Title here
Summary here
Чек-лист ISO 27001:2022 — 93 контроля для аудита системы менеджмента информационной безопасности
Чек-лист ISO 27001:2022: полное руководство по самопроверке
О стандарте ISO 27001:2022
ISO/IEC 27001:2022 — международный стандарт для систем менеджмента информационной безопасности (СУИБ). Он устанавливает требования к созданию, внедрению, поддержанию и постоянному улучшению СУИБ.
Приложение А стандарта содержит 93 контроля, сгруппированных в 4 раздела:
- Организационные контроли (37) — управление политиками, ролями, комплаенс
- Людские контроли (8) — обучение, осведомленность, дисциплина
- Физические контроли (14) — периметры, доступ, оборудование
- Технологические контроли (34) — управление доступом, криптография, сеть
Этот чек-лист поможет вам оценить текущий уровень зрелости и подготовиться к сертификационному аудиту.
Как пользоваться чек-листом
Для каждого контроля укажите статус:
- ✅ Выполнено — контроль полностью реализован, есть документальное подтверждение
- ⚠️ Частично — контроль реализован не полностью (например, политика есть, но не применяется)
- ❌ Не выполнено — контроль отсутствует
- ⚪ Не применимо — контроль не относится к вашей организации (обоснуйте)
В конце каждого раздела подведите итог и запишите комментарии по необходимым улучшениям.
Раздел 1. Организационные контроли (37 контролей)
5.1. Политики информационной безопасности
| № | Контроль | Пояснение | Пример реализации | Статус |
|---|---|---|---|---|
| 5.1 | Политики информационной безопасности | Политики должны быть определены, утверждены руководством, опубликованы и доведены до сведения сотрудников. | Наличие документа “Политика ИБ”, приказ об утверждении, ознакомление сотрудников под роспись. | ⬜ |
| 5.2 | Пересмотр политик ИБ | Политики должны регулярно пересматриваться (не реже 1 раза в год) и актуализироваться при изменениях. | Отметки о пересмотре в документе, протоколы совещаний, новая версия с датой. | ⬜ |
5.2. Роли и ответственность
| № | Контроль | Пояснение | Пример реализации | Статус |
|---|---|---|---|---|
| 5.3 | Распределение обязанностей по ИБ | Должны быть назначены ответственные за ИБ, определены их роли и обязанности. | Приказ о назначении ответственного за ИБ, должностные инструкции с разделами по ИБ. | ⬜ |
| 5.4 | Разделение обязанностей | Конфликтующие обязанности должны быть разделены для снижения риска мошенничества/ошибок. | Разные люди администрируют серверы и контролируют логи, разделение ролей в системе. | ⬜ |
5.3. Комплаенс и обязательства
| № | Контроль | Пояснение | Пример реализации | Статус |
|---|---|---|---|---|
| 5.5 | Контакты с органами власти | Определен порядок взаимодействия с регуляторами (ФСТЭК, РКН, правоохранительные органы). | Назначен ответственный за взаимодействие, шаблоны запросов, журнал обращений. | ⬜ |
| 5.6 | Контакты с группами по интересам | Взаимодействие с отраслевыми группами, CERT, сообществами по ИБ. | Участие в профильных ассоциациях, подписка на рассылки по уязвимостям. | ⬜ |
| 5.7 | Управление угрозами (Threat Intelligence) | Сбор и анализ информации об угрозах для своевременного реагирования. | Подписка на бюллетени безопасности, использование Open Source Threat Intelligence. | ⬜ |
| 5.8 | Управление безопасностью в проектах | Безопасность должна учитываться на всех этапах проектной деятельности. | Наличие чек-листов безопасности для новых проектов, участие ИБ в проектных комитетах. | ⬜ |
| 5.9 | Инвентаризация информации и активов | Должен быть актуальный реестр информационных активов с классификацией по критичности. | Реестр активов (Excel, CMDB), владельцы активов, уровень критичности. | ⬜ |
| 5.10 | Приемлемое использование информации | Правила использования информационных активов сотрудниками. | Политика приемлемого использования, памятка для сотрудников. | ⬜ |
