  
	
   -­‐	
  
72. 	
   Приказ	
  о	
  назначении	
  
ответственных	
  за	
  обработку	
  
и	
  обеспечение	
  безопасности	
  
ПДн	
  
А.18.1.4	
   	
   -­‐	
  
73. 	
   Протокол	
  оценки	
  
возможного	
  вреда	
  для	
  
субъектов	
  ПДн	
  
А.18.1.4	
   	
   -­‐	
  
74. 	
   Акт(-­‐ы)	
  определения	
  уровня	
  
защищенности	
  ПДн	
  при	
  их	
  
обработке	
  в	
  ИСПДн	
  
А.18.1.4	
   	
   -­‐	
  
75. 	
   Модель	
  угроз	
  и	
  нарушителя	
   А.18.1.4	
   Может	
  быть	
  в	
  рамках	
  оценки	
  рисков,	
  но	
  удобнее	
  сделать	
  
отдельным	
  документов	
  с	
  учетом	
  требований	
  и	
  рекомендаций	
  
регуляторов	
  (ФСТЭК	
  России	
  и	
  ФСБ	
  России)	
  
-­‐	
  
76. 	
   Комплект	
  документов	
  на	
  
СЗПДн	
  	
  
А.18.1.4	
   Техническое	
  задание,	
  комплект	
  документов,	
  входящих	
  в	
  
Технический	
  проект	
  на	
  СЗПДн,	
  План	
  мероприятий	
  по	
  защите	
  
ПДн	
  
	
  
77. 	
   Положение	
  о	
  защите	
  ПДн	
   А.18.1.4	
   Укороченная	
  версия	
  с	
  учетом	
  документов	
  СУИБ	
  +	
  ссылки	
  на	
  
документы	
  СУИБ	
  
-­‐	
  
78. 	
   Положение	
  о	
  применимости	
  
мер	
  по	
  обеспечению	
  
безопасности	
  ПДн	
  
А.18.1.4	
   По	
  Приказу	
  ФСТЭК	
  России	
  №21	
   -­‐	
  
79. 	
   Процедура	
  реагирования	
  на	
  
запросы	
  субъектов	
  ПДн	
  (и	
  их	
  
законных	
  представителей)	
  
А.18.1.4	
   	
   -­‐	
  
80. 	
   Комплект	
  журналов	
  учета	
   А.18.1.4	
   Например,	
  обращения	
  субъектов	
  ПДн.	
   -­‐	
  
81. 	
   Комплект	
  форм	
  согласия	
  на	
  
обработку	
  ПДн	
  
	
   	
   	
  
82. 	
   Копия	
  уведомления	
  РКН	
   	
   	
   	
  
83. 	
   Положение	
  о	
  коммерческой	
  
тайне	
  
А.8.2.3,	
  
А.18.1.4	
  
	
   -­‐	
  
84. 	
   Комплекты	
  документов	
  на	
  
аттестованные	
  помещения	
  
и/или	
  информационные	
  
системы	
  
-­‐	
   	
   -­‐	
  
85. 	
   Сертификаты	
  на	
  СЗИ	
   -­‐	
   	
   -­‐	
  
	
   …	
  прочие	
  документы	
   	
   	
   	
  
	
   	
  
Перечень	
  документов	
  (ISO	
  27001-­‐2013),	
  http://80na20.blogspot.ru	
  	
  
Дополнительные	
  ссылки	
  
	
  
1. ISO/IEC	
   27001:2013	
   «Information	
   technology	
   -­‐-­‐	
   Security	
   techniques	
   -­‐-­‐	
   Information	
   security	
  
management	
  systems	
  -­‐-­‐	
  Requirements»	
  
2. ISO/IEC	
  27002:2013	
  «Information	
  technology	
  -­‐-­‐	
  Security	
  techniques	
  -­‐-­‐	
  Code	
  of	
  practice	
  for	
  information	
  
security	
  controls»	
  
3. ISO/IEC	
   27003:2010	
   «Information	
   technology	
   -­‐-­‐	
   Security	
   techniques	
   -­‐-­‐	
   Information	
   security	
  
management	
  system	
  implementation	
  guidance»	
  
	
  
4. ISO	
   27001	
   Documentation	
   Toolkit	
   -­‐	
   http://www.iso27001standard.com/iso-­‐27001-­‐documentation-­‐
toolkit	
  
5. Статья	
   «List	
   of	
   mandatory	
   documents	
   required	
   by	
   ISO	
   27001	
   (2013	
   revision)»	
   -­‐	
  
http://www.iso27001standard.com/blog/2013/09/30/list-­‐of-­‐mandatory-­‐documents-­‐required-­‐by-­‐iso-­‐
27001-­‐2013-­‐revision	
  
6. FREE	
  ISO27k	
  Toolkit	
  -­‐	
  http://www.iso27001security.com/html/iso27k_toolkit.html	
  
7. Политики	
  от	
  SANS	
  -­‐	
  http://www.sans.org/security-­‐resources/policies	
  	
  
8. Комплект	
   типовых	
   документов	
   по	
   информационной	
   безопасности	
   от	
   Global	
   Trust	
   Solution	
   -­‐	
  
http://www.globaltrust.ru/ru/produkty/komplekty-­‐dokumentov-­‐po-­‐informacionnoi-­‐
bezopasnosti/tipovye-­‐organizacionno-­‐rasporyaditelnye-­‐dokumenty-­‐po-­‐informacionnoi-­‐bezopasnosti	
  	
