Подготовил сводную таблицу по перечню документов необходимых и рекомендуемых для построения СУИБ по ISO 27001-2013

1. Перечень
документов
(ISO
27001-­‐2013),
http://80na20.blogspot.ru
Сертификация
по
ISO
27001-­‐2013.
Рекомендации
по
перечню
документов
Версия:
3.0,
23.01.2015
Автор:
Прозоров
Андрей,
CISM
Блог:
«Жизнь
80
на
20»
-­‐
http://80na20.blogspot.ru
Данный
перечень
является
ориентировочным
(обязательные
документы
отмечены
цветом
и
в
комментариях)
и
может
быть
существенно
пересмотрен
при
внедрении
СУИБ
в
каждом
конкретном
случае.
Все
документы
сгруппированы
по
темам:
• Управление
проектом
• Управление
документацией
• Управление
ИБ
• Управление
рисками
• Кадровая
и
физическая
безопасность
• Обеспечение
ИБ
и
управление
ИТ
• Управление
непрерывностью
бизнеса
• Обучение
и
повышение
осведомленности
• Внутренний
аудит
• Дополнительные
требования
(compliance)
Для
каждого
документа
проставлен
условный
«коэффициент
важности/полезности»
(К):
1
Обязательный
документ.
Наличие
документа
необходимо
для
сертификации
по
ISO
27001-­‐2013
9
шт.
2
Рекомендуемый
документ.
Может
быть
заменен
аналогом
или
обоснованно
исключен.
45
шт.
3
Полезный
документ.
~19
шт.
Обратите
внимание,
что
область
действия
у
документов
может
быть
различной
(некоторые
только
в
рамках
области
действия
СУИБ,
другие
же
могут
распространяться
на
всю
компанию).
В
документах
с
описанием
процессов
полезно
прилагать
схемы
данных
процессов.
Для
этого
удобно
использовать
следующие
нотации
описания:
EPC,
BPMN
или
простая
блок-­‐схема.

2. Перечень
документов
(ISO
27001-­‐2013),
http://80na20.blogspot.ru
Перечень
документов
(ISO
27001-­‐2013)
№
Документ
Ссылка
Комментарий
К
Управление
проектом
1.
Приказ
о
внедрении
СУИБ
-­‐
2
2.
Отчет
о
проведении
GAP-­‐
анализа
(27001/27002)
-­‐
4.1,
4.2
Документ
описывает
текущее
состояние
информационной
безопасности
в
разрезе
выполнения
требований
и
рекомендаций
стандартов
ISO
27001
и
ISO
27002.
Дополнительно
желательно
указать:
контекст
1
организации,
перечень
уже
внедренных
документов,
сильные
и
слабые
стороны
существующей
системы
ИБ,
первичные
пожелания/предположения
об
области
действия
СУИБ.
3
3.
Устав
проекта
-­‐
7.1
«Классический»
документ
по
управлению
проектами.
Важно
указать
цели,
бюджет,
руководителя
проекта,
прочих
ответственных
(команда
проекта)
и
сроки.
2
4.
ИСР2
Проекта
/
ТЗ
на
СУИБ
/
Модель
СУИБ
-­‐
Документ
описывает
общую
модель
СУИБ
(роли,
процессы,
документы
и
пр.),
применимо
к
конкретной
организации.
Степень
детализации
может
быть
различной.
3
5.
Календарный
план
проекта
-­‐
8.1
2
6.
План
коммуникаций
7.4,
4.2
2
…
прочие
документы
-­‐
Например,
План
управления
рисками
(проекта),
различные
отчеты
и
пр.
3
Управление
документацией
7.
Процедура
управления
документацией
7.5.2,
7.5.3,
А.5.1.2,
А.8.2.2,
А.18.1.3
В
организации
уже
могут
быть
разработаны
и
документированы
требования
по
управлению
документацией
(определены
места
хранения,
ответственные,
правила
по
пересмотру,
разработке,
наименованию,
содержанию,
оформлению
и
пр.).
Также
данный
процесс
может
быть
автоматизированным.
В
таком
случае
разрабатывать
и
документировать
отдельную
процедуру
по
разработке
документов
СУИБ
не
имеет
смысла.
Следует
проверить
существующие
документы
на
наличие
в
них
положений,
необходимых
по
ISO
(например,
по
регулярному
пересмотру),
если
часть
из
них
отсутствует,
то
можно
их
задокументировать
в
«Политике
управления
ИБ»
(см.
п.15).
Рекомендуется
создать
краткую
памятку,
по
управлению
документацией
СУИБ.
Пригодится…
2
8.
Памятка
по
разработке
и
пересмотру
документов
СУИБ
7.5.2,
7.5.3,
А.5.1.2
3
9.
Комплект
шаблонов
типовых
документов
СУИБ
-­‐
см.27003
Политики/положения,
процедуры/регламенты,
инструкции,
отчеты,
журналы
учета
и
пр.
Пригодится
при
дальнейшей
разработке
документов.
3
10.
Перечень
документов
СУИБ
7.5.3
Рабочий
(регулярно
обновляемый)
документ
(обычно
таблица).
Рекомендуется
помимо
наименования
документов
указывать
дату
утверждения
документа,
ответственного
за
пересмотр,
дату
последнего
пересмотра.
Отдельной
таблицей
рекомендуется
вести
перечень
«записей»
(приказы,
отчеты,
протоколы,
акты,
и
пр.)
3
1
См.
п.4
стандарта
ISO
27001-­‐2013
и,
дополнительно,
http://80na20.blogspot.ru/2014/06/blog-­‐post_20.html
2
Иерархическая
структура
работ

3. Перечень
документов
(ISO
27001-­‐2013),
http://80na20.blogspot.ru
11.
Перечень
внешних
требований
по
ИБ
4.2,
A.18.1.1
Рабочий
(регулярно
обновляемый)
документ
(обычно
таблица).
Обычно
включает
в
себя
перечень
важных
договоров
(в
которых
есть
специальные
требования
по
ИБ),
локальные
законодательные
акты
,руководящие
документы,
стандарты,
регламентирующие
документы
вышестоящих
организаций,
отраслевые
требования
и
рекомендации,
и
пр.
Отдельно
имеет
смысл
вести
перечень
закупленных
стандартов
и
руководящих
документов.
2
12.
Список
внешних
контактов
7.4,
А.6.1.3,
А.6.1.4
Контактная
информация
полезных
внешних
организаций
(регуляторы,
партнеры,
поставщики,
консультанты,
профессиональные
ассоциации
и
пр.).
3
…различные
приказы
по
организации
(в
рамках
СУИБ)
-­‐
Об
утверждении
документов,
назначении
ответственных,
и
пр.
3
Управление
ИБ
13.
Область
действия
СУИБ
4.3
«ISMS
scope»
Желательно
в
документе
указать
основные
бизнес-­‐процессы,
вспомогательные
процессы,
персонал,
площадку,
информационные
активы,
информационные
системы,
и
пр.
Желательно
написать
обоснование
выбора
данной
области
действия
СУИБ.
Уровень
детализации
документа
определяется
самостоятельно.
Обычно
5-­‐10
страниц
текста.
Основные
процессы
удобно
описывать
в
нотации
IDEF0.
1
14.
Декларация
ИБ
5.1,
5.2,
А.5.1.1
«ISMS
Policy»
Декларация
представляет
собой
высокоуровневый
документ,
показывающий
приверженность
руководства.
Обычно
короткий
(1
страница
текста)
и
публичный
(общедоступный)
документ.
Политика
является
сборником
положений
по
управлению
ИБ,
обычно
20-­‐30
страниц
текста.
1
15.
Политика
управления
ИБ
5.1,
5.2,
6.2,
А.5.1.1
А.6.1.5
А.18.1.2
2
16.
Положение
о
ролях
и
ответственности
СУИБ
5.3,
А.6.1.1,
А.7.2.1,
A.16.1.1
Возможно,
но
не
желательно,
объединение
документов
в
один.
Протокол(-­‐ы)
заседания
комитета
ИБ
необходимо
сохранять.
В
англоязычной
литературе
«комитет
по
ИБ»
по
сути
соответствует
«Steering
committee».
В
государственных
органах
РФ
задачи
«комитета
по
ИБ»
могут
быть
возложены
на
«Комиссию
ПДИТР»
(Комиссия
по
противодействию
иностранным
техническим
разведкам).
2
17.
Положение
о
комитете
ИБ
5.3
+см.
ISO
27003
2
18.
Процедура
мониторинга
СУИБ
9.1
Удобно
приложением
к
документу
подготовить
перечень
метрик
и
KPI
СУИБ.
Отчеты
необходимо
сохранять.
2
19.
Процедура
анализа
СУИБ
руководством
9.3
Обычно
короткий
документ
(2-­‐5
страниц).
Отчеты
и
протоколы
решений
необходимо
сохранять.
2
20.
Процедура
постоянного
улучшения
СУИБ
10,
8.1
Обычно
короткий
документ
(2-­‐5
страниц).
2

4. Перечень
документов
(ISO
27001-­‐2013),
http://80na20.blogspot.ru
Управление
рисками
21.
Перечень
информации
ограниченного
доступа
А.8.2.1,
А.18.1.4
Удобно
в
одном
документе
указать
все
типы
конфиденуиальной
инфомрации
(ПДн,
КТ
и
пр.).
Для
ПДн
полезно
указать
цели
и
основание
для
обработки,
тип
обработки,
специальные
категории
ПДн,
срок
хранения.
2
22.
Процедура
управления
рисками
информационной
безопасности
6.1.2,
8.2
1
23.
Методика
оценки
рисков
информационной
безопасности
6.1.2,
А.8.2.1,
А.11.1.4
Желательно
дополнить
методикой
инвентаризации
активов
и
положениями
о
критериях
принятия
рисков.
1
24.
Реестр
активов
(информационных)
А.8.1.1,
А.8.1.2
Могут
быть
объединены
в
один
документ.
Для
информационных
активов
обязательно
указание
владельца
(обычно
руководитель
подразделения).
1
25.
Перечень
информационных
систем
и
сервисов
/
Каталог
сервисов
А.8.1.1
2
26.
Схема
сети
-­‐
Рабочий
(регулярно
обновляемый)
документ
(обычно
схема
в
visio).
3
27.
Перечень
средств
защиты
-­‐
Рабочий
(регулярно
обновляемый)
документ
(обычно
таблица).
3
28.
Отчет
об
оценке
рисков
информационной
безопасности
6.1.3
f,
8.2
A.8.1.1,
А.8.2.1,
Помимо
формальной
оценки
рисков
необходимо
провести
совещание/согласование
допустимого
уровня
риска
(остаточных
рисков).
Итоговый
отчет
должен
содержать
упоминание
владельцев
рисков
(обычно
владелец
связанного
информационного
актива).
1
29.
Положение
о
применимости
мер
контроля
6.1.3
d
«Statement
of
Applicability»
1
30.
План
обработки
рисков
6.1.1,
6.1.3
e,
8.3
«Risk
treatment
plan»
1
31.
Отчет(-­‐ы)
о
реализации
Плана
обработки
рисков
8.3
2
Кадровая
и
физическая
безопасность
32.
Политика
управления
персоналом
7.2,
А.7.1.1,
А.7.1.2,
А.7.2.1,
А.7.2.2,
А.7.2.3,
А.7.3.1
В
организации
уже
могут
быть
разработаны
и
документированы
требования
и
процессы
по
управлению
персоналом.
В
таком
случае
разрабатывать
и
документировать
отдельные
политику
и
процедуры
не
имеет
смысла.
Следует
проверить
существующие
документы
на
наличие
в
них
положений,
необходимых
по
ISO
(например,
по
проверке
персонала),
если
часть
из
них
отсутствует,
то
можно
их
задокументировать
в
«Политике
управления
ИБ»
(см.
п.15).
Полезно
сделать
приложением
чек-­‐листы:
«При
приеме
персонала»
и
«При
увольнении
персонала».
Процедуру
приема
и
увольнения
персоналам
желательно
связать
с
процессом
предоставления
и
изменения
прав
доступа
к
информационным
системам.
2
33.
