- Почему IT-компании нужен ИСО 27001
- Что такое ИСО 27001: суть стандарта для IT
- Требования ИСО 27001 к IT-компании: что нужно сделать
- Этапы получения сертификата ИСО 27001
- Стоимость сертификации ИСО 27001 для IT-компаний
- Особенности ИСО 27001 для разных типов IT-компаний
- ИСО 27001 и ИСО 9001: в чём разница и что выбрать IT-компании
- Типичные ошибки при сертификации ИСО 27001 в IT
- Поддержание СМИБ после сертификации
- Часто задаваемые вопросы
- Как выбрать консультанта по ИСО 27001 для IT-компании
Для IT-компании сертификат ИСО 27001 (ISO 27001) — это не просто «бумажка для тендеров». Это рабочий инструмент защиты бизнеса: от утечек клиентских данных, от киберинцидентов, от потери доверия заказчиков. В 2026 году требования к информационной безопасности ужесточились: 152-ФЗ, ГИС, требования зарубежных клиентов. IT-компании, имеющие сертификат ИСО 27001, закрывают эти вопросы системно.
В этой статье разберём: что конкретно требует стандарт от IT-компании, как проходит сертификация ИСО 27001, сколько это стоит и в какие сроки реально уложиться.
Почему IT-компании нужен ИСО 27001
Запросы на сертификат ИСО 27001 от IT-компаний растут по конкретным причинам:
Требования заказчиков. Крупные корпоративные клиенты — банки, страховые компании, госструктуры — всё чаще включают наличие ИСО 27001 в требования к поставщикам IT-услуг и ПО. Без сертификата компанию просто не допускают к тендеру.
Выход на зарубежные рынки. Если IT-компания работает с европейскими клиентами, ИСО 27001 стал де-факто обязательным: GDPR прямо ссылается на международные стандарты информационной безопасности как на приемлемый способ выполнения его требований.
152-ФЗ и операторы персональных данных. Разработчики ПО, SaaS-платформы, облачные провайдеры обрабатывают персональные данные пользователей. ИСО 27001 систематизирует выполнение требований Федерального закона о персональных данных.
Защита от киберинцидентов. По данным российского рынка информационной безопасности, средний ущерб от утечки данных для IT-компании среднего размера составляет несколько миллионов рублей. Система ИСО 27001 снижает эти риски системно, а не точечно.
Конкурентное преимущество. Среди российских IT-компаний сертифицированных пока немного. Наличие ИСО 27001 выделяет компанию на фоне конкурентов — особенно при работе с enterprise-сегментом.
Что такое ИСО 27001: суть стандарта для IT
ИСО 27001 (ISO/IEC 27001) — международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ, или ISMS — Information Security Management System).
Стандарт определяет, как организация должна управлять информационными рисками:
- Конфиденциальность (Confidentiality) — информация доступна только авторизованным лицам
- Целостность (Integrity) — информация не изменена несанкционированно
- Доступность (Availability) — авторизованные пользователи получают доступ в нужное время
Актуальная версия — ИСО 27001:2022 (в России — ГОСТ Р ИСО/МЭК 27001-2021). Подробнее о стандарте: ИСО 27001 — Информационная безопасность. Ключевое нововведение версии 2022 года — обновлённое Приложение А с 93 мерами безопасности (было 114 в версии 2013 года), организованными в 4 тематических группы: организационные, кадровые, физические и технологические.
Важно: ИСО 27001 применим к любой организации, но для IT-компаний он особенно органичен: большинство рисков — информационные, большинство процессов — цифровые.
Требования ИСО 27001 к IT-компании: что нужно сделать
Стандарт ИСО 27001 использует ту же структуру из 10 разделов (HLS), что и ИСО 9001 и ИСО 14001. Разделы 4–10 содержат обязательные требования:
| Раздел | Требование | Что это значит для IT-компании |
|---|---|---|
| 4. Контекст | Анализ среды, заинтересованные стороны, область применения СМИБ | Определить: что защищаем (активы), от кого (угрозы), в каком масштабе |
| 5. Лидерство | Политика ИБ, роли и ответственность | Назначить ответственного за ИБ, утвердить политику на уровне руководства |
| 6. Планирование | Оценка рисков, план обработки рисков, цели ИБ | Провести оценку рисков, выбрать меры из Приложения А |
| 7. Поддержка | Ресурсы, компетентность, осведомлённость, документация | Обучить сотрудников, вести журналы и процедуры |
| 8. Деятельность | Реализация плана обработки рисков | Внедрить выбранные меры безопасности |
| 9. Оценка | Мониторинг, внутренние аудиты, анализ руководства | Измерять эффективность мер, проводить аудиты |
| 10. Улучшение | Несоответствия, корректирующие действия | Исправлять инциденты, учиться на ошибках |
Помимо основных разделов, стандарт содержит Приложение А — нормативный перечень из 93 мер безопасности. IT-компания не обязана внедрять все — нужно выбрать применимые меры по результатам оценки рисков и обосновать выбор в «Декларации о применимости» (Statement of Applicability, SoA).
Типичные меры Приложения А, критичные для IT-компаний:
- Управление доступом (A.5.15–A.5.18): ролевой доступ, принцип минимальных привилегий
- Управление активами (A.5.9–A.5.14): инвентаризация, классификация информации
- Криптография (A.8.24): политика использования шифрования
- Безопасность операций (A.8.8–A.8.13): управление уязвимостями, резервное копирование
- Безопасность разработки (A.8.25–A.8.31): SSDLC, код-ревью, тестирование безопасности
- Управление инцидентами (A.5.24–A.5.28): план реагирования, регистрация инцидентов
- Облачные сервисы (A.5.23): требования ИБ к облачным поставщикам
Этапы получения сертификата ИСО 27001
Процесс сертификации IT-компании по ИСО 27001 состоит из нескольких последовательных этапов:
Этап 1: Определение области применения СМИБ (Scope)
Первый и критически важный шаг — определить, что именно включается в область сертификации. IT-компании могут сертифицировать: - Всю компанию целиком - Отдельные подразделения (например, только разработку или только поддержку) - Конкретный продукт или сервис
Правильно определённый Scope упрощает дальнейшую работу и снижает стоимость сертификации. Узкий Scope — меньше рисков для оценки, меньше мер для внедрения.
Этап 2: Оценка рисков информационной безопасности
Это сердце ИСО 27001 и самый трудоёмкий этап для IT-компании. Требуется:
- Инвентаризация активов: что нужно защищать (код, данные клиентов, инфраструктура, персонал)
- Идентификация угроз: что может пойти не так (взлом, инсайдер, ошибка, сбой)
- Оценка уязвимостей: где слабые места
- Расчёт рисков: вероятность × последствия
- Выбор мер: для каждого значимого риска — мера из Приложения А или собственная
Для IT-компании типичные высокие риски: компрометация учётных данных, уязвимости в коде, утечка клиентских данных через API, несанкционированный доступ к production-среде.
Этап 3: Разработка документации СМИБ
Обязательная документированная информация ИСО 27001 для IT-компании:
- Политика информационной безопасности — верхнеуровневый документ с намерениями и принципами
- Методология оценки рисков — как именно оцениваются риски
- Реестр рисков — все выявленные риски, оценки, меры
- Декларация о применимости (SoA) — какие меры Приложения А применяются, какие нет и почему
- План обработки рисков — что делать, кто отвечает, когда
- Процедуры по управлению инцидентами, доступом, изменениями, резервным копированием
- Записи: журналы аудитов, инцидентов, обучения, анализа со стороны руководства
Этап 4: Внедрение мер безопасности
Практическое выполнение плана обработки рисков. Для IT-компаний это обычно включает:
- Введение многофакторной аутентификации (MFA) на все критичные системы
- Внедрение принципа минимальных привилегий в управлении доступом
- Настройка централизованного логирования и мониторинга событий безопасности
- Процедуры управления уязвимостями: регулярный скан, patching
- Шифрование данных в покое и при передаче
- Процедуры резервного копирования и восстановления (тесты RTO/RPO)
- Политика безопасной разработки: SSDLC, зависимости, code review на безопасность
Этап 5: Внутренний аудит и анализ руководства
Перед сертификационным аудитом обязательно: - Провести внутренний аудит СМИБ по всем разделам ИСО 27001 - Провести анализ со стороны высшего руководства (Management Review) - Устранить все найденные несоответствия
Этап 6: Сертификационный аудит
Двухэтапный процесс с аккредитованным органом: - Этап 1 (Documentary review): аудитор изучает документацию, проверяет готовность к этапу 2 - Этап 2 (Onsite audit): аудит «на месте» или онлайн — проверка реального функционирования СМИБ, интервью с сотрудниками
При успешном прохождении выдаётся сертификат ИСО 27001 сроком на 3 года с ежегодными надзорными аудитами.