  

Mais conteúdo relacionado

Mais procurados

Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...Stratos Lazaridis
 
ISO 27001 ISMS MEASUREMENT
ISO 27001 ISMS MEASUREMENTISO 27001 ISMS MEASUREMENT
ISO 27001 ISMS MEASUREMENTGaffri Johnson
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowPECB
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.Jerimi Soma
 
ISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesCertification Europe
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPrivacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPECB
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowPECB
 
ISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfSerkanRafetHalil1
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxDr Madhu Aman Sharma
 
All you wanted to know about iso 27000
All you wanted to know about iso 27000All you wanted to know about iso 27000
All you wanted to know about iso 27000Ramana K V
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowPECB
 
Bsi iso27001-mapping-guide
Bsi iso27001-mapping-guideBsi iso27001-mapping-guide
Bsi iso27001-mapping-guidefloora_jj
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewShankar Subramaniyan
 
CISA Domain 4 Information Systems Operation | Infosectrain
CISA Domain 4 Information Systems Operation | InfosectrainCISA Domain 4 Information Systems Operation | Infosectrain
CISA Domain 4 Information Systems Operation | InfosectrainInfosecTrain
 

Mais procurados (20)

ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...
 
ISO 27001 ISMS MEASUREMENT
ISO 27001 ISMS MEASUREMENTISO 27001 ISMS MEASUREMENT
ISO 27001 ISMS MEASUREMENT
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
 
ISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and Challenges
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPrivacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
 
ISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdf
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptx
 
All you wanted to know about iso 27000
All you wanted to know about iso 27000All you wanted to know about iso 27000
All you wanted to know about iso 27000
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to know
 
Bsi iso27001-mapping-guide
Bsi iso27001-mapping-guideBsi iso27001-mapping-guide
Bsi iso27001-mapping-guide
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
 
CISA Domain 4 Information Systems Operation | Infosectrain
CISA Domain 4 Information Systems Operation | InfosectrainCISA Domain 4 Information Systems Operation | Infosectrain
CISA Domain 4 Information Systems Operation | Infosectrain
 

Destaque

ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistIvan Piskunov
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика  обнаружения и реагирования на инциденты информационной безопасностиПолитика  обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Expolink
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 

Destaque (20)

ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
Scope of work IT DD
Scope of work IT DDScope of work IT DD
Scope of work IT DD
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика  обнаружения и реагирования на инциденты информационной безопасностиПолитика  обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
Перечень документов (пдн в рф) 2014 07-24
Перечень документов (пдн в рф) 2014 07-24Перечень документов (пдн в рф) 2014 07-24
Перечень документов (пдн в рф) 2014 07-24
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301
пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301
пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 

Semelhante a Комплект документов по ISO 27001-2013

Новые требования ISO 9001 - ознакомительная презентация
Новые требования ISO 9001 - ознакомительная презентацияНовые требования ISO 9001 - ознакомительная презентация
Новые требования ISO 9001 - ознакомительная презентацияAndrey Olyenkov
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Презентация системы КБНТИ
Презентация системы КБНТИ Презентация системы КБНТИ
Презентация системы КБНТИ Normdocs
 
Conception
ConceptionConception
Conceptionbiv63
 
Что такое проект внедрения СЭД?
Что такое проект внедрения СЭД?Что такое проект внедрения СЭД?
Что такое проект внедрения СЭД?razdolie
 
Сергей Смирнов, Гибкая разработка ИС в рамках ГОСТ
Сергей Смирнов, Гибкая разработка ИС в рамках ГОСТСергей Смирнов, Гибкая разработка ИС в рамках ГОСТ
Сергей Смирнов, Гибкая разработка ИС в рамках ГОСТScrumTrek
 
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...Илья Лившиц
 
практический опыт автоматизации процессов управления производственными актива...
практический опыт автоматизации процессов управления производственными актива...практический опыт автоматизации процессов управления производственными актива...
практический опыт автоматизации процессов управления производственными актива...ZhannaP
 
Технический архив документов и чертежей
Технический архив документов и чертежейТехнический архив документов и чертежей
Технический архив документов и чертежейAlexanderAvva
 
И. Козлов (Геософт) - Внедрение управленческого учета. Организация проекта и ...
И. Козлов (Геософт) - Внедрение управленческого учета. Организация проекта и ...И. Козлов (Геософт) - Внедрение управленческого учета. Организация проекта и ...
И. Козлов (Геософт) - Внедрение управленческого учета. Организация проекта и ...Expolink
 
Лекция на тему "Разработка технического задания"
Лекция на тему "Разработка технического задания"Лекция на тему "Разработка технического задания"
Лекция на тему "Разработка технического задания"olalapim10
 
ект до 2014 v2
ект до 2014 v2ект до 2014 v2
ект до 2014 v2Expolink
 
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"Expolink
 
CEE-SECR'2011 Бизнес-процессы
CEE-SECR'2011 Бизнес-процессыCEE-SECR'2011 Бизнес-процессы
CEE-SECR'2011 Бизнес-процессыYury Kupriyanov
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...SelectedPresentations
 
разработка технического задания
разработка технического заданияразработка технического задания
разработка технического заданияolalapim10
 
разработка технического задания 1
разработка технического задания 1разработка технического задания 1
разработка технического задания 1olalapim10
 