Процедура
приема
и
увольнения
персонала
А.7.1.1,
А.7.1.2,
А.7.2.3,
А.7.3.1,
А.8.1.4,
А.9.2.6
2

5. Перечень
документов
(ISO
27001-­‐2013),
http://80na20.blogspot.ru
34.
Соглашение
о
неразглашении
(шаблон)
А.7.1.2
2
Трудовой
договор,
Положения
о
подразделении,
Должностные
инструкции
А.6.1.1,
А.6.1.2,
А.7.1.2,
А.7.2.1
Необходимо
пересмотреть
и
актуализировать
существующие.
В
частности,
внести
допольнительные
положения,
связанные
с
СУИБ,
в
инструкции
сотрудников
подразделений
ИБ,
ИТ,
отдела
кадров,
юридического
отдела,
а
также
в
положения
о
данных
подразделениях.
2
35.
Политика
физической
безопасности
А.11.1.1,
А.11.1.2,
А.11.1.3,
А.11.1.4,
A.11.1.5,
А.11.1.6,
А.11.2.1,
А.11.2.2,
А.11.2.3,
А.11.2.4,
А.11.2.5,
А.11.2.6,
А.11.2.7,
А.8.1.4,
А.8.3.3
Большой
сводный
документ.
Полезно
приложением
сделать
План
помещений
с
указанием
зон
безопасности
(периметр).
Для
каждой
зоны
(например,
серверные
помещения,
архив,
общие
коридоры)
желательно
удобно
требования
по
защите
и
необходимое
техническое
оснащение
(ОПС,
двери,
сейфы,
видеонаблюдение
и
пр.).
Желательно
на
схеме
указать
помещения,
в
которых
обрабатываются
ПДн.
Пригодится…
Желательно
ограничить
доступ
к
данному
документу.
2
36.
Памятка
по
работе
в
защищенных
помещениях
А.11.1.5
Обычно
разрабатывается
для
работы
в
серверных
помещениях.
Часто
копия
документа
хранится
в
этих
помещениях.
3
37.
Перечень
лиц,
имеющих
доступ
в
серверные
помещения
А.11.1.5
Часто
копия
документа
прикрепляется
с
внутренней
стороны
двери
серверного
помещения.
3
Обеспечение
ИБ
и
управление
ИТ
38.
Политика
допустимого
использования
А.6.2.1,
А.6.2.2,
A.8.1.3,
А.8.3.1
«Acceptable
use
policy»
Большой
сводный
документ
по
требованиям
к
использованию
ИТ-­‐сервисов
и
средств
обработки
информации.
Может
быть
разделен
на
несколько
документов.
Например,
может
быть
выделен
документ
«Политика
использования
мобильных
устройств».
Обычно
в
документе
указывают
положения
по
использованию
корпоративной
электронной
почты
и
сети
интернет,
сервисов
мгновенных
сообщений
и
IP-­‐телефонии,
съемных
носителей,
копировально-­‐множительной
техники,
мобильных
устройств
(личных
и
корпоративных),
рабочих
станций
и
общих
файловых
серверов,
удаленного
доступа.
Полезно
прописать
положения
по
наличию
систем
по
контролю
выполнения
данных
требований
(обычно
DLP).
2
39.
Политика
управления
доступом
A.9.1.1,
А.9.1.2,
А.9.2.2,
А.9.2.3,
А.9.2.4,
А.9.2.5,
А.9.2.6,
А.9.4.1,
А.9.4.2,
А.6.1.2
«Access
control
policy»
Сводный
документ,
описывающий
общие
вопросы
разграничения,
предоставления
и
изменения
прав
доступа.
2

6. Перечень
документов
(ISO
27001-­‐2013),
http://80na20.blogspot.ru
40.
Процедура(-­‐ы)
предоставления
и
изменения
прав
доступа
А.9.2.1,
А.9.2.2,
А.9.2.3,
А.9.2.4,
А.9.2.5,
А.9.2.6
Может
быть
несколько
с
привязкой
к
конкретным
информационным
системам.
Полезно
разработать
документ
по
предоставлению
доступа
к
ИСПДн.