| 5.11 | Возврат активов | Процедура возврата активов (ноутбуки, телефоны, ключи) при увольнении сотрудника. | Чек-лист при увольнении, акт приема-передачи, блокировка учетных записей. | ⬜ |
| 5.12 | Классификация информации | Информация должна классифицироваться по степени конфиденциальности. | Политика классификации (публичная, внутренняя, конфиденциальная, секретная), маркировка документов. | ⬜ |
| 5.13 | Маркировка информации | Нанесение меток класса конфиденциальности на носители и документы. | Грифы на документах, водяные знаки, метки в электронных документах. | ⬜ |
| 5.14 | Передача информации | Безопасная передача информации внутри организации и внешним сторонам. | Использование защищенных каналов (VPN, SFTP), запрет на передачу через мессенджеры. | ⬜ |
| 5.15 | Контроль доступа | Должны быть определены правила и процедуры управления доступом. | Политика управления доступом, матрица доступа, регулярный пересмотр прав. | ⬜ |
| 5.16 | Управление идентификацией | Процесс создания, блокировки и удаления учетных записей. | Регламент управления учетными записями, своевременная блокировка уволенных. | ⬜ |
| 5.17 | Аутентификация | Использование надежных методов проверки подлинности. | Требования к паролям (длина, сложность, смена), MFA для администраторов и удаленного доступа. | ⬜ |
| 5.18 | Права доступа | Права должны предоставляться по принципу минимальных привилегий. | Регулярный аудит прав доступа, отзыв лишних прав. | ⬜ |
| 5.19 | Безопасность поставщиков | Процесс управления рисками, связанными с поставщиками услуг. | Включение требований по ИБ в договоры, оценка поставщиков перед началом работ. | ⬜ |
| 5.20 | Обязательства поставщиков | В договорах с поставщиками должны быть условия по безопасности. | Наличие NDA, пунктов об ответственности за утечки, праве на аудит. | ⬜ |
| 5.21 | Управление цепочкой поставок ИКТ | Учет рисков, связанных с цепочкой поставок ИТ-оборудования и ПО. | Проверка происхождения оборудования, требования к поставщикам ПО. | ⬜ |
| 5.22 | Мониторинг поставщиков | Регулярная оценка выполнения поставщиками требований безопасности. | Ежегодные опросы, проверка отчетов, аудит поставщиков. | ⬜ |
| 5.23 | Безопасность при работе с облачными сервисами | Управление рисками при использовании облачных услуг. | Анализ договора с облачным провайдером, выбор сертифицированных провайдеров. | ⬜ |
| 5.24 | Планирование непрерывности ИБ | Разработка планов обеспечения непрерывности ИБ при инцидентах. | План непрерывности бизнеса (BCP), план восстановления после сбоев (DRP). | ⬜ |
| 5.25 | Оценка и документирование непрерывности ИБ | Регулярная оценка готовности к инцидентам. | Проведение учений, тестирование планов восстановления. | ⬜ |
| 5.26 | Реагирование на инциденты | Наличие процесса обнаружения, анализа и реагирования на инциденты. | Регламент реагирования на инциденты, контакты CERT, журнал инцидентов. | ⬜ |
| 5.27 | Уроки, извлеченные из инцидентов | Анализ инцидентов для предотвращения повторения. | Разбор каждого инцидента, внесение изменений в процессы. | ⬜ |
| 5.28 | Сбор доказательств | Обеспечение возможности сбора цифровых доказательств для расследований. | Инструкция по сбору evidence, сохранение логов, цепочка хранения. | ⬜ |
| 5.29 | Безопасность при чрезвычайных ситуациях | Защита информации во время кризисов (пожары, наводнения, отключения электричества). | План действий при ЧС, резервное копирование в другом ЦОДе. | ⬜ |
| 5.30 | Готовность к ИТ-восстановлению | Планирование восстановления ИТ-сервисов после сбоев. | План аварийного восстановления (DRP), регулярное тестирование восстановления. | ⬜ |
| 5.31 | Мониторинг законодательства | Отслеживание изменений в законодательстве по ИБ и ПДн. | Подписка на изменения, консультации с юристами, обновление документов. | ⬜ |
| 5.32 | Интеллектуальная собственность | Защита прав на интеллектуальную собственность. | Лицензионное ПО, политика использования Open Source, контроль копирайта. | ⬜ |