Стоимость сертификации ИСО 27001 для IT-компаний
Итоговая стоимость складывается из двух составляющих: услуги консультанта и стоимость аудита органа по сертификации.
| Размер IT-компании | Стоимость под ключ | Срок |
|---|---|---|
| Стартап / малая (до 50 человек) | от 80 000 ₽ | 2–3 месяца |
| Средняя (51–200 человек) | от 120 000 ₽ | 3–4 месяца |
| Крупная (более 200 человек) | от 200 000 ₽ | 4–6 месяцев |
| Совместно с ИСО 9001 | экономия 20–25% | тот же срок |
Что влияет на стоимость: - Объём области применения (Scope): чем шире — тем дороже - Текущий уровень зрелости ИБ: если уже есть выстроенные процессы — дешевле - Количество локаций: несколько офисов или дата-центров увеличивают стоимость аудита - Орган по сертификации: крупные международные органы (Bureau Veritas, SGS, TÜV) дороже отечественных
Подробный расчёт для вашей компании — на странице стоимости сертификации.
Особенности ИСО 27001 для разных типов IT-компаний
Разработчики ПО и продуктовые компании
Ключевые области риска: безопасность кода, управление зависимостями, CI/CD pipeline, доступ к production. Акцент в СМИБ — на Secure Software Development Lifecycle (SSDLC), управлении уязвимостями в коде, пентестах.
SaaS и облачные провайдеры
Особенности: мультитенантная архитектура, клиентские данные, SLA по доступности. В Приложении А особенно важны: A.5.23 (безопасность при использовании облачных сервисов), A.8.10 (удаление информации), управление доступом через API.
Аутсорсинговые IT-компании и системные интеграторы
Работа с данными множества клиентов создаёт риски кросс-контаминации. Важны: изоляция окружений, управление цепочкой поставщиков (A.5.19–A.5.22), NDA и договорные требования по ИБ.
Телеком и интернет-провайдеры
Регуляторные требования в дополнение к ИСО 27001: СОРМ, требования ФСТЭК. ИСО 27001 может служить основой для выполнения этих требований.
ИСО 27001 и ИСО 9001: в чём разница и что выбрать IT-компании
IT-компании часто стоят перед выбором: начать с ИСО 9001 (менеджмент качества) или с ИСО 27001 (информационная безопасность)?
| Критерий | ИСО 9001 | ИСО 27001 |
|---|---|---|
| Область | Качество продуктов и услуг | Информационная безопасность |
| Главный вопрос | Стабильно ли мы выдаём качество? | Надёжно ли защищена информация? |
| Обязательность | Тендеры, крупные заказчики | Корпоративные клиенты с требованиями ИБ, GDPR |
| Типичные клиенты | Все отрасли | IT, финтех, телеком, аутсорсинг |
| Средний срок | 1–3 месяца | 2–4 месяца |
| Совместимость | Единая структура HLS | Единая структура HLS |
Рекомендация: если IT-компания хочет работать с максимально широким кругом клиентов — начинать с ИСО 9001, параллельно добавляя ИСО 27001. Если основные заказчики — банки, госструктуры, зарубежные клиенты с требованиями по ИБ — ИСО 27001 в приоритете.
Подробнее об ИСО 9001 для IT-компаний — в статье «Что такое ISO 9001».
Типичные ошибки при сертификации ИСО 27001 в IT
По опыту работы с IT-компаниями, выделяем наиболее частые проблемы:
1. Слишком широкий Scope. Включение в область сертификации всего, что есть в компании, многократно увеличивает объём работы. Лучше начать с конкретного продукта или бизнес-процесса.
2. Формальная оценка рисков. Копирование стандартных реестров рисков без привязки к реальным активам и угрозам компании — частая причина замечаний на аудите. Аудитор задаёт конкретные вопросы: «А вот у вас доступ к базе данных клиентов — как вы оцениваете этот риск?»
3. Документация ради документации. Политики и процедуры, которые сотрудники не читают и не выполняют, создают разрыв между документацией и реальностью. Аудитор замечает это сразу.
4. Игнорирование человеческого фактора. Технические меры (шифрование, firewall, MFA) выстроены, а осведомлённость сотрудников — нет. 80% инцидентов начинается с человеческой ошибки или социальной инженерии.
5. Неподготовленность к надзорным аудитам. Сертификат получен, система «замёрзла». Ежегодный надзорный аудит проверяет, что система продолжает работать и улучшаться — к нему тоже нужно готовиться.
Поддержание СМИБ после сертификации
Сертификат ИСО 27001 выдаётся на 3 года, но это не значит, что три года можно ничего не делать. Система менеджмента должна функционировать непрерывно.
Минимальный набор активностей для поддержания СМИБ в IT-компании:
| Периодичность | Активность |
|---|---|
| Ежемесячно | Анализ логов и событий ИБ, управление уязвимостями (patching) |
| Квартально | Пересмотр прав доступа, обновление реестра рисков при изменениях |
| Ежегодно | Внутренний аудит СМИБ, анализ со стороны руководства, обучение сотрудников |
| По событию | Расследование инцидентов, корректирующие действия |
| За 3 месяца до ресертификации | Подготовка к ресертификационному аудиту |
Часто задаваемые вопросы
Чем ИСО 27001 отличается от 152-ФЗ?
