29.06.2011

Десять ключей к сертификации по ISO 27001

Раз практикой ИБ называют перепечатку книг, практические советы давать как-то неловко. Пусть будут ключи.

1. Если есть возможность, читайте стандарт в оригинале. Кто не знает старый одесский анекдот про Карузо, тот гуглит и знает.

2. Не перегружайте себя информацией - достаточно самих 27тыщ, это и так нехилый объем (и к ним потом 19011, и еще пару раз отправят подглядеть в 18044 и 13335). Чем больше будет вроде бы родственных источников, тем больше все будет только запутываться.

3. Если многократное перечитывание пункта не дает понимания, поищите параллель в 9тыщах (например, инциденты - несоответствующая продукция), они хорошо проработаны. Да, это помогает только с управленческими вопросами, но с техническими Вы и так разберетесь.

4. Не думайте, что при ограниченности в деньгах, времени, иных ресурсах, можно сертифицировать не всю организацию, а любую ее часть. Можно, но не любую.
Чтобы смочь обосновать выбор области сертификации, продемонстрировать связь с бизнесом, отстоять свою оценку рисков и т.п., нужно ИБшить то, что для организации является одним из источников дохода - производство продукта или сервиса (группы продуктов или сервисов). В отсутствие коммерческой деятельности, сгодится безвозмездная услуга, а в отсутствие внешних клиентов - внутренняя, но все равно нечто с потребителями, и чем оно для организации важнее, тем лучше.
В область действия придется взять всех, кто принимает участие в ИБ этой услуги - если обучением занимается работник кадровой службы, скажем, то его тоже. Поэтому когда говорят, что некто сертифицировал сервис-деск, знайте: речь не о подразделении с таким названием, а об услуге сервис-деска.
Очерченные границы будут проверяться и должны быть материальными - либо толстая воздушная прослойка (между питерским офисом, в котором находится часть процессов, и идущим на сертификацию пермским датацентром / казанским отделением / уфимским филиалом), либо заглушка в виде договора ("А это другая услуга, мы получаем ее от телефонистов - вот регламент и внутренний SLA").
Наибольшая экономия ресурсов будет на количестве людей, подготавливаемых к встрече с аудиторами, небольшая на стоимости услуг аудиторов, на документировании незначительная.

5. Требуется, чтобы от провозглашения области в локальном нормативном до выхода на сертификацию прошло хотя бы полгода. На самом деле, от вас ожидают хотя бы единожды пройденный системой менеджмента цикл PDCA, поэтому если за созданием и внедрением СМИБ не последовала оценка руководством (на основе метрик, статистики инцидентов и т.п.) с принятием соответствующих решений, то возраст не поможет.

6. Те же документальные следы четырех фаз, что и для СМИБа в целом, нужны для каждого "контрола": установление правил и порядка (в политиках и процедурах), свидетельства функционирования (журналы), свидетельства проверки (отчеты внутреннего аудита), свидетельства устранения несоответствий между регламентацией и реализацией (карточки внесения изменений или превентивных/корректирующих мер), далее по кругу.

7. В первую очередь запускайте главное колесо: политика ИБ организации и заявление руководства (в эту политику обычно и включают упоминание области действия СМИБ, отвечающей 27 тыщам), положение об управляющем органе СМИБа и все остальные параграфы из бывшей второй части, которая теперь 27001. Ибо пробелы в реализации 27001 - это "мейджоры", т.е. недостатки, несовместимые с сертификацией, а пробелы в реализации 27002 и других 2700х (кроме пунктов, совпадающих с 27001) - это просто несоответствия, которые, если их не бешеные десятки, будете устранять уже после благополучного получения сертификата.

8. Все потребные аудиторам документы, кроме почему-то Положения о применимости, упомянуты в 27001 и 27002 - просто обращайте внимания на слова documented, established, written и formal (и это еще один аргумент в пользу оригинала, т.к. в русском варианте на этом месте может стоять что угодно - от "актировка" до "самовар").

9. Требуйте предсертификационного аудита: те же самые люди, которые сертифицируют, расскажут Вам, что требуется подтянуть, чтобы соответствовало. Идеально, если на предсертификационный вдруг удастся заполучить того же руководителя аудиторской группы, который будет на сертификационном, ибо сколько я их уже перевидел - все по-разному читают стандарт (а связано это, в-основном, с их прошлым, т.к. чем раньше занимался, в том лучше разбирается и на то больше внимания обращает).

10. Не перевыполняйте план, это плохо аукнется при сопровождении (сертификационный аудит - не последний, для поддержания сертификации предстоит регулярно принимать у себя контрольные и ресертификационные). Поэтому гоните консультантов: они построят излишне навороченную систему менеджмента, причем не на имеющемся фундаменте, а рядом отдельно - сертификацию-то пройдете, но эксплуатировать замучаетесь. Поэтому же не заимствуйте реализацию "контролов" у крутых дядек, а ищите подобие у себя и переделывайте.