| 5.33 | Защита записей (Records) | Обеспечение сохранности важных записей в соответствии с требованиями. | Архивация, сроки хранения, защита от модификации. | ⬜ |
| 5.34 | Приватность и защита ПДн | Соблюдение требований по защите персональных данных (152-ФЗ). | Отдельный чек-лист по 152-ФЗ, согласия, уведомление РКН. | ⬜ |
| 5.35 | Независимый аудит ИБ | Регулярное проведение независимых аудитов СУИБ. | План аудитов, отчеты внешних аудиторов, план корректирующих мероприятий. | ⬜ |
| 5.36 | Соответствие политикам и стандартам | Обеспечение соответствия внутренних процессов утвержденным политикам. | Внутренний аудит, метрики соответствия, автоматический мониторинг. | ⬜ |
| 5.37 | Документированные процедуры | Наличие документированных процедур для всех ключевых процессов СУИБ. | Реестр документов СУИБ, версионность, доступность для сотрудников. | ⬜ |
Раздел 2. Людские контроли (8 контролей)
| № | Контроль | Пояснение | Пример реализации | Статус |
|---|---|---|---|---|
| 6.1 | Проверка при приеме на работу | Проверка кандидатов перед приемом (рекомендации, образование, судимости). | Запрос рекомендаций, проверка документов, собеседование с ИБ для sensitive позиций. | ⬜ |
| 6.2 | Условия трудовых договоров | Включение в трудовые договоры обязательств по соблюдению ИБ и конфиденциальности. | Пункт о неразглашении, согласие на обработку ПДн, обязательство соблюдать политики. | ⬜ |
| 6.3 | Осведомленность о ИБ | Регулярное обучение и повышение осведомленности сотрудников в области ИБ. | Вводный инструктаж для новых сотрудников, ежегодное обучение, рассылки, плакаты. | ⬜ |
| 6.4 | Дисциплинарные меры | Наличие дисциплинарных мер за нарушение политик ИБ. | Положение о дисциплинарных взысканиях, прецеденты применения. | ⬜ |
| 6.5 | Ответственность после увольнения | Сохранение обязательств по конфиденциальности после увольнения. | Пункт в трудовом договоре о действии NDA после увольнения, финальное собеседование. | ⬜ |
| 6.6 | Соглашения о конфиденциальности (NDA) | Заключение соглашений о неразглашении с сотрудниками и подрядчиками. | Отдельный NDA или раздел в договоре, реестр подписанных NDA. | ⬜ |
| 6.7 | Удаленная работа | Политика и меры безопасности для удаленных сотрудников. | Использование VPN, запрет на публичные Wi-Fi без защиты, DLP для контроля. | ⬜ |
| 6.8 | Безопасность при работе с оборудованием | Правила безопасного использования оборудования сотрудниками. | Памятка по безопасной работе, чистый стол/чистый экран, блокировка сессий. | ⬜ |
Раздел 3. Физические контроли (14 контролей)
| № | Контроль | Пояснение | Пример реализации | Статус |
|---|---|---|---|---|
| 7.1 | Физический периметр безопасности | Защита периметра зданий и помещений, где обрабатывается информация. | Ограждение, охрана, турникеты, системы контроля доступа (СКУД). | ⬜ |
| 7.2 | Физический вход | Контроль входа в защищаемые зоны. | Пропускная система, биометрия, видеонаблюдение, журнал посетителей. | ⬜ |
| 7.3 | Защита офисов, помещений и оборудования | Обеспечение безопасности внутренних помещений. | Замки на дверях серверных, сигнализация, датчики открытия, видеонаблюдение. | ⬜ |
| 7.4 | Защита от угроз, связанных с окружающей средой | Защита от пожаров, наводнений, скачков напряжения. | Пожарная сигнализация, огнетушители, ИБП, генераторы, климат-контроль. | ⬜ |
| 7.5 | Работа в защищенных зонах | Правила работы в зонах с повышенными требованиями. | Запрет на фото/видео, сопровождение посетителей, чистые столы. | ⬜ |
| 7.6 | Доставка и погрузка | Контроль зон доставки и погрузки. | Отдельные входы, контроль курьеров, проверка грузов. | ⬜ |
| 7.7 | Размещение и защита оборудования | Правильное размещение оборудования для предотвращения доступа посторонних. | Серверные стойки закрыты, мониторы не видны посетителям, кабели маркированы. | ⬜ |
| 7.8 | Безопасность кабельной инфраструктуры | Защита кабелей от перехвата и повреждения. | Кабель-каналы, экранирование, контроль доступа в кроссовые. | ⬜ |
| 7.9 | Техническое обслуживание оборудования | Регламент обслуживания и ремонта оборудования. | Договоры с сервисными центрами, контроль выездных специалистов, стирание данных перед ремонтом. | ⬜ |
| 7.10 | Безопасное удаление и повторное использование оборудования | Уничтожение данных перед утилизацией или передачей оборудования. | Акты уничтожения, зачистка дисков (DBAN), физическое уничтожение носителей. | ⬜ |
| 7.11 | Вынос оборудования | Контроль выноса оборудования за пределы организации. | Пропуска на вынос, журнал учета, согласование с ИБ. | ⬜ |
| 7.12 | Безопасность оборудования вне помещений | Защита оборудования, используемого вне офиса (ноутбуки, телефоны). | Шифрование дисков, политика использования в общественных местах, страхование. | ⬜ |
| 7.13 | Повторное использование или утилизация оборудования | Безопасное удаление данных при утилизации. | Акты утилизации, сертификаты об уничтожении, услуги лицензированных компаний. | ⬜ |
| 7.14 | Политика чистого стола и чистого экрана | Требования к отсутствию документов на столах и блокировке экранов. | Памятка, проверки, автоматическая блокировка экрана через 5 минут. | ⬜ |
Раздел 4. Технологические контроли (34 контроля)
8.1. Управление доступом
| № | Контроль | Пояснение | Пример реализации | Статус |
|---|---|---|---|---|
| 8.1 | Пользовательские терминалы | Защита终端 (устройств) от несанкционированного доступа. | Блокировка экрана, защита загрузчика, пароль BIOS. | ⬜ |
| 8.2 | Права доступа | Предоставление прав по принципу минимальных привилегий. | Ролевая модель, регулярный аудит прав, отзыв лишних прав. | ⬜ |
| 8.3 | Управление привилегированным доступом | Особый контроль за административными учетными записями. | Отдельные учетные записи для администрирования, PAM-системы, MFA для админов. | ⬜ |
| 8.4 | Управление секретной аутентификационной информацией | Безопасное хранение паролей и ключей. | Запрет на запись паролей на стикерах, использование менеджеров паролей (KeePass, Bitwarden). | ⬜ |
| 8.5 | Безопасная аутентификация | Использование надежных методов проверки. | MFA для всех критичных систем, ограничение попыток входа, CAPTCHA. | ⬜ |
| 8.6 | Управление емкостью ресурсов | Мониторинг и планирование ресурсов для обеспечения доступности. | Мониторинг загрузки CPU/RAM/диска, планирование апгрейдов. | ⬜ |
| 8.7 | Защита от вредоносного ПО | Антивирусная защита всех устройств. | Централизованное управление антивирусами, регулярное обновление баз, сканирование почты. | ⬜ |
| 8.8 | Управление техническими уязвимостями | Регулярное сканирование уязвимостей и установка обновлений. | OpenVAS, Wazuh, политика управления патчами, ежемесячные обновления. | ⬜ |
| 8.9 | Управление конфигурациями | Контроль изменений конфигураций систем. | Эталонные конфигурации, контроль изменений, автоматизация (Ansible, Puppet). | ⬜ |
| 8.10 | Удаление информации | Безопасное удаление данных при завершении их использования. | Очистка дисков, акты уничтожения, использование средств гарантированного удаления. | ⬜ |
| 8.11 | Маскирование данных | Сокрытие конфиденциальных данных в тестовых средах. | Маскирование ПДн в тестовых базах, использование генерации тестовых данных. | ⬜ |
| 8.12 | Предотвращение утечек данных (DLP) | Контроль передачи конфиденциальной информации. | DLP-система (Solar Dozor, InfoWatch), политики по работе с почтой и мессенджерами. | ⬜ |
| 8.13 | Резервное копирование информации | Регулярное резервное копирование критичных данных. | Расписание бэкапов, проверка восстановления, хранение копий в другом месте. | ⬜ |
| 8.14 | Избыточность мощностей | Обеспечение отказоустойчивости критичных систем. | Кластеризация, балансировщики, резервные каналы связи. | ⬜ |