Это разные уровни: 152-ФЗ — российский закон, определяющий правовые требования к обработке персональных данных. ИСО 27001 (ISO 27001) — международный стандарт системы менеджмента. Выполнение требований ИСО 27001 помогает выполнить технические требования 152-ФЗ, но не заменяет юридические обязательства оператора персональных данных.
Нужно ли внедрять все 93 меры Приложения А?
Нет. Нужно внедрить меры, применимые по результатам оценки рисков, и обосновать исключения в Декларации о применимости (SoA). Для небольшой IT-компании реально применимы 50–70 мер из 93.
Можно ли совместить ИСО 27001 с ИСО 9001?
Да. Оба стандарта имеют единую структуру HLS (High Level Structure). Многие IT-компании сертифицируются одновременно по обоим стандартам — это экономит 20–25% бюджета и упрощает документацию. Подробнее о ИСО 9001 — в статье «Что такое ISO 9001».
Сколько стоит сертификат ИСО 27001 для IT-компании?
Для небольших IT-компаний (до 50 человек) стоимость сертификации ИСО 27001 под ключ — от 80 000 ₽. Средние компании (51–200 человек) — от 120 000 ₽. Итоговая цена зависит от объёма области применения, количества площадок и текущего уровня зрелости информационной безопасности в компании.
Как долго занимает сертификация ИСО 27001 для IT-компании?
Реалистичный срок для IT-компании со средним уровнем зрелости — 2–4 месяца. При уже выстроенных процессах безопасности и готовой документации возможно ускорение до 6–8 недель. Крупным компаниям (более 200 человек) стоит закладывать 4–6 месяцев.
Обязателен ли ИСО 27001 для IT-компаний по закону?
В России прямого законодательного требования нет. Однако де-факто ИСО 27001 обязателен для IT-компаний, работающих с банками, страховщиками, госструктурами, а также для компаний, выходящих на европейские рынки (GDPR).
Чем ИСО 27001 полезен для разработчика ПО конкретно?
Для разработчика ПО ИСО 27001 (ISO 27001) структурирует: управление доступом к коду и production-среде (кто имеет доступ и на каком основании), безопасность CI/CD pipeline, управление уязвимостями (как быстро устраняются CVE), работу с данными клиентов в тестовых средах, реагирование на инциденты безопасности.
Какой орган сертификации выбрать для ИСО 27001?
При выборе органа по сертификации ключевой критерий — аккредитация в IAF (International Accreditation Forum) для международного признания. Крупные международные органы в России: Bureau Veritas, BSI, TÜV Rheinland, SGS. Отечественные аккредитованные органы дешевле, но с ограниченным международным признанием.
Нужно ли нанимать специалиста по ИБ для получения ИСО 27001?
Не обязательно нанимать в штат — можно привлечь консультанта для разработки СМИБ и подготовки к сертификации. После получения сертификата поддержание системы требует выделенного ресурса: это может быть один сотрудник part-time (для малой компании) или выделенный отдел информационной безопасности (для крупной).
Как выбрать консультанта по ИСО 27001 для IT-компании
Консультант — ключевой фактор успешной сертификации. Критерии выбора для IT-компании:
Отраслевой опыт. Консультант, который ранее работал с производственными предприятиями, не знает специфики IT: особенности CI/CD с точки зрения ИБ, облачные риски, Agile-разработка и документация. Спросите: сколько IT-компаний уже сертифицировали?
Практический опыт, а не теоретический. Хороший консультант по ИСО 27001 сам знает, как устроены технические меры: что такое SIEM, как реализовать управление привилегированным доступом (PAM), почему оценка рисков по матрице 5×5 лучше произвольных таблиц.
Прозрачность по срокам и результату. Уточните: что входит в стоимость, что делает консультант сам, а что — ваша команда? Включён ли сопровождение аудита?
Связи с органами сертификации. Консультант с опытом работы с конкретным органом знает его ожидания и снижает риск неожиданных замечаний.
Мы специализируемся на сертификации IT-компаний и знаем специфику разработки ПО, SaaS, облачных сервисов и аутсорсинга. Более подробно об услуге — на странице сертификации ИСО 27001.
Получить сертификат ИСО 27001 — значит системно выстроить защиту информации в компании и подтвердить это независимым аудитом. Для IT-компаний это всё чаще становится условием работы с крупными заказчиками и выхода на новые рынки.
Мы специализируемся на сертификации IT-компаний по ИСО 27001: разрабатываем документацию СМИБ с учётом специфики разработки ПО, SaaS и аутсорсинга, готовим к аудиту и сопровождаем до получения сертификата.