Подготовка к сертификационному аудиту ISO 27001: чек-лист для CISO

Сертификационный аудит ISO 27001 — ответственный этап, от которого зависит получение сертификата. В этой статье — полный чек-лист подготовки для CISO: что проверяет аудитор, какие документы обязательны и какие ошибки стоят сертификата.

Управление инцидентами: процедуры, записи, доказательная база

Управление инцидентами информационной безопасности — один из «горячих» разделов сертификационного аудита ISO 27001. Аудиторы уделяют ему особое внимание, поскольку именно способность организации обнаруживать, реагировать и учиться на инцидентах демонстрирует зрелость СУИБ. В версии ISO 27001:2022 управление инцидентами охватывается контролями A.5.24 (Information Security Incident Management Planning and Preparation), A.5.25 (Assessment and Decision on Information Security Events), A.5.26 (Response to Information Security Incidents) и A.5.27 (Learning from Information Security Incidents).

Что должно быть документировано:

• Процедура управления инцидентами — определение ролей (кто принимает решение о классификации, кто координирует реагирование), классификация по критичности (низкая, средняя, высокая, критическая), временные рамки реагирования для каждого уровня, порядок эскалации.
• Журнал инцидентов — каждый инцидент (и каждое событие безопасности, которое было оценено) должен быть зарегистрирован с указанием даты, описания, принятых мер, статуса, ответственного. На аудите проверяют, что журнал ведётся регулярно и содержит достаточную детализацию для анализа причин.
• Отчёты о расследовании — для инцидентов средней и высокой критичности аудитор ожидает видеть результаты анализа коренных причин (root cause analysis), рекомендации по предотвращению повторения и свидетельства их выполнения.
• Уроки извлечённые (Lessons Learned) — контроль A.5.27 прямо требует, чтобы организация использовала информацию из инцидентов для улучшения контролей. Аудитор проверит, обновлялась ли оценка рисков, менялись ли процедуры, проводилось ли дополнительное обучение персонала после значимых инцидентов.

Типичная ошибка — организация заявляет: «У нас не было инцидентов». Для аудитора это красный флаг. Если за 12 месяцев эксплуатации СУИБ не зарегистрировано ни одного события безопасности, это говорит не о совершенной защите, а о неработающем процессе обнаружения. Должны быть хотя бы события, которые были оценены и классифицированы как «не инцидент». Убедитесь, что ваша служба HelpDesk или SOC фиксирует все подозрительные события — даже те, которые в итоге оказались ложными тревогами.

Для организаций, работающих с персональными данными, управление инцидентами пересекается с требованиями 152-ФЗ — подробнее об интеграции этих требований читайте в статье Интеграция ISO 27001 и 152-ФЗ.

Большой чек-лист CISO: 25 пунктов по категориям

Ниже приведён развёрнутый чек-лист подготовки к сертификационному аудиту ISO 27001:2022, сгруппированный по основным категориям. Для каждого пункта указано, какой раздел стандарта или контроль Annex A он покрывает, и что именно аудитор запросит в качестве свидетельства. Используйте этот чек-лист как рабочий инструмент: пройдите по каждому пункту, отметьте статус («готово», «в работе», «отсутствует») и назначьте ответственного за устранение пробелов.

Этот чек-лист охватывает ключевые области, которые аудитор проверяет на обоих этапах сертификационного аудита. Рекомендуем распечатать его и пройти совместно с командой ИБ не позднее чем за 8 недель до запланированной даты Stage 1. Каждый пункт со статусом «отсутствует» требует немедленного назначения ответственного и срока устранения. Подробнее об аудите поставщиков и третьих сторон — в материале Аудит подрядчиков: информационная безопасность вендоров.

Major и Minor Nonconformities: как избежать критических несоответствий

Результатом сертификационного аудита ISO 27001 могут быть три типа выводов: наблюдения (observations) — рекомендации по улучшению, не блокирующие сертификацию; незначительные несоответствия (Minor Nonconformities) — отклонения, которые нужно устранить, но сертификат может быть выдан с условием предоставления плана корректирующих действий; значительные несоответствия (Major Nonconformities) — системные нарушения, блокирующие выдачу сертификата до их устранения и повторной проверки.

Понимание разницы между Major и Minor критически важно для CISO, поскольку одно Major-несоответствие может отложить сертификацию на несколько месяцев и потребовать дополнительного визита аудитора (за дополнительную плату). Minor-несоответствия, как правило, можно закрыть в течение 90 дней после аудита, предоставив свидетельства устранения дистанционно.

По нашему опыту, наиболее частые причины Major-несоответствий — это полное отсутствие обязательных процессов (не «плохо задокументированных», а именно отсутствующих) и системная неспособность продемонстрировать работу цикла PDCA (Plan-Do-Check-Act). Например, если организация провела оценку рисков, но не может показать, что риски пересматривались при изменении обстановки, — это может быть квалифицировано как Major. Аудитор должен видеть, что СУИБ — это живая система, а не набор документов, созданных «для аудита».

Ещё одна распространённая проблема — несогласованность документации. Если в политике указано, что пересмотр прав доступа проводится ежеквартально, а по факту последний пересмотр был 8 месяцев назад, аудитор зафиксирует несоответствие. Лучше указать реалистичную периодичность (раз в полгода) и выполнять её, чем написать «ежемесячно» и не выполнять. Аудитор проверяет не амбициозность политик, а их выполнение.

Надзорные аудиты и ресертификация: что делать после получения сертификата

Получение сертификата ISO 27001 — не финальная точка, а начало трёхлетнего цикла. Сертификат выдаётся на 3 года, и в течение этого периода организация проходит ежегодные надзорные аудиты (surveillance audits), а по истечении срока — аудит ресертификации.

Надзорные аудиты проводятся обычно через 12 и 24 месяца после первоначальной сертификации. Их цель — убедиться, что СУИБ продолжает функционировать, развивается и соответствует стандарту. Надзорный аудит короче сертификационного (1–3 дня), но аудитор проверяет полноценно: внутренние аудиты проведены, Management Review состоялся, инциденты обработаны, корректирующие действия закрыты, метрики собираются. Типичная ошибка — «расслабиться» после получения сертификата. Мы видели случаи, когда компании не проводили внутренний аудит между сертификацией и первым надзорным аудитом — это прямой путь к Major-несоответствию и возможному приостановлению сертификата.

Аудит ресертификации проводится на третий год и по объёму близок к первоначальному сертификационному аудиту. Аудитор оценивает, как СУИБ развивалась за три года: обновлялась ли оценка рисков при изменениях в ИТ-инфраструктуре, актуализировался ли SoA, внедрялись ли новые контроли, учитывались ли уроки из инцидентов.

Что важно помнить CISO для поддержания сертификата:

• Внутренний аудит СУИБ должен проводиться не реже одного раза в год (а лучше — по графику, охватывающему все контроли за 3 года).
• Management Review — не реже одного раза в год с фиксированной повесткой и протоколом.
• Реестр рисков пересматривается при значимых изменениях (новые системы, организационные изменения, инциденты) и не реже одного раза в год.
• Все несоответствия из предыдущих аудитов должны быть закрыты корректирующими действиями с проверкой результативности.
• Метрики СУИБ (количество инцидентов, время реагирования, процент обученных сотрудников, результаты тестов на фишинг) собираются и анализируются регулярно.

Если вы планируете расширять область сертификации (например, добавить новые площадки или ИТ-системы), это лучше делать в рамках надзорного аудита. Согласуйте изменения с органом по сертификации заранее — как минимум за 3 месяца. Для IT-компаний, которые задумываются о необходимости сертификата, рекомендуем изучить наш материал Зачем ИТ-компании сертификат ISO 27001.

Итог: пошаговый план действий перед аудитом

Подготовка к сертификационному аудиту ISO 27001 — это проект, который требует минимум 3–6 месяцев систематической работы. Ниже — пошаговый план для CISO, основанный на нашем опыте сопровождения десятков сертификаций:

За 6 месяцев до аудита: проведите GAP-анализ текущего состояния СУИБ относительно требований ISO 27001:2022. Определите пробелы в документации и процессах. Составьте план устранения с назначением ответственных и сроков.

За 4 месяца: завершите актуализацию оценки рисков и SoA. Убедитесь, что все применимые контроли Annex A реализованы и для каждого есть документальное подтверждение. Разработайте недостающие процедуры (управление инцидентами, логирование, управление доступом, управление изменениями).

За 2 месяца: проведите полноценный внутренний аудит СУИБ по стандарту ISO 19011. Зафиксируйте все несоответствия и разработайте корректирующие действия. Проведите Management Review с участием высшего руководства.

За 1 месяц: проведите mock-аудит (пробный аудит) силами внешнего консультанта или опытного внутреннего аудитора. Устраните оставшиеся замечания. Подготовьте пакет документов для Stage 1. Проведите awareness-сессию для сотрудников — напомните, что такое СУИБ, как сообщать об инцидентах, какие политики действуют.

За 1 неделю: пройдите по чек-листу из раздела 6 этой статьи. Убедитесь, что для каждого пункта есть актуальное свидетельство. Подготовьте комнату для аудитора, доступ к системам для демонстрации, контактных лиц для интервью.

Подготовка к аудиту ISO 27001 — непростой, но структурированный процесс. При правильном планировании и системном подходе сертификация проходит без Major-несоответствий с первой попытки. Если вам нужна помощь в подготовке к сертификации — специалисты «Астелс» проведут предварительный аудит, помогут разработать недостающую документацию и сопроводят вас на всех этапах — от GAP-анализа до получения сертификата. Свяжитесь с нами для бесплатной консультации.