России пора сказать свое слово в международной стандартизации
России пора сказать свое слово в международной стандартизацииРоссии пора сказать свое слово в международной стандартизации
России пора сказать свое слово в международной стандартизацииNatasha Khramtsovsky
 

Semelhante a Комплект документов по ISO 27001-2013 (20)

Новые требования ISO 9001 - ознакомительная презентация
Новые требования ISO 9001 - ознакомительная презентацияНовые требования ISO 9001 - ознакомительная презентация
Новые требования ISO 9001 - ознакомительная презентация
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)
 
п2
п2п2
п2
 
Презентация системы КБНТИ
Презентация системы КБНТИ Презентация системы КБНТИ
Презентация системы КБНТИ
 
Conception
ConceptionConception
Conception
 
Что такое проект внедрения СЭД?
Что такое проект внедрения СЭД?Что такое проект внедрения СЭД?
Что такое проект внедрения СЭД?
 
Сергей Смирнов, Гибкая разработка ИС в рамках ГОСТ
Сергей Смирнов, Гибкая разработка ИС в рамках ГОСТСергей Смирнов, Гибкая разработка ИС в рамках ГОСТ
Сергей Смирнов, Гибкая разработка ИС в рамках ГОСТ
 
Phd 2016_SSDL_GOST
Phd 2016_SSDL_GOSTPhd 2016_SSDL_GOST
Phd 2016_SSDL_GOST
 
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
 
практический опыт автоматизации процессов управления производственными актива...
практический опыт автоматизации процессов управления производственными актива...практический опыт автоматизации процессов управления производственными актива...
практический опыт автоматизации процессов управления производственными актива...
 
Технический архив документов и чертежей
Технический архив документов и чертежейТехнический архив документов и чертежей
Технический архив документов и чертежей
 
И. Козлов (Геософт) - Внедрение управленческого учета. Организация проекта и ...
И. Козлов (Геософт) - Внедрение управленческого учета. Организация проекта и ...И. Козлов (Геософт) - Внедрение управленческого учета. Организация проекта и ...
И. Козлов (Геософт) - Внедрение управленческого учета. Организация проекта и ...
 
Лекция на тему "Разработка технического задания"
Лекция на тему "Разработка технического задания"Лекция на тему "Разработка технического задания"
Лекция на тему "Разработка технического задания"
 
ект до 2014 v2
ект до 2014 v2ект до 2014 v2
ект до 2014 v2
 
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
 
CEE-SECR'2011 Бизнес-процессы
CEE-SECR'2011 Бизнес-процессыCEE-SECR'2011 Бизнес-процессы
CEE-SECR'2011 Бизнес-процессы
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
 
разработка технического задания
разработка технического заданияразработка технического задания
разработка технического задания
 
разработка технического задания 1
разработка технического задания 1разработка технического задания 1
разработка технического задания 1
 
России пора сказать свое слово в международной стандартизации
России пора сказать свое слово в международной стандартизацииРоссии пора сказать свое слово в международной стандартизации
России пора сказать свое слово в международной стандартизации
 

Mais de Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Mais de Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 
GDPR and Personal Data Transfers 1.1.pdf
GDPR and Personal Data Transfers 1.1.pdfGDPR and Personal Data Transfers 1.1.pdf
GDPR and Personal Data Transfers 1.1.pdf
 
GDPR and Security.pdf
GDPR and Security.pdfGDPR and Security.pdf
GDPR and Security.pdf
 