| 8.15 | Логирование и мониторинг | Сбор и анализ событий безопасности. | SIEM (Wazuh, MaxPatrol), централизованный сбор логов, хранение не менее года. | ⬜ |
| 8.16 | Мониторинг деятельности | Регулярный просмотр логов и выявление аномалий. | Ежедневный просмотр критичных событий, реагирование на алерты. | ⬜ |
| 8.17 | Синхронизация времени | Единое точное время для всех систем. | NTP-сервер, синхронизация с атомными часами. | ⬜ |
| 8.18 | Привилегированные утилиты | Контроль использования программ с расширенными правами. | Ограничение на установку ПО, белые списки приложений (AppLocker). | ⬜ |
| 8.19 | Установка ПО на рабочих станциях | Политика установки ПО пользователями. | Запрет на установку без прав администратора, самообслуживание через каталог ПО. | ⬜ |
| 8.20 | Сетевая безопасность | Сегментация сети, защита от несанкционированного доступа. | VLAN, межсетевые экраны, ACL на коммутаторах. | ⬜ |
| 8.21 | Безопасность сетевых сервисов | Безопасная настройка сетевых протоколов и сервисов. | Отключение неиспользуемых сервисов, использование SSH вместо Telnet, SNMPv3. | ⬜ |
| 8.22 | Сегментация сетей | Разделение сетей на зоны по уровню доверия. | Отдельные VLAN для гостевого Wi-Fi, DMZ, внутренней сети, управления. | ⬜ |
| 8.23 | Веб-фильтрация | Блокировка доступа к вредоносным и нежелательным сайтам. | DNS-фильтрация, прокси-сервер, политика использования интернета. | ⬜ |
| 8.24 | Криптографические средства | Использование шифрования для защиты данных. | Шифрование дисков (BitLocker, LUKS), шифрование каналов (VPN, HTTPS). | ⬜ |
| 8.25 | Жизненный цикл криптографических ключей | Управление ключами шифрования (генерация, хранение, замена, уничтожение). | Политика управления ключами, HSM или защищенное хранилище, регулярная смена. | ⬜ |
| 8.26 | Безопасная разработка | Принципы безопасной разработки ПО. | SDLC с этапом проверки безопасности, статический анализ кода (SAST), обучение разработчиков. | ⬜ |
| 8.27 | Безопасность системной архитектуры | Проектирование архитектуры с учетом требований безопасности. | Threat modeling при проектировании, ревью архитектуры ИБ. | ⬜ |
| 8.28 | Безопасная разработка и кодирование | Использование стандартов безопасного кодирования. | Чек-листы OWASP, код-ревью, проверки на типовые уязвимости. | ⬜ |
| 8.29 | Тестирование безопасности при разработке | Проведение тестирования безопасности на этапах разработки. | Динамический анализ (DAST), пентесты перед релизом, сканирование зависимостей. | ⬜ |
| 8.30 | Аутсорсинг разработки | Управление рисками при привлечении сторонних разработчиков. | Требования к ИБ в договоре, NDA, приемочное тестирование безопасности. | ⬜ |
| 8.31 | Отделение сред разработки, тестирования и эксплуатации | Разделение сред для предотвращения влияния на продуктив. | Физически или логически разделенные среды, разные учетные данные, запрет доступа из dev в prod. | ⬜ |
| 8.32 | Управление изменениями | Формальный процесс управления изменениями в ИТ-инфраструктуре. | Заявки на изменение, согласование с ИБ, откат изменений, тестирование. | ⬜ |
| 8.33 | Тестовая информация | Защита данных, используемых в тестировании. | Использование обезличенных данных, запрет на использование реальных ПДн в тестах. | ⬜ |
| 8.34 | Аудит и тестирование безопасности | Регулярное проведение аудитов и тестов на проникновение. | План пентестов (ежегодно), аудит конфигураций, сканирование уязвимостей. | ⬜ |
Сводная таблица результатов
| Раздел | Всего контролей | ✅ Выполнено | ⚠️ Частично | ❌ Не выполнено | ⚪ Не применимо | % готовности |
|---|---|---|---|---|---|---|
| Организационные контроли | 37 | |||||
| Людские контроли | 8 | |||||
| Физические контроли | 14 | |||||
| Технологические контроли | 34 | |||||
| ИТОГО | 93 |
Интерпретация результатов
Уровни готовности к сертификации
- 90-100% — Вы готовы к сертификационному аудиту. Осталось закрыть незначительные несоответствия.
