Контакты
Подписка 2024

Обзор ISO27k toolkit

Андрей Прозоров, 19.03.19

prozorovАвтор: Андрей Прозоров, руководитель экспертного направления, Solar Security.
 
Когда я написал прошлую замету про SoA мне в комментарии написали, что схожий шаблон документа можно найти в довольно известной подборке шаблонов и рекомендаций по внедрению СУИБ - ISO27k Toolkit, который выложен в свободный доступ тут.
 
 
Как оказалось, тулкит был обновлен в начале 2019 года, поэтому я решил написать на него обзор. Полагаю, что это будет полезно. 
 
The ISO27k Toolkit is a collection of generic ISMS-related materials contributed by members of the ISO27k Forum, most of which are licensed under the Creative Commons. We are very grateful for the generosity and community-spirit of the donors in allowing us to share them with you, free of charge. This is a work-in-progress: further contributions are most welcome, whether to fill-in gaps, offer constructive criticism, or provide additional examples of the items listed below."
ISO27k Toolkit – это сборник различных материалов по теме внедрения и сертификации СУИБ, собранных сообществом форума. От этого есть плюсы (документов много, они могут быть на разных языках, обобщено много полезного опыты) и минусы (документы друг с другом не связаны, написаны в разном стиле и плохо сгруппированы). 
 
Я все изучил и сделал майндкарту по всем материалам, а смайликами отметил качество и пользу документов (грустные смайлики означают, что документ не стоит даже открывать). В pdf документ выложил в группу в ВК.
 
xm ISO27k Toolkit
 
Итак, про документы:
 
  • Как я уже сказал, они плохо структурированы и сгруппированы. Почему-то группировка по "папкам" есть только в описании на сайте, а вот документы в zip-файле свалены в одну кучу. Их там чуть меньше 100, поэтому искать и работать с ними не очень удобно. Некоторые документы имеют другое наименование (не то, что в описании на сайте).
  • Странно, что нет единого перечня с описанием всех документов, входящих в ISO27k Toolkit.
Начну с того, что мне понравилось.
 
  • Коллеги за многие годы собрали действительно крутой FAQ по 27001. Его можно посмотреть или на сайте или в отдельном документе, входящим в ISO27k Toolkit. В нем аж 94 страницы.
  • Довольно интересно сделана ISO27k security awareness presentation, я нечто подобное делал для себя и у меня получилось схожее содержание. Забавно...
  • Неплохо описаны процессы аудита и работы с несоответствиями (корректирующие и предупреждающие действия). Ну, и в целом, документы про процессы довольно неплохо сделаны. 
  • Много полезных примеров про роли и ответственность, есть RACI-таблицы.
  • Полезные (для размышления) таблицы – шаблоны реестров активов и рисков. Мы используем схожие. 
  • Хорошо составлен List of ISO27k standards, указаны даже проекты документов. По каждому стандарту даны комментарии. 
  • Довольно интересные (к размышлению) документы "Generic ISO27k ISMS business case template v2" (короткий документ про ценность и цену СУИБ) и "ISMS implementation project estimator" (экселька, для оценки готовности и длительности приведения себя в соответствие стандарту, по умолчанию, ставит 18 месяцев)
Что мне не понравилось:
 
  • Очень слабые примеры Политик, Особенно печально, что нет хорошего примера  верхнеуровневой Политики ИБ. 
  • ISMS mandatory documentation checklist ужасен. По сути, рекомендаций о том, какие документы нужны толком не представлены.
  • Примеры проектных документов "ISMS implementation and certification process flowchart v4.1" и "ISMS implementation plan" выглядят солидно, но не особо пригодятся в реальной жизни. На мой взгляд, они слишком обобщенные и будут сильно отличаться от реальных проектов. 
  • Большие таблицы GDPR-ISO27k mapping, ISO27k information security program maturity assessment tool, Information security controls cross-check – вообще чушь, не применимо и без ценности для проекта.
На что еще обратил внимание:
 
  • Практически нет рекомендаций по управлению инцидентами, управлению непрерывностью и измерению ИБ. Кстати, про измерения ИБ дают неплохую подборку ссылок, найдете ее сами в FAQ).
  • Странно, что нет общего перечня процессов СУИБ.
  • Странно, что нет общего перечня документов СУИБ.
  • Практически нет рекомендаций про прохождение сертификационного аудита.
  • Примеров политик могло бы быть и побольше.
Итого: ISO27k Toolkit – штука, конечно, забавная, но не слишком полезная. Действительно ценных документов в нем единицы, а вот странных и разрозненных документов, которые будут отвлекать внимание слишком много.
Темы:мнениеАндрей ПрозоровSolar Security

Еще темы...