Комплект документов по ISO 27001-2013

  • 1. Перечень  документов  (ISO  27001-­‐2013),  http://80na20.blogspot.ru     Сертификация  по  ISO  27001-­‐2013.   Рекомендации  по  перечню  документов       Версия:  3.0,  23.01.2015     Автор:  Прозоров  Андрей,  CISM   Блог:  «Жизнь  80  на  20»  -­‐  http://80na20.blogspot.ru       Данный   перечень   является   ориентировочным   (обязательные   документы   отмечены   цветом   и   в   комментариях)   и   может   быть   существенно   пересмотрен   при   внедрении   СУИБ   в   каждом   конкретном   случае.     Все  документы  сгруппированы  по  темам:   • Управление  проектом   • Управление  документацией   • Управление  ИБ   • Управление  рисками   • Кадровая  и  физическая  безопасность   • Обеспечение  ИБ  и  управление  ИТ   • Управление  непрерывностью  бизнеса   • Обучение  и  повышение  осведомленности   • Внутренний  аудит   • Дополнительные  требования  (compliance)     Для  каждого  документа  проставлен  условный  «коэффициент  важности/полезности»  (К):     1   Обязательный  документ.  Наличие  документа  необходимо  для  сертификации  по  ISO   27001-­‐2013   9  шт.   2   Рекомендуемый  документ.  Может  быть  заменен  аналогом  или  обоснованно  исключен.   45  шт.   3   Полезный  документ.   ~19  шт.     Обратите   внимание,   что   область   действия   у   документов   может   быть   различной   (некоторые   только   в   рамках  области  действия  СУИБ,  другие  же  могут  распространяться  на  всю  компанию).     В   документах   с   описанием   процессов   полезно   прилагать   схемы   данных   процессов.   Для   этого   удобно   использовать  следующие  нотации  описания:  EPC,  BPMN  или  простая  блок-­‐схема.        
  • 2. Перечень  документов  (ISO  27001-­‐2013),  http://80na20.blogspot.ru     Перечень  документов  (ISO  27001-­‐2013)   №   Документ   Ссылка   Комментарий   К   Управление  проектом     1.   Приказ  о  внедрении  СУИБ   -­‐     2   2.   Отчет  о  проведении  GAP-­‐ анализа  (27001/27002)   -­‐     4.1,  4.2   Документ  описывает  текущее  состояние  информационной   безопасности  в  разрезе  выполнения  требований  и   рекомендаций  стандартов  ISO  27001  и  ISO  27002.   Дополнительно  желательно  указать:    контекст 1  организации,   перечень  уже  внедренных  документов,  сильные  и  слабые   стороны  существующей  системы  ИБ,  первичные   пожелания/предположения  об  области  действия  СУИБ.   3   3.   Устав  проекта   -­‐   7.1   «Классический»  документ  по  управлению  проектами.  Важно   указать  цели,  бюджет,  руководителя  проекта,  прочих   ответственных  (команда  проекта)  и  сроки.   2   4.   ИСР2  Проекта  /  ТЗ  на  СУИБ  /   Модель  СУИБ   -­‐   Документ  описывает  общую  модель  СУИБ  (роли,  процессы,   документы  и  пр.),  применимо  к  конкретной  организации.   Степень  детализации  может  быть  различной.   3   5.   Календарный  план  проекта   -­‐   8.1     2   6.   План  коммуникаций   7.4,  4.2     2     …  прочие  документы   -­‐   Например,  План  управления  рисками  (проекта),  различные   отчеты  и  пр.   3   Управление  документацией   7.   Процедура  управления   документацией   7.5.2,   7.5.3,   А.5.1.2,   А.8.2.2,   А.18.1.3   В  организации  уже  могут  быть  разработаны  и   документированы  требования  по  управлению  документацией   (определены  места  хранения,  ответственные,  правила  по   пересмотру,  разработке,  наименованию,  содержанию,   оформлению  и  пр.).  Также  данный  процесс  может  быть   автоматизированным.     В  таком  случае  разрабатывать  и  документировать  отдельную   процедуру  по  разработке  документов  СУИБ    не  имеет  смысла.   Следует  проверить  существующие  документы  на  наличие  в   них  положений,  необходимых  по  ISO  (например,  по   регулярному  пересмотру),  если  часть  из  них  отсутствует,  то   можно  их  задокументировать  в  «Политике  управления  ИБ»   (см.  п.15).   Рекомендуется  создать  краткую  памятку,  по  управлению   документацией  СУИБ.  Пригодится…   2   8.   Памятка  по  разработке  и   пересмотру  документов   СУИБ   7.5.2,   7.5.3,   А.5.1.2   3   9.   Комплект  шаблонов  типовых   документов  СУИБ   -­‐   см.27003   Политики/положения,  процедуры/регламенты,  инструкции,   отчеты,  журналы  учета  и  пр.   Пригодится  при  дальнейшей  разработке  документов.   3   10.   Перечень  документов  СУИБ   7.5.3   Рабочий  (регулярно  обновляемый)  документ  (обычно   таблица).     Рекомендуется  помимо  наименования  документов  указывать   дату  утверждения  документа,  ответственного  за  пересмотр,   дату  последнего  пересмотра.  Отдельной  таблицей   рекомендуется  вести  перечень  «записей»  (приказы,  отчеты,   протоколы,  акты,  и  пр.)   3                                                                                                                             1  См.  п.4  стандарта  ISO  27001-­‐2013  и,  дополнительно,  http://80na20.blogspot.ru/2014/06/blog-­‐post_20.html     2  Иерархическая  структура  работ  