Документ
может
отсутствовать
при
указании
необходимых
положений
в
Политике
управления
доступом
(п.39).
2
41.
Политика
управления
паролям
A.9.2.1,
A.9.2.2,
A.9.2.4,
A.9.3.1,
A.9.4.3
2
42.
Политика
информационной
безопасности
при
работе
с
поставщиками
А.15.1.1,
А.15.1.2,
А.15.1.3,
А.15.2.1,
А.15.2.2,
А.13.2.3,
А.13.2.4,
7.5.3
«Supplier
security
policy»
Приложением
к
документу
удобно
сделать
пример
соглашение
в
части
ИБ
с
поставщиками
услуг
(NDA).
Необходимо
хранить
все
договора
и
SLA,
подписанные
с
поставщиками.
2
43.
Политика
регистрации
и
мониторинга
событий
ИБ
А.12.4.1,
А.12.4.2,
А.12.4.3,
А.12.4.4
2
44.
Процедура
управления
инцидентами
A.16.1.1,
A.16.1.2,
A.16.1.3,
A.16.1.4,
A.16.1.5
A.16.1.6,
A.16.1.7
Часть
положений
об
управлении
инцидентами
удобно
прписать
в
Политике
управлени
ИБ
(п.15).
Необходимо
хранить
отчет(-­‐ы)
об
инцидентах.
2
45.
Комплект
инструкций
по
реагированию
на
инциденты
А.7.2.3,
A.16.1.5,
A.16.1.7
Например,
по
реагированию
на
утечку
информации,
потерю
ноутбуков
и
документов,
заражение
компьютеров
вредоносным
ПО,
уничтожение
данных
и
пр.
3
46.
Политика
антивирусной
защиты
А.12.2.1,
А.9.4.4,
А.9.4.5
Иногда
в
документ
включают
положения
по
защите
от
спама.
2
47.
Перечень
допустимого
ПО
А.9.4.4,
А.9.4.5
Полезно
подготовить
и
утвердить
перечень
допустимого
программного
обеспечения,
любое
другое
ПО
должно
быть
запрещено
или
устанавливаться
только
по
согласованной
заявке
пользователей.
3
48.
Процедура
резервного
копирования
и
восстановления
информации
А.12.3.1
К
документу
полезно
приложить
перечень
ресурсов
для
резервного
копирования
с
указанием
RPO.
2
49.
Политика
обмена
информацией
А.8.3.3,
А.13.2.1,
А.13.2.2,
А.13.2.3,
А.13.2.4,
Довольно
редкий
документ,
без
которого
вполне
можно
обойтись.
Основные
положения
можно
прописать
в
Политику
управления
ИБ
(п.15),
Инструкцию
пользователю
(п.65)
и
Политику
физической
безопасности
(п.35).
2

7. Перечень
документов
(ISO
27001-­‐2013),
http://80na20.blogspot.ru
50.
Политика
использования
криптографических
средств
защиты
А.10.1.1,
А.10.1.2,
А.18.1.5
Довольно
редкий
документ,
без
которого
вполне
можно
обойтись.
Основные
положения
можно
прописать
в
Политику
управления
ИБ
(п.15)
и
Политику
обеспечения
сетевой
безопасности
(п.52).
2
51.
Процедура
уничтожения
носителей
информации
A.8.3.2,
А.11.2.7
Довольно
редкий
документ,
без
которого
вполне
можно
обойтись.
Основные
положения
можно
прописать
в
Инструкцию
пользователю
(п.65)
и
Политику
физической
безопасности
(п.35).
2
52.
Политика
обеспечения
сетевой
безопасности
А.13.1.1,
А.13.1.2,
А.13.1.3,
А.9.1.2,
А.9.4.1,
А.9.4.2,
А.17.2.1
Большой
сводный
документ,
содержащий
общие
положения
по
сетевой
безопасности.
Может
быть
дополнен
или
заменен
на
Корпоративный
стандарт
по
ИБ.
Документ
связан
со
Схемой
сети
(п.26)
и
Перечнем
средств
защиты
(п.27).
Желательно
ограничить
доступ
к
данному
документу.
2
53.
