- Зачем IT-компании нужна сертификация ИСО
- Какие стандарты ИСО актуальны для IT-отрасли
- ИСО 27001 и ИСО 9001 вместе: интегрированная система для IT
- Стоимость сертификации ИСО для IT-компаний
- Этапы сертификации IT-компании
- Требования ИСО 27001 к Secure SDLC
- Регуляторные требования: почему IT-подрядчикам нужен ИСО 27001
- Частые ошибки IT-компаний при сертификации ИСО
- Как подготовиться к сертификации: чеклист для CTO
- Часто задаваемые вопросы
Зачем IT-компании нужна сертификация ИСО
IT-отрасль в России переживает период регуляторного ужесточения. Федеральный закон No 187-ФЗ о безопасности критической информационной инфраструктуры (КИИ), требования ЦБ РФ к подрядчикам финансового сектора, усиление контроля Роскомнадзора по 152-ФЗ о персональных данных -- всё это создаёт среду, в которой сертификация ИСО (ISO) из конкурентного преимущества превращается в базовое требование рынка.
Для IT-компаний -- разработчиков программного обеспечения, системных интеграторов, облачных провайдеров, IT-аутсорсеров -- наиболее актуальны два стандарта: ИСО 9001 (ISO 9001) и ИСО 27001 (ISO 27001). Первый подтверждает качество услуг и необходим для тендеров. Второй -- системное управление информационной безопасностью, что критично при работе с данными клиентов.
По данным сертификационных органов, в 2025--2026 годах количество IT-компаний, сертифицированных по ИСО 27001, выросло на 40% в России. Причина -- крупные заказчики (банки, госструктуры, телеком) начали массово включать наличие сертификата ISO 27001 в обязательные требования при проведении закупочных процедур.
Какие стандарты ИСО актуальны для IT-отрасли
Не все стандарты ISO одинаково полезны для IT-бизнеса. Выбор зависит от специализации компании, её клиентов и регуляторной среды. Ниже -- карта стандартов с привязкой к типам IT-компаний.
| Стандарт | Для кого | Зачем нужен | Приоритет |
|---|---|---|---|
| ИСО 9001 (ISO 9001:2015) | Все IT-компании | Тендеры, госконтракты, базовое управление качеством | Высокий |
| ИСО 27001 (ISO 27001:2022) | Разработчики, интеграторы, облако, аутсорсинг | Защита данных, работа с банками и КИИ | Высокий |
| ИСО 20000-1 (ISO 20000-1:2018) | Managed services, IT-аутсорсинг | Управление IT-сервисами (ITSM) | Средний |
| ИСО 27017 (ISO 27017:2015) | Облачные провайдеры (SaaS, IaaS, PaaS) | Безопасность облачных сервисов | Средний |
| ИСО 27018 (ISO 27018:2019) | Обработчики ПДн в облаке | Защита персональных данных в облаке | Средний |
| ИСО 27701 (ISO 27701:2019) | Операторы персональных данных | Управление конфиденциальностью (PIMS) | Средний |
ИСО 9001 для IT-компании
ИСО 9001 (ISO 9001) -- базовый стандарт системы менеджмента качества. Для IT-компании он означает документированные процессы разработки, тестирования, выпуска релизов, обработки обращений клиентов. Стандарт не предписывает конкретную методологию (Agile, Waterfall, DevOps) -- он требует, чтобы выбранная методология была задокументирована, выполнялась на практике и постоянно улучшалась.
Типичные области применения ИСО 9001 в IT: - Процесс разработки ПО (от требований до релиза) - Управление инцидентами и баг-трекинг - Процесс онбординга клиентов - Управление изменениями в коде и инфраструктуре - Обратная связь от клиентов и метрики удовлетворённости
ИСО 27001 для IT-компании
ИСО 27001 (ISO 27001) -- стандарт системы менеджмента информационной безопасности (СМИБ). Для IT-компании он охватывает защиту данных клиентов, управление доступами, криптографию, безопасность сетей, управление уязвимостями, реагирование на инциденты ИБ.
