Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Обзор ISO27k toolkit

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()

Когда я написал прошлую замету про SoA мне в комментарии написали, что схожий шаблон документа можно найти в довольно известной подборке шаблонов и рекомендаций по внедрению СУИБ - ISO27k Toolkit, который можно выложен в свободный доступ тут - http://iso27001security.com.

Как оказалось, тулкит был обновлен в начале 2019 года, поэтому я решил написать на него обзор. Полагаю, что это будет полезно. 
"The ISO27k Toolkit is a collection of generic ISMS-related materials contributed by members of the ISO27k Forum, most of which are licensed under the Creative Commons. We are very grateful for the generosity and community-spirit of the donors in allowing us to share them with you, free of charge. This is a work-in-progress: further contributions are most welcome, whether to fill-in gaps, offer constructive criticism, or provide additional examples of the items listed below."
ISO27k Toolkit - это сборник различных материалов по теме внедрения и сертификации СУИБ, собранных сообществом форума. От этого есть плюсы (документов много, они могут быть на разных языках, обобщено много полезного опыты) и минусы (документы друг с другом не связаны, написаны в разном стиле и плохо сгруппированы). 

Я все изучил и сделал майндкарту по всем материалам, а смайликами отметил качество и пользу документов (грустные смайлики означают, что документ не стоит даже открывать). В pdf документ выложил в группу в ВК - https://vk.com/isms8020
Итак, про документы:
  • Как я уже сказал, они плохо структурированы и сгруппированы. Почему-то группировка по "папкам" есть только в описании на сайте, а вот документы в zip-файле свалены в одну кучу. Их там чуть меньше 100, поэтому искать и работать с ними не очень удобно. Некоторые документы имеют другое наименование (не то, что в описании на сайте).
  • Странно, что нет единого перечня с описанием всех документов, входящих в ISO27k Toolkit.

Начну с того, что мне понравилось.
  • Коллеги за многие годы собрали действительно крутой FAQ по 27001. Его можно посмотреть или на сайте - http://iso27001security.com/html/faq.html или в отдельном документе, входящим в ISO27k Toolkit. В нем аж 94 страницы.
  • Довольно интересно сделана ISO27k security awareness presentation, я нечто подобное делал для себя и у меня получилось схожее содержание. Забавно...
  • Неплохо описаны процессы аудита и работы с несоответствиями (корректирующие и предупреждающие действия). Ну, и в целом, документы про процессы довольно неплохо сделаны. 
  • Много полезных примеров про роли и ответственность, есть RACI-таблицы.
  • Полезные (для размышления) таблицы - шаблоны реестров активов и рисков. Мы используем схожие. 
  • Хорошо составлен List of ISO27k standards, указаны даже проекты документов. По каждому стандарту даны комментарии. 
  • Довольно интересные (к размышлению) документы "Generic ISO27k ISMS business case template v2" (короткий документ про ценность и цену СУИБ) и "ISMS implementation project estimator" (экселька, для оценки готовности и длительности приведения себя в соответствие стандарту, по умолчанию, ставит 18 месяцев)

Что мне не понравилось:
  • Очень слабые примеры Политик, Особенно печально, что нет хорошего примера  верхнеуровневой Политики ИБ. 
  • ISMS mandatory documentation checklist ужасен. По сути, рекомендаций о том, какие документы нужны толком не представлены.
  • Примеры проектных документов "ISMS implementation and certification process flowchart v4.1" и "ISMS implementation plan" выглядят солидно, но не особо пригодятся в реальной жизни. На мой взгляд, они слишком обобщенные и будут сильно отличаться от реальных проектов. 
  • Большие таблицы GDPR-ISO27k mapping, ISO27k information security program maturity assessment tool, Information security controls cross-check - вообще чушь, не применимо и без ценности для проекта.

На что еще обратил внимание:
  • Практически нет рекомендаций по управлению инцидентами, управлению непрерывностью и измерению ИБ. Кстати, про измерения ИБ дают неплохую подборку ссылок, найдете ее сами в FAQ).
  • Странно, что нет общего перечня процессов СУИБ.
  • Странно, что нет общего перечня документов СУИБ.
  • Практически нет рекомендаций про прохождение сертификационного аудита.
  • Примеров политик могло бы быть и побольше.

Итого: ISO27k Toolkit - штука, конечно, забавная, но не слишком полезная. Действительно ценных документов в нем единицы, а вот странных и разрозненных документов, которые будут отвлекать внимание слишком много.
Оцените материал:
Total votes: 87
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.