ADG Оставить заявку
Блог Регуляторика 5 мин чтения

ISO 27001: gap-анализ по 133 контролям - 41% не выполнен, и это ещё оптимистично

Первый клиент попросил помочь с ISO 27001. Провели gap-анализ по Annex A: 41% контролей отсутствует или выполнен частично. Составили roadmap на 18 месяцев.

Контекст момента

ISO/IEC 27001:2005 набирает популярность в России - первые российские компании проходят сертификацию в 2007 году

На прошлой неделе к нам пришёл клиент с запросом, которого раньше не было: «Нас просят пройти ISO 27001. Что это и с чего начать?» Производственная компания с несколькими сотнями человек, собственная ИТ-служба из трёх человек, инфраструктура без особых экзотик. Западный партнёр выдвинул сертификацию как условие для подписания долгосрочного контракта.

ISO/IEC 27001:2005 - международный стандарт управления информационной безопасностью. Сертификацию по нему в России уже прошли несколько компаний в этом году, в основном крупные банки и телеком. Для среднего бизнеса это пока непривычная история - и понятно, почему: стандарт объёмный, Annex A содержит 133 контроля, распределённых по 11 доменам, и без внятной карты приоритетов работа с ним превращается в хаос.

С чего начали

Первый шаг - не читать стандарт с первой страницы до последней, а провести gap-анализ: понять, что уже есть, чего нет совсем, что есть частично. Мы взяли Annex A как чек-лист, прошлись по каждому из 133 контролей и проставили статус: выполнен, частично выполнен, отсутствует. Работали два дня - интервью с ИТ-службой, просмотр документации, беглый технический осмотр.

Итог: полностью выполнен примерно 41% контролей. Остальные - либо частичные, либо отсутствуют вовсе. Честно говоря, это не катастрофа - примерно такой результат ожидаешь от компании, которая строила ИТ-инфраструктуру органически, без явной привязки к какому-либо фреймворку безопасности.

Три главных пробела

По итогам анализа выявились три домена, которые тянут сертификацию вниз сильнее всего.

Управление активами (домен A.7). В компании нет актуального реестра информационных активов. Есть таблица инвентаря оборудования, есть лицензионный учёт - но нет документа, который связывает активы с их ценностью для бизнеса, ответственными лицами и требованиями к защите. ISO 27001 требует именно этого: без инвентаря активов непонятно, что вообще защищать. Несколько контролей этого домена отсутствуют полностью.

Управление инцидентами (домен A.13). Инциденты безопасности в компании происходят - как везде. Но процесса их регистрации, классификации и разбора нет. Если что-то случается, ИТ-служба чинит и идёт дальше. Никакого журнала, никакой эскалации, никакого анализа повторяемости. Для ISO 27001 это критичный пробел: стандарт требует не только реагировать, но и учиться на инцидентах и улучшать контроли по результатам.

Непрерывность бизнеса (домен A.14). Вот тут интереснее всего. Формально у клиента есть бэкапы и даже DR-план на бумаге - мы с похожей темой работали недавно у другого клиента. Но ISO 27001 смотрит шире: нужны не просто технические процедуры восстановления, а Business Continuity Plan, охватывающий бизнес-процессы, роли и коммуникации при инциденте. Технической части что-то есть, организационной - нет совсем. Стандарт принимает оба компонента в комплекте.

Что с остальным

Картина по другим доменам неоднородная. Физическая безопасность (A.9) - вполне прилично: серверная с замком, СКУД на входе, кондиционирование. Контроль доступа (A.11) - частично: Active Directory настроен, парольная политика есть, но принцип минимальных привилегий соблюдается не везде, а управление учётными записями уволенных сотрудников регламентировано слабо. Управление коммуникациями и операциями (A.10) - разброс: антивирус и патч-менеджмент есть, документированных операционных процедур для критичных задач почти нет.

Документация в целом - системная слабость. Многие технические контроли реализованы, но нигде не зафиксированы. С точки зрения аудитора ISO 27001 «не задокументировано» равно «не существует».

Roadmap на 18 месяцев

Составили план по фазам. Логика: сначала фундамент, потом надстройка.

  • Месяцы 1-3. Реестр активов, политика классификации информации, базовая документация операционных процедур. Это то, без чего остальные контроли теряют опору.
  • Месяцы 4-6. Процесс управления инцидентами: форма регистрации, процедура эскалации, ежеквартальный разбор. Параллельно - аудит управления доступом, закрытие очевидных дыр.
  • Месяцы 7-10. Business Continuity Plan. Тут нужно вовлекать бизнес-стороны, а не только ИТ: кто принимает решения при инциденте, как коммуницируют с клиентами, какие процессы критичны. Это самая медленная часть - не из-за технической сложности, а из-за организационной.
  • Месяцы 11-14. Внутренний аудит СУИБ, проверка выполнения контролей, доработка по результатам. Это репетиция перед внешним аудитором.
  • Месяцы 15-18. Выбор органа по сертификации, предварительный аудит, устранение замечаний, основной аудит.

18 месяцев - не минималистичный срок, но реалистичный для компании, которая параллельно ведёт основной бизнес. Видели оценки «6 месяцев до сертификации» - это либо про компанию с уже зрелой ИБ, либо про документы, которые пишутся ради документов, а не ради реального контроля.

Несколько наблюдений

Работа с ISO 27001 после опыта с PCI DSS интересная: у PCI DSS жёсткие технические требования с конкретными параметрами, у ISO 27001 больше организационного и процессного. PCI DSS спрашивает «что у тебя настроено», ISO 27001 - «как ты управляешь безопасностью». Это разные вещи, и компании, которые привыкли мыслить через технические контроли, иногда удивляются, что написать процедуру управления инцидентами сложнее, чем настроить firewall.

Ещё наблюдение: Scope - один из ключевых решений в ISO 27001. Стандарт сертифицирует не компанию целиком, а СУИБ в определённых границах. Если грамотно определить scope, можно сертифицировать конкретное подразделение или сервис, а не всю организацию. Для первой сертификации это разумно.

Клиент пока в начале пути. По аудиту и подготовке к сертификации работа только разворачивается - следующим шагом будет конкретный реестр активов, без которого остальное не имеет смысла строить.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.