Политика
обеспечения
ИБ
при
внедрении,
обслуживании
и
использовании
информационных
систем
A.12.1.1,
A.12.1.2,
A.12.1.3,
A.12.1.4,
A.12.5.1,
A.12.6.1,
A.12.6.2,
A.14.1.1,
A.14.1.2,
A.14.1.3,
A.14.2.1,
A.14.2.2,
A.14.2.3,
A.14.2.4,
A.14.2.5,
A.14.2.6,
A.14.2.7,
A.14.2.8,
A.14.2.9,
A.14.3.1,
А.6.1.5
Большой
сводный
документ,
может
быть
разбит
на
несколько
или
дополнен
отдельными
процессами
управления
ИТ
(при
их
высокой
зрелости).
2
Управление
непрерывностью
бизнеса
54.
Политика
обеспечения
непрерывности
бизнеса
А.17.1.1
2
55.
Методика
оценки
влияния
на
бизнес
(BIA)
и
Отчет
А.17.1.1
3
56.
Реестр
рисков
непрерывности
бизнеса
+
Отчет
о
результатах
анализа
рисков
А.17.1.1
Если
не
сделано
отдельно
в
общих
рисках
ИБ
(п.28).
3
57.
Стратегия
непрерывности
бизнеса
А.17.1.1
Необходимо
указать
RTO
и
RPO.
Необходимо
рассмотреть
необходимые
ресурсы:Персонал,
Площадки,
Технологии,
Информация,
Запасы,
договоренности
с
третьими
сторонами
и
пр.
2
58.
План(-­‐ы)
реагирования
A.17.1.2
BCP
и,
при
необходимости,
DRP
.
В
приложении
полезно
указывать
список
контактов.
2

8. Перечень
документов
(ISO
27001-­‐2013),
http://80na20.blogspot.ru
59.
Процедура
тестирования
плана
восстановления
А.17.1.3
Необходимо
хранить
отчет(-­‐ы)
о
тестировании
плана
восстановления.
2
60.
График
и
программа
учений
А.17.1.3
2
…различные
договора
и
соглашения
с
внешними
поставщиками
A.17.1.2
2
Обучение
и
повышение
осведомленности
61.
Процедура
обучения
и
повышения
осведомленности
7.2,
7.3,
А.7.2.2
Необходимо
сохранять
отчеты
об
обучении
и/или
записи
в
журнале
обучения,
а
также
различные
документы,
подтверждающие
степень
подготовки
и
квалификацию
сотрудников
компании.
2
62.
План
обучения
и
повышения
осведомленности
7.2,
А.7.2.2
2
63.
Памятка
по
СУИБ
7.3
Важные
положения
про
СУИБ
(когда
начали
внедрять,
какая
область
действия,
кто
ответственный,
что
прописано
в
Декларации,
что
делать
при
инцидентах
и
пр.).
Пригодится
при
прохождении
сертификационного
аудита.
3
64.
Материалы
по
обучению
и
повышению
осведомленности
7.2
,
А.7.2.2
3
65.
Инструкция
пользователю
по
информационной
безопасности
7.3,
А.9.3.1,
А.11.2.8,
А.11.2.9,
A.16.1.2,
A.16.1.3
Сборник
требований
и
рекомендации,
содержит
ссылки
на
важные
документы,
регламентирующие
обработку
и
защиту
информации.
Рекомендуется
прописать
положения
“политики
чистых
столов
и
экранов”.
Следует
регулярно
пересматривать
и
актуализировать,
документ
должен
быть
простым
и
понятным
обычным
пользователям.
3
Внутренний
аудит
66.
Процедура
внутреннего
аудита
9.2
2
67.
Программа
внутреннего
аудита
9.2,
А.12.7.1,
А.18.2.1,
А.18.2.2,
А.18.2.3
2
68.
Отчет
(-­‐ы)
о
проведении
внутреннего
аудита
9.2
1
69.
Чек-­‐лист
(критерии
аудита)
9.2
Кстати,
удобно
сделать
отдельный
перечень
критериев
аудита
для
проверки
выполнения
требований
по
ПДн.
