Мини пакет: Стартов пакет за СУИС – МСП

Мини пакетът: Стартов пакет за СУИС – МСП предлага практичен, цялостен набор от политики за киберсигурност, създадени специално за малки и средни предприятия, търсещи съгласуване с ISO/IEC 27001:2022. Като отчита, че МСП често нямат специализирани вътрешни екипи по ИТ, сигурност или съответствие, всяка политика в този пакет изрично възлага отговорност и отчетност на бизнес роли като главния изпълнителен директор, ръководители на отдели и, когато е приложимо, определен персонал или външно възложени доставчици на услуги по ИТ. Всички политики се позовават на опростено разделение на задълженията; делегирането от главния изпълнителен директор е подкрепено, но одитируемостта и надзорът се запазват по всяко време, за да се спази клауза 5.3 на ISO/IEC 27001. Включени в този стартов пакет, фокусиран върху МСП, са: Политика за информационна сигурност, Политика за роли и отговорности по управление, Политика за контрол на достъпа, Политика за управление на промените, Политика за управление на риска и Политика за резервно копиране и възстановяване. Всеки документ обхваща основни оперативни и технологични контролни мерки в рамките на жизнения цикъл на информацията — от предоставяне на достъп на потребители и оценка на риска до одобрения на промени и непрекъсваемост на бизнеса. Общите изисквания включват поддържане на централни регистри (за достъп и рискове), документиране на всички промени и делегирания, осигуряване на периодични прегледи на политиките и прилагане на спазване на политиките с ясни последствия при нарушения или пропуски. Особено важно е последователното прилагане в целия пакет: всяка политика изисква задължителен периодичен преглед (ежегодно или след значими промени), документирано одобрение на изключения или инциденти от главния изпълнителен директор и лесна приложимост както за вътрешен персонал, така и за доставчици на услуги на трети страни, което ги прави приложими независимо от размера на компанията. Дейности като системи за резервно копиране, тестване на възстановяването, спазване на политиките, наблюдение на риска и управление на потребителския достъп са предписани по начин, съвместим с ограничения вътрешен капацитет. Например режимите за резервно копиране и тестовете за възстановяване се управляват от едно отчетно лице (главният изпълнителен директор или определено лице), а идентифицирането на риска може да се извършва чрез прости контролни списъци вместо чрез напреднали инструменти. Всички политики в този пакет са съпоставени с основни глобални рамки и регулации, включително ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 и EU GDPR. Съпоставянето включва клаузи като 5.1–5.3, 6.1, 8.1 за ISO/IEC 27001, релевантни контроли за ISO/IEC 27002 (напр. контроли 5.2, 5.15, 8.13) и конкретни членове по GDPR и DORA. Тези съпоставяния, заедно с контроли на ясен език и ролево-специфични процеси, гарантират, че съответствието за МСП е не само постижимо, но и демонстрируемо пред клиенти, одитори и регулатори. Политиките са взаимно препратени; всяка съдържа връзки към свързани документи в пакета за интегрирано внедряване на СУИС за по-малки организации.