- 70-89% — Хороший уровень, но требуется доработка. Сосредоточьтесь на частичных несоответствиях.
- 50-69% — Средний уровень. Рекомендуется провести предсертификационный аудит и составить план мероприятий.
- 30-49% — Начальный уровень. Требуется серьезная работа по внедрению СУИБ.
- Менее 30% — Критический уровень. Необходимо создание СУИБ с нуля с привлечением консультантов.
Ключевые области для первоочередного внимания:
- Политики ИБ и документация (5.1, 5.2, 5.37)
- Управление доступом (5.15-5.18, 8.1-8.5)
- Управление уязвимостями и обновлениями (8.8)
- Резервное копирование (8.13)
- Осведомленность сотрудников (6.3)
- Реагирование на инциденты (5.26-5.27)
Приложение. Необходимые документы для ISO 27001
Для успешного прохождения сертификации необходимо иметь как минимум следующие документы:
| № | Документ | Связанные контроли |
|---|---|---|
| 1 | Политика информационной безопасности | 5.1, 5.2 |
| 2 | Положение о СУИБ (Scope) | 4.3 |
| 3 | Методология оценки рисков | 6.1 |
| 4 | Отчет об оценке рисков | 6.1 |
| 5 | План обработки рисков | 6.2 |
| 6 | Заявление о применимости (SoA) | 6.1.3 |
| 7 | Политика управления доступом | 5.15 |
| 8 | Политика резервного копирования | 8.13 |
| 9 | Политика управления инцидентами | 5.26 |
| 10 | План непрерывности бизнеса (BCP) | 5.24 |
| 11 | План аварийного восстановления (DRP) | 5.30 |
| 12 | Инструкция по антивирусной защите | 8.7 |
| 13 | Инструкция по управлению уязвимостями | 8.8 |
| 14 | Положение о классификации информации | 5.12 |
| 15 | Соглашения о конфиденциальности (NDA) | 6.6 |
| 16 | Журнал инцидентов ИБ | 5.26 |
| 17 | Отчеты внутренних аудитов | 5.35, 5.36 |
| 18 | Протоколы анализа СУИБ со стороны руководства | 9.3 |
| 19 | План корректирующих мероприятий | 10.1 |
| 20 | Реестр информационных активов | 5.9 |
Полезные ссылки
| Ресурс | Назначение | Ссылка |
|---|---|---|
| ISO 27001:2022 (официальный текст) | Стандарт (платно) | iso.org |
| ISO 27002:2022 | Руководство по реализации контролей | iso.org |
| NIST Cybersecurity Framework | Альтернативная база контролей | nist.gov/cyberframework |
| CIS Controls v8 | Приоритезированные контроли | cisecurity.org/controls |
| OpenSCAP | Автоматическая проверка соответствия | open-scap.org |
| Wazuh | Open-source SIEM для мониторинга | wazuh.com |
| Eramba | Open-source GRC для управления комплаенс | eramba.org |
Нужна помощь с сертификацией?
Подготовка к сертификации по ISO 27001 — сложный и трудоемкий процесс. ООО «Стратегия Ра» предлагает полный цикл услуг:
- Проведение GAP-анализа (оценка текущего состояния)
- Разработка всей необходимой документации
- Внедрение организационных и технических мер
- Подготовка к сертификационному аудиту
- Сопровождение при прохождении сертификации