2

9. Перечень
документов
(ISO
27001-­‐2013),
http://80na20.blogspot.ru
Дополнительные
требования
(compliance).
При
наличии
в
области
действия
СУИБ
соответствующих
категорий
информации
(например,
ПДн)
70.
Политика
оператора
в
части
обработки
ПДн
(общедоступная)
А.18.1.4
-­‐
71.
Положение
об
обработке
ПДн
А.8.2.3,
А.18.1.4
-­‐
72.
Приказ
о
назначении
ответственных
за
обработку
и
обеспечение
безопасности
ПДн
А.18.1.4
-­‐
73.
Протокол
оценки
возможного
вреда
для
субъектов
ПДн
А.18.1.4
-­‐
74.
Акт(-­‐ы)
определения
уровня
защищенности
ПДн
при
их
обработке
в
ИСПДн
А.18.1.4
-­‐
75.
Модель
угроз
и
нарушителя
А.18.1.4
Может
быть
в
рамках
оценки
рисков,
но
удобнее
сделать
отдельным
документов
с
учетом
требований
и
рекомендаций
регуляторов
(ФСТЭК
России
и
ФСБ
России)
-­‐
76.
Комплект
документов
на
СЗПДн
А.18.1.4
Техническое
задание,
комплект
документов,
входящих
в
Технический
проект
на
СЗПДн,
План
мероприятий
по
защите
ПДн
77.
Положение
о
защите
ПДн
А.18.1.4
Укороченная
версия
с
учетом
документов
СУИБ
+
ссылки
на
документы
СУИБ
-­‐
78.
Положение
о
применимости
мер
по
обеспечению
безопасности
ПДн
А.18.1.4
По
Приказу
ФСТЭК
России
№21
-­‐
79.
Процедура
реагирования
на
запросы
субъектов
ПДн
(и
их
законных
представителей)
А.18.1.4
-­‐
80.
Комплект
журналов
учета
А.18.1.4
Например,
обращения
субъектов
ПДн.
-­‐
81.
Комплект
форм
согласия
на
обработку
ПДн
82.
Копия
уведомления
РКН
83.
Положение
о
коммерческой
тайне
А.8.2.3,
А.18.1.4
-­‐
84.
Комплекты
документов
на
аттестованные
помещения
и/или
информационные
системы
-­‐
-­‐
85.
Сертификаты
на
СЗИ
-­‐
-­‐
…
прочие
документы

10. Перечень
документов
(ISO
27001-­‐2013),
http://80na20.blogspot.ru
Дополнительные
ссылки
1. ISO/IEC
27001:2013
«Information
technology
-­‐-­‐
Security
techniques
-­‐-­‐
Information
security
management
systems
-­‐-­‐
Requirements»
2. ISO/IEC
27002:2013
«Information
technology
-­‐-­‐
Security
techniques
-­‐-­‐
Code
of
practice
for
information
security
controls»
3. ISO/IEC
27003:2010
«Information
technology
-­‐-­‐
Security
techniques
-­‐-­‐
Information
security
management
system
implementation
guidance»
4. ISO
27001
Documentation
Toolkit
-­‐
http://www.iso27001standard.com/iso-­‐27001-­‐documentation-­‐
toolkit
5. Статья
«List
of
mandatory
documents
required
by
ISO
27001
(2013
revision)»
-­‐
http://www.iso27001standard.com/blog/2013/09/30/list-­‐of-­‐mandatory-­‐documents-­‐required-­‐by-­‐iso-­‐
27001-­‐2013-­‐revision
6. FREE
ISO27k
Toolkit
-­‐
http://www.iso27001security.com/html/iso27k_toolkit.html
7. Политики
от
SANS
-­‐
http://www.sans.org/security-­‐resources/policies
8. Комплект
типовых
документов
по
информационной
безопасности
от
Global
Trust
Solution
-­‐
http://www.globaltrust.ru/ru/produkty/komplekty-­‐dokumentov-­‐po-­‐informacionnoi-­‐
bezopasnosti/tipovye-­‐organizacionno-­‐rasporyaditelnye-­‐dokumenty-­‐po-­‐informacionnoi-­‐bezopasnosti