  • 3. Перечень  документов  (ISO  27001-­‐2013),  http://80na20.blogspot.ru     11.   Перечень  внешних   требований  по  ИБ     4.2,   A.18.1.1   Рабочий  (регулярно  обновляемый)  документ  (обычно   таблица).     Обычно  включает  в  себя  перечень  важных  договоров  (в   которых  есть  специальные  требования  по  ИБ),  локальные   законодательные  акты  ,руководящие  документы,  стандарты,   регламентирующие  документы  вышестоящих  организаций,   отраслевые  требования  и  рекомендации,  и  пр.   Отдельно  имеет  смысл  вести  перечень  закупленных   стандартов  и  руководящих  документов.   2   12.   Список  внешних  контактов   7.4,   А.6.1.3,   А.6.1.4   Контактная  информация  полезных  внешних  организаций   (регуляторы,  партнеры,  поставщики,  консультанты,   профессиональные  ассоциации  и  пр.).   3     …различные  приказы  по   организации  (в  рамках  СУИБ)   -­‐   Об  утверждении  документов,  назначении  ответственных,  и   пр.   3   Управление  ИБ   13.   Область  действия  СУИБ   4.3   «ISMS  scope»   Желательно  в  документе  указать  основные  бизнес-­‐процессы,   вспомогательные  процессы,  персонал,  площадку,   информационные  активы,    информационные  системы,  и  пр.   Желательно  написать  обоснование  выбора  данной  области   действия  СУИБ.   Уровень  детализации  документа  определяется   самостоятельно.  Обычно  5-­‐10  страниц  текста.   Основные  процессы  удобно  описывать  в  нотации  IDEF0.   1   14.   Декларация  ИБ   5.1,  5.2,   А.5.1.1   «ISMS  Policy»   Декларация  представляет  собой  высокоуровневый  документ,   показывающий  приверженность  руководства.  Обычно   короткий  (1  страница  текста)  и  публичный  (общедоступный)   документ.   Политика  является  сборником  положений  по  управлению  ИБ,   обычно  20-­‐30  страниц  текста.     1   15.   Политика  управления  ИБ     5.1,  5.2,   6.2,   А.5.1.1     А.6.1.5   А.18.1.2   2   16.   Положение  о  ролях  и   ответственности  СУИБ   5.3,   А.6.1.1,   А.7.2.1,   A.16.1.1   Возможно,  но  не  желательно,  объединение  документов  в   один.   Протокол(-­‐ы)  заседания  комитета  ИБ  необходимо  сохранять.   В  англоязычной  литературе  «комитет  по  ИБ»  по  сути   соответствует  «Steering  committee».   В  государственных  органах  РФ  задачи  «комитета  по  ИБ»  могут   быть  возложены  на  «Комиссию  ПДИТР»  (Комиссия  по   противодействию  иностранным  техническим  разведкам).   2   17.   Положение  о  комитете  ИБ   5.3   +см.  ISO   27003   2   18.   Процедура  мониторинга   СУИБ   9.1   Удобно  приложением  к  документу  подготовить  перечень   метрик  и  KPI  СУИБ.   Отчеты  необходимо  сохранять.     2   19.   Процедура  анализа  СУИБ   руководством   9.3   Обычно  короткий  документ  (2-­‐5  страниц).   Отчеты  и  протоколы  решений  необходимо  сохранять.   2   20.   Процедура  постоянного   улучшения  СУИБ   10,  8.1   Обычно  короткий  документ  (2-­‐5  страниц).     2      
  • 4. Перечень  документов  (ISO  27001-­‐2013),  http://80na20.blogspot.ru     Управление  рисками   21.   Перечень  информации   ограниченного  доступа   А.8.2.1,   А.18.1.4   Удобно  в  одном  документе  указать  все  типы   конфиденуиальной  инфомрации  (ПДн,  КТ  и  пр.).  Для  ПДн   полезно  указать  цели  и  основание  для  обработки,  тип   обработки,  специальные  категории  ПДн,  срок  хранения.   2   22.   Процедура  управления   рисками  информационной   безопасности   6.1.2,  8.2     1   23.   Методика  оценки  рисков   информационной   безопасности   6.1.2,   А.8.2.1,   А.11.1.4   Желательно  дополнить  методикой  инвентаризации  активов  и   положениями  о  критериях  принятия  рисков.   1   24.   Реестр  активов   (информационных)   А.8.1.1,   А.8.1.2   Могут  быть  объединены  в  один  документ.   Для  информационных  активов  обязательно  указание   владельца  (обычно  руководитель  подразделения).   1   25.   Перечень  информационных   систем  и  сервисов  /  Каталог   сервисов   А.8.1.1   2   26.   Схема  сети   -­‐   Рабочий  (регулярно  обновляемый)  документ  (обычно  схема  в   visio).     3   27.   Перечень  средств  защиты   -­‐   Рабочий  (регулярно  обновляемый)  документ  (обычно   таблица).     3   28.   Отчет  об  оценке  рисков   информационной   безопасности   6.1.3  f,   8.2   A.8.1.1,   А.8.2.1,   Помимо  формальной  оценки  рисков  необходимо  провести   совещание/согласование  допустимого  уровня  риска   (остаточных  рисков).   Итоговый  отчет  должен  содержать  упоминание  владельцев   рисков  (обычно  владелец  связанного  информационного   актива).   1   29.   Положение  о  применимости   мер  контроля   6.1.3  d   «Statement  of  Applicability»   1   30.   План  обработки  рисков   6.1.1,   6.1.3  e,   8.3   «Risk  treatment  plan»     1   31.   Отчет(-­‐ы)  о  реализации   Плана  обработки  рисков     8.3     2   Кадровая  и  физическая  безопасность   32.   Политика  управления   персоналом   7.2,   А.7.1.1,   А.7.1.2,   А.7.2.1,   А.7.2.2,   А.7.2.3,   А.7.3.1   В  организации  уже  могут  быть  разработаны  и   документированы  требования  и  процессы  по  управлению   персоналом.  В  таком  случае  разрабатывать  и   документировать  отдельные  политику  и  процедуры  не  имеет   смысла.  Следует  проверить  существующие  документы  на   наличие  в  них  положений,  необходимых  по  ISO  (например,  по   проверке  персонала),  если  часть  из  них  отсутствует,  то  можно   их  задокументировать  в  «Политике  управления  ИБ»  (см.  п.15).   Полезно  сделать  приложением  чек-­‐листы:  «При  приеме   персонала»  и  «При  увольнении  персонала».   Процедуру  приема  и  увольнения  персоналам  желательно   связать  с  процессом  предоставления  и  изменения  прав   доступа  к  информационным  системам.   2   33.   Процедура  приема  и   увольнения  персонала   А.7.1.1,   А.7.1.2,   А.7.2.3,   А.7.3.1,   А.8.1.4,   А.9.2.6     2  
  • 5. Перечень  документов  (ISO  27001-­‐2013),  http://80na20.blogspot.ru     34.   Соглашение  о   неразглашении  (шаблон)   А.7.1.2     2     Трудовой  договор,   Положения  о   подразделении,   Должностные  инструкции   А.6.1.1,   А.6.1.2,   А.7.1.2,   А.7.2.1   Необходимо  пересмотреть  и  актуализировать  существующие.   В  частности,  внести  допольнительные  положения,  связанные   с  СУИБ,  в  инструкции  сотрудников  подразделений  ИБ,  ИТ,   отдела  кадров,  юридического  отдела,  а  также  в  положения  о   данных  подразделениях.   2   35.   Политика  физической   безопасности   А.11.1.1,   А.11.1.2,   А.11.1.3,   А.11.1.4,   A.11.1.5,   А.11.1.6,   А.11.2.1,   А.11.2.2,   А.11.2.3,   А.11.2.4,   А.11.2.5,   А.11.2.6,   А.11.2.7,   А.8.1.4,   А.8.3.3   Большой  сводный  документ.   Полезно  приложением  сделать  План  помещений  с  указанием   зон  безопасности  (периметр).  Для  каждой  зоны  (например,   серверные  помещения,  архив,  общие  коридоры)  желательно   удобно  требования  по  защите  и  необходимое  техническое   оснащение  (ОПС,  двери,  сейфы,  видеонаблюдение  и  пр.).   Желательно  на  схеме  указать  помещения,  в  которых   обрабатываются  ПДн.  Пригодится…   Желательно  ограничить  доступ  к  данному  документу.   2   36.   Памятка  по  работе  в   защищенных  помещениях   А.11.1.5   Обычно  разрабатывается  для  работы  в  серверных   помещениях.  Часто  копия  документа  хранится  в  этих   помещениях.   3   37.   Перечень  лиц,  имеющих   доступ  в  серверные   помещения   А.11.1.5     Часто  копия  документа  прикрепляется  с  внутренней  стороны   двери  серверного  помещения.   3   Обеспечение  ИБ  и  управление  ИТ   38.   Политика  допустимого   использования   А.6.2.1,   А.6.2.2,   A.8.1.3,   А.8.3.1   «Acceptable  use  policy»   Большой  сводный  документ  по  требованиям  к   использованию  ИТ-­‐сервисов  и  средств  обработки   информации.  Может  быть  разделен  на  несколько   документов.  Например,  может  быть  выделен  документ   «Политика  использования  мобильных  устройств».   Обычно  в  документе  указывают  положения  по   использованию  корпоративной  электронной  почты  и  сети   интернет,    сервисов  мгновенных  сообщений  и  IP-­‐телефонии,   съемных  носителей,  копировально-­‐множительной  техники,   мобильных  устройств  (личных  и  корпоративных),  рабочих   станций  и  общих  файловых  серверов,  удаленного  доступа.     Полезно  прописать  положения  по  наличию  систем  по   контролю  выполнения  данных  требований  (обычно  DLP).   2   39.   Политика  управления   доступом   A.9.1.1,   А.9.1.2,   А.9.2.2,   А.9.2.3,   А.9.2.4,   А.9.2.5,   А.9.2.6,   А.9.4.1,   А.9.4.2,   А.6.1.2   «Access  control  policy»   Сводный  документ,  описывающий  общие  вопросы   разграничения,  предоставления  и  изменения  прав  доступа.   2  
  • 6. Перечень  документов  (ISO  27001-­‐2013),  http://80na20.blogspot.ru     40.   Процедура(-­‐ы)   предоставления  и   изменения  прав  доступа   А.9.2.1,   А.9.2.2,   А.9.2.3,   А.9.2.4,   А.9.2.5,   А.9.2.6   Может  быть  несколько  с  привязкой  к  конкретным   информационным  системам.   Полезно  разработать  документ  по  предоставлению  доступа  к   ИСПДн.   Документ  может  отсутствовать  при  указании  необходимых   положений  в  Политике  управления  доступом  (п.39).   2   41.   Политика  управления   паролям   A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3   2   42.   Политика  информационной   безопасности  при  работе  с   поставщиками   А.15.1.1,   А.15.1.2,   А.15.1.3,   А.15.2.1,   А.15.2.2,     А.13.2.3,   А.13.2.4,   7.5.3   «Supplier  security  policy»   Приложением  к  документу  удобно  сделать  пример   соглашение  в  части  ИБ  с  поставщиками  услуг  (NDA).   