Обновлённая версия ИСО 27001:2022 содержит 93 контроля, сгруппированных в 4 категории: организационные (37), кадровые (8), физические (14) и технологические (34). Для IT-компании наиболее критичны технологические контроли: управление привилегированным доступом, безопасная разработка (Secure SDLC), криптографическая защита, журналирование событий безопасности, управление уязвимостями.
ИСО 27001 и ИСО 9001 вместе: интегрированная система для IT
Для большинства IT-компаний оптимальный выбор -- интегрированная система менеджмента (ИСМ) ИСО 9001+27001. Оба стандарта построены по структуре Annex SL, что позволяет объединить общие процедуры (внутренний аудит, управление несоответствиями, анализ руководства) и добавить специфические элементы каждого стандарта.
Преимущества ИСМ для IT: - Экономия 30--35% по сравнению с двумя отдельными сертификатами - Единый аудит вместо двух - Общая документация -- меньше бюрократии - Согласованное управление рисками качества и ИБ - Один ежегодный надзорный аудит
Стоимость сертификации ИСО для IT-компаний
Стоимость зависит от количества сотрудников, сложности IT-инфраструктуры и выбранных стандартов. Ниже -- ориентировочные цены на 2026 год:
| Вариант сертификации | До 50 чел. | 51--200 чел. | 201--500 чел. |
|---|---|---|---|
| Только ИСО 9001 | от 55 000 ₽ | от 75 000 ₽ | от 110 000 ₽ |
| Только ИСО 27001 | от 80 000 ₽ | от 110 000 ₽ | от 160 000 ₽ |
| ИСМ 9001+27001 | от 110 000 ₽ | от 148 000 ₽ | от 209 000 ₽ |
| ИСМ 9001+27001+20000 | от 150 000 ₽ | от 200 000 ₽ | от 280 000 ₽ |
Этапы сертификации IT-компании
Процесс сертификации IT-компании по ИСО 27001 (ISO 27001) и ИСО 9001 (ISO 9001) включает следующие этапы:
-
GAP-анализ (1--2 недели) -- аудит текущих процессов, IT-инфраструктуры, уровня ИБ. Определение разрывов с требованиями стандартов.
-
Оценка рисков ИБ (2--4 недели) -- идентификация информационных активов, угроз и уязвимостей. Формирование реестра рисков и плана обработки. Разработка Statement of Applicability (SoA).
-
Разработка документации (3--6 недель) -- интегрированная политика, процедуры, инструкции. Для IT это включает: политику безопасной разработки, процедуры управления доступами, регламенты работы с данными клиентов.
-
Внедрение контролей (2--4 недели) -- настройка технических мер ИБ (SIEM, DLP, WAF, IAM), обучение персонала, запуск мониторинга.
-
Внутренний аудит (1 неделя) -- проверка соответствия обоим стандартам.
-
Сертификационный аудит (3--5 дней) -- проверка органом сертификации.
-
Выдача сертификатов (2--4 недели) -- два сертификата сроком на 3 года.
Требования ИСО 27001 к Secure SDLC
Для компаний-разработчиков ПО одно из ключевых требований ИСО 27001:2022 -- безопасная разработка (Secure Software Development Lifecycle). Контроль 8.25 стандарта требует:
- Определение требований безопасности на этапе проектирования
- Моделирование угроз (threat modeling) для новых функций
- Статический анализ кода (SAST) и динамическое тестирование (DAST)
- Ревью кода с фокусом на безопасность
- Управление зависимостями (dependency management) и проверка на уязвимости (SCA)
- Разделение сред разработки, тестирования и production
- Безопасное управление секретами (пароли, ключи API, токены)
Эти требования хорошо вписываются в практики DevSecOps. Если в компании уже