з.ы. Ну и да, стандарт где-нибудь раздобудьте ;)

19 комментариев:

Алексей Волков комментирует...

> Раз практикой ИБ называют перепечатку книг

Весь будущий труд eagle насмарку...

Александр Бодрик комментирует...

Кстати, а соответствующие ГОСТы относительно нормально переведены?

P.S. Люди разные, ну и подходящие им практики\книжки тоже:)

Ригель комментирует...

Алексею Волкову:
Его этим не остановишь: делание имени на чужом контенте - это как наркотик - легко начать, невероятно сложно соскочить.

Александру Бодрику:
На четверочку, поэтому и пункт 1.

Александр Бодрик комментирует...

Честно говоря в отношении СISSP (оставим за рамками применимость сабжа, ведь штука реально стоит своих денег хотя бы в качестве средства против ейчар-фильтра) ценность оспорить вроде бы сложно - больно большая штука...впихнуть все это в голову весьма сложно, немного помогают CBT nuggets но в целом перевод должен быть полезен даже знающим английский.

P.S. Классное сравнение:)

Алексей Волков комментирует...

> легко начать, невероятно сложно соскочить

да. пройденный этап. nmap.

Григорий комментирует...

Все верно, только вот удивился
"Все потребные аудиторам документы, кроме почему-то Положения о применимости, упомянуты в 27001 и 27002"
Поиск стейтмента в 27001:
3.16; 4.2.1.j); 4.3.1.i).

Ригель комментирует...

Григорию:
Хм, действительно! Что же меня попутало - в 7799-2 его что-ль не было? Вычеркиваю, спасибо за внимательность.

Григорий комментирует...

Имхо, можно где-то упомянуть про важность записей для демонстрации работы СМИБ. Ценятся законченные цепочки (инцидент - изменения в оценке рисков - новая обработка - переоценка; инцидент - новое улучшение - его выполнение - оценка эффективности; и т.п.), о них нужно думать при подготовке "к" и последующем сопровождении. Часто это стыки параллельных процессов, но они должны срабатывать.

Ригель комментирует...

Принцип оставления четырех следов описан в пунктах 5 и 6, расписывать по слогам каждую "крутилку" в мои планы не входило - умному достаточно.

Григорий комментирует...

Перефраз: следы всех циклов и для всех контролей будут, а вот быстро их связать может не получиться. А надо. Подсказка не глупым, а не опытным.

Ригель комментирует...

Не, это лишние тонкости, их в первые года три все-равно никто не тянет и не надо. Я тут как раз Александру Бондаренко говорил, что глубины с годами сопровождения раскрываются.

Владимир Стыран комментирует...

Глагол "ИБшить" - это пять. Материал тоже. Ушел апать и твитить.

Ekaterina Lyashenko комментирует...

Спасибо за "ключи" :))

Ригель комментирует...

Владимир, Екатерина, спасибо на добром слове.

Dr Anton Chuvakin комментирует...

А не подскажите, что мотивирует большинство организаций сертифицироваться по 27001? Не просто почитать и подумат тихо, а именно сертифицироваться?

Ригель комментирует...

Потребность в демонстрации. Дальше варианты:
а) своим
Владельцу и/или руководителю бизнеса - что у них есть основания для уверенности, что порученная CISO деятельность управляется на уровне лучших мировых практик.
б) внешним
Действующим и потенциальным инвесторам, партнерам и клиентам - что у них есть основания для уверенности, что сотрудничество с этой организацией более (или столь же) безопасно, чем с некой другой.
в) себе
Что то, что ты умеешь и делаешь, не хуже опять же лучших мировых. Независимость оценщика дает основания для уверенности и дополнительно дисциплинирует.

eagle комментирует...

Очень полезные рекомендации, спасибо! Не возражаете, если я дам на них ссылку в своем дайджесте?
Кроме того, есть предложение. Может Вас заинтересует. Я, как Вы знаете, у себя в блоге как раз перевожу книгу по сертификации 27001, не хотели бы Вы у себя написать несколько кратких рецензий на ее главы? С практической точки зрения и с учетом российской специфики, основываясь на Вашем опыте? Мне кажется это было бы крайне полезно. Как Вы считаете?

>> делание имени на чужом контенте - это как
>> наркотик - легко начать, невероятно сложно
>> соскочить.
Даже в мыслях не было.

Ригель комментирует...

Не думал, что Вы у своих источников согласия берете ;) Да, конечно, ссылайтесь - у читателей будет интересная пара к той книжке.
О рецензии я подумаю - надо бы сначала почитать, а столько букв...
Про делание имени беру назад. Просто несколько имен действительно так сделаны, очень похоже.

eagle комментирует...

Спасибо! :) Рецензии лучше не ко всей книге, а к отдельным главам - так и букв меньше читать, и сами рецензии будут более тематическими. Естественно, если у Вас будет время и желание ;) Собственно и у меня много времени на перевод нет, так что главы будут появляться постепенно, по 1-2 в месяц.

Отправить комментарий