Необходимо  хранить  все  договора  и  SLA,  подписанные  с   поставщиками.   2   43.   Политика  регистрации  и   мониторинга  событий  ИБ   А.12.4.1,   А.12.4.2,   А.12.4.3,   А.12.4.4     2   44.   Процедура  управления   инцидентами   A.16.1.1,   A.16.1.2,   A.16.1.3,   A.16.1.4,   A.16.1.5   A.16.1.6,   A.16.1.7   Часть  положений  об  управлении  инцидентами  удобно   прписать  в  Политике  управлени  ИБ  (п.15).   Необходимо  хранить  отчет(-­‐ы)  об  инцидентах.   2   45.   Комплект  инструкций  по   реагированию  на  инциденты   А.7.2.3,   A.16.1.5,   A.16.1.7   Например,  по  реагированию  на  утечку  информации,  потерю   ноутбуков  и  документов,  заражение  компьютеров   вредоносным  ПО,    уничтожение  данных  и  пр.   3   46.   Политика  антивирусной   защиты   А.12.2.1,   А.9.4.4,   А.9.4.5   Иногда  в  документ  включают  положения  по  защите  от  спама.   2   47.   Перечень  допустимого  ПО   А.9.4.4,   А.9.4.5   Полезно  подготовить  и  утвердить  перечень  допустимого   программного  обеспечения,  любое  другое  ПО  должно  быть   запрещено  или  устанавливаться  только  по  согласованной   заявке  пользователей.   3   48.   Процедура    резервного   копирования  и   восстановления  информации     А.12.3.1   К  документу  полезно  приложить  перечень  ресурсов  для   резервного  копирования  с  указанием  RPO.   2   49.   Политика  обмена   информацией   А.8.3.3,   А.13.2.1,   А.13.2.2,   А.13.2.3,   А.13.2.4,   Довольно  редкий  документ,  без  которого  вполне  можно   обойтись.  Основные  положения  можно  прописать  в  Политику   управления  ИБ  (п.15),  Инструкцию  пользователю  (п.65)  и   Политику  физической  безопасности  (п.35).   2  
  • 7. Перечень  документов  (ISO  27001-­‐2013),  http://80na20.blogspot.ru     50.   Политика  использования   криптографических  средств   защиты   А.10.1.1,   А.10.1.2,   А.18.1.5   Довольно  редкий  документ,  без  которого  вполне  можно   обойтись.  Основные  положения  можно  прописать  в  Политику   управления  ИБ  (п.15)  и  Политику  обеспечения  сетевой   безопасности  (п.52).   2   51.   Процедура  уничтожения   носителей  информации     A.8.3.2,   А.11.2.7 Довольно  редкий  документ,  без  которого  вполне  можно   обойтись.  Основные  положения  можно  прописать  в   Инструкцию  пользователю  (п.65)  и  Политику  физической   безопасности  (п.35).   2   52.   Политика  обеспечения   сетевой  безопасности   А.13.1.1,   А.13.1.2,   А.13.1.3,   А.9.1.2,   А.9.4.1,   А.9.4.2,   А.17.2.1     Большой  сводный  документ,  содержащий  общие  положения   по  сетевой  безопасности.  Может  быть  дополнен  или  заменен   на  Корпоративный  стандарт  по  ИБ.   Документ  связан  со  Схемой  сети  (п.26)  и  Перечнем  средств   защиты  (п.27).   Желательно  ограничить  доступ  к  данному  документу.   2   53.   Политика  обеспечения  ИБ   при  внедрении,   обслуживании  и   использовании   информационных  систем   A.12.1.1,   A.12.1.2,   A.12.1.3,   A.12.1.4,   A.12.5.1,   A.12.6.1,   A.12.6.2,   A.14.1.1,   A.14.1.2,   A.14.1.3,   A.14.2.1,   A.14.2.2,   A.14.2.3,   A.14.2.4,   A.14.2.5,   A.14.2.6,   A.14.2.7,   A.14.2.8,                                                   A.14.2.9,   A.14.3.1,                                                                                                                                                                                                                                                                     А.6.1.5   Большой  сводный  документ,  может  быть  разбит  на  несколько   или  дополнен  отдельными  процессами  управления  ИТ  (при   их  высокой  зрелости).   2   Управление  непрерывностью  бизнеса   54.   Политика  обеспечения   непрерывности  бизнеса   А.17.1.1     2   55.   Методика  оценки  влияния   на  бизнес  (BIA)  и  Отчет   А.17.1.1     3   56.   Реестр  рисков   непрерывности  бизнеса  +   Отчет  о  результатах  анализа   рисков   А.17.1.1   Если  не  сделано  отдельно  в  общих  рисках  ИБ  (п.28).   3   57.   Стратегия  непрерывности   бизнеса   А.17.1.1   Необходимо  указать  RTO  и  RPO.   Необходимо  рассмотреть  необходимые  ресурсы:Персонал,   Площадки,  Технологии,  Информация,  Запасы,   договоренности  с  третьими  сторонами  и  пр.   2   58.   План(-­‐ы)  реагирования   A.17.1.2   BCP  и,  при  необходимости,  DRP  .   В  приложении  полезно  указывать  список  контактов.   2  
  • 8. Перечень  документов  (ISO  27001-­‐2013),  http://80na20.blogspot.ru     59.   Процедура  тестирования   плана  восстановления     А.17.1.3   Необходимо  хранить  отчет(-­‐ы)  о  тестировании  плана   восстановления.   2   60.   График  и  программа  учений   А.17.1.3     2     …различные  договора  и   соглашения  с  внешними   поставщиками   A.17.1.2     2   Обучение  и  повышение  осведомленности   61.   Процедура  обучения  и   повышения   осведомленности   7.2,  7.3,   А.7.2.2   Необходимо  сохранять  отчеты  об  обучении  и/или  записи  в   журнале  обучения,  а  также  различные  документы,   подтверждающие  степень  подготовки  и  квалификацию   сотрудников  компании.   2   62.   План  обучения  и  повышения   осведомленности   7.2,   А.7.2.2     2   63.   Памятка  по  СУИБ   7.3   Важные  положения  про  СУИБ  (когда  начали  внедрять,  какая   область  действия,  кто  ответственный,  что  прописано  в   Декларации,  что  делать  при  инцидентах  и  пр.).  Пригодится   при  прохождении  сертификационного  аудита.   3   64.   Материалы  по  обучению  и   повышению   осведомленности   7.2  ,   А.7.2.2     3   65.   Инструкция  пользователю  по   информационной   безопасности   7.3,   А.9.3.1,   А.11.2.8,   А.11.2.9,   A.16.1.2,   A.16.1.3   Сборник  требований  и  рекомендации,  содержит  ссылки  на   важные  документы,  регламентирующие  обработку  и  защиту   информации.     Рекомендуется  прописать  положения  “политики  чистых   столов  и  экранов”.   Следует  регулярно  пересматривать  и  актуализировать,   документ  должен  быть  простым  и  понятным  обычным   пользователям.   3   Внутренний  аудит   66.   Процедура  внутреннего   аудита   9.2     2   67.   Программа  внутреннего   аудита   9.2,   А.12.7.1,   А.18.2.1,     А.18.2.2,   А.18.2.3     2   68.   Отчет  (-­‐ы)  о  проведении   внутреннего  аудита   9.2     1   69.   Чек-­‐лист  (критерии  аудита)   9.2   Кстати,  удобно  сделать  отдельный  перечень  критериев   аудита  для  проверки  выполнения  требований  по  ПДн.   2      
  • 9. Перечень  документов  (ISO  27001-­‐2013),  http://80na20.blogspot.ru     Дополнительные  требования  (compliance).     При  наличии  в  области  действия  СУИБ  соответствующих  категорий  информации  (например,  ПДн)   70.   Политика  оператора  в  части   обработки  ПДн   (общедоступная)   А.18.1.4     -­‐   71.   Положение  об  обработке   ПДн   А.8.2.3,   А.18.1.4     -­‐   72.   Приказ  о  назначении   ответственных  за  обработку   и  обеспечение  безопасности   ПДн   А.18.1.4     -­‐   73.   Протокол  оценки   возможного  вреда  для   субъектов  ПДн   А.18.1.4     -­‐   74.   Акт(-­‐ы)  определения  уровня   защищенности  ПДн  при  их   обработке  в  ИСПДн   А.18.1.4     -­‐   75.   Модель  угроз  и  нарушителя   А.18.1.4   Может  быть  в  рамках  оценки  рисков,  но  удобнее  сделать   отдельным  документов  с  учетом  требований  и  рекомендаций   регуляторов  (ФСТЭК  России  и  ФСБ  России)   -­‐   76.   Комплект  документов  на   СЗПДн     А.18.1.4   Техническое  задание,  комплект  документов,  входящих  в   Технический  проект  на  СЗПДн,  План  мероприятий  по  защите   ПДн     77.   Положение  о  защите  ПДн   А.18.1.4   Укороченная  версия  с  учетом  документов  СУИБ  +  ссылки  на   документы  СУИБ   -­‐   78.   Положение  о  применимости   мер  по  обеспечению   безопасности  ПДн   А.18.1.4   По  Приказу  ФСТЭК  России  №21   -­‐   79.   Процедура  реагирования  на   запросы  субъектов  ПДн  (и  их   законных  представителей)   А.18.1.4     -­‐   80.   Комплект  журналов  учета   А.18.1.4   Например,  обращения  субъектов  ПДн.   -­‐   81.   Комплект  форм  согласия  на   обработку  ПДн         82.   Копия  уведомления  РКН         83.   Положение  о  коммерческой   тайне   А.8.2.3,   А.18.1.4     -­‐   84.   Комплекты  документов  на   аттестованные  помещения   и/или  информационные   системы   -­‐     -­‐   85.   Сертификаты  на  СЗИ   -­‐     -­‐     …  прочие  документы            
  • 10. Перечень  документов  (ISO  27001-­‐2013),  http://80na20.blogspot.ru     Дополнительные  ссылки     1. ISO/IEC   27001:2013   «Information   technology   -­‐-­‐   Security   techniques   -­‐-­‐   Information   security   management  systems  -­‐-­‐  Requirements»   2. ISO/IEC  27002:2013  «Information  technology  -­‐-­‐  Security  techniques  -­‐-­‐  Code  of  practice  for  information   security  controls»   3. ISO/IEC   27003:2010   «Information   technology   -­‐-­‐   Security   techniques   -­‐-­‐   Information   security   management  system  implementation  guidance»     4. ISO   27001   Documentation   Toolkit   -­‐   http://www.iso27001standard.com/iso-­‐27001-­‐documentation-­‐ toolkit   5. Статья   «List   of   mandatory   documents   required   by   ISO   27001   (2013   revision)»   -­‐   http://www.iso27001standard.com/blog/2013/09/30/list-­‐of-­‐mandatory-­‐documents-­‐required-­‐by-­‐iso-­‐ 27001-­‐2013-­‐revision   6. FREE  ISO27k  Toolkit  -­‐  http://www.iso27001security.com/html/iso27k_toolkit.html   7. Политики  от  SANS  -­‐  http://www.sans.org/security-­‐resources/policies     8. Комплект   типовых   документов   по   информационной   безопасности   от   Global   Trust   Solution   -­‐   http://www.globaltrust.ru/ru/produkty/komplekty-­‐dokumentov-­‐po-­‐informacionnoi-­‐ bezopasnosti/tipovye-­‐organizacionno-­‐rasporyaditelnye-­‐dokumenty-­‐po-­‐informacionnoi-­‐bezopasnosti