Стандарты ISO 27001 и 27002 являются полезными еще и по той причине, что они позволяют комплексно взглянуть на информационную безопасность компании. Приложение A стандарта 27001 содержит набор "контролей" (в оригинале - "controls", что примерно можно перевести как "элементы управления", ГОСТ 27001-2006 использует термин "меры управления", а ГОСТ 27002-2012 "категории безопасности"), на которые следует ориентироваться при построении комплексной системы защиты. В стандарте ISO 27001-2013 предлагается 114 "контроля" (напомню, что в версии 27001-2005 их было 133).
Чтобы ответить на вопрос, представленный в заголовке, я условно разделил контроли по 5 группам. Вот, что у меня получилось:
1. Орг.меры, процессы и документы - 59 (52%)
Это: 5.1.1-5.1.2, 6.1.1-6.1.5, 8.1.1-8.1.4, 8.2.1-8.2.3, 8.3.1, 9.1.1-9.1.2, 9.2.1-9.2.6, 9.3.1, 10.1.1-10.1.2, 11.2.9, 12.1.1-12.1.3, 12.5.1, 12.6.2, 12.7.1, 13.2.1, 14.1.1, 14.2.1-14.2.2, 14.2.4-14.2.5, 14.2.7, 14.2.9, 14.3.1, 15.1.1, 15.1.3, 15.2.1-15.2.2, 16.1.1-16.1.7, 17.1.1-17.1.3, 18.2.1-18.2.3
2. ИТ-контроли - 25 (22%)
Это: 6.2.1-6.2.2, 9.4.1-9.4.5, 12.1.4, 12.2.1, 12.3.1, 12.4.1-12.4.4, 12.6.1, 13.1.1-13.1.3, 13.2.3, 14.1.2-14.1.3, 14.2.3, 14.2.6, 14.2.8, 17.2.1
3. Физическая безопасность - 16 (14%)
Это: 8.3.2-8.3.3, 11.1.1-11.1.6, 11.2.1-11.2.8
4. Юридическая поддержка - 9 (8%).
Это: 7.1.2, 13.2.2, 13.2.4, 15.1.2, 18.1.1-18.1.5
5. Работа с персоналом - 5 (4%).
Это: 7.1.1, 7.2.1-7.2.3, 7.3.1
Отдельно обращу внимание, что это субъективная оценка. Некоторые контроли вполне можно было бы отнести к другим группам. Например, 6.2.1-6.2.2 (к орг.мерам), 7.1.2 (к работе с персоналом), 8.2.1 (к юр.поддержке), 8.3.2-8.3.3 (к орг.мерам), 9.1.1-9.1.2 (к ИТ), 10.1.1-10.1.2 (к ИТ), 11.2.9 (к физ.безопасности), 12.1.4 (к орг.мерам), 12.5.1 (к ИТ), 12.6.2 (к ИТ), 12.7.1 (к ИТ), 13.2.3 (к орг.мерам).
Но все равно, такое распределение процентов довольно показательное. Даже, не смотря на то, что сложность реализации контролей не является одинаковой, все равно можно заметить явный перекос в сторону организационной составляющей информационной безопасности. Информационная безопасность - это не только ИТ-безопасность...
P.S. Еще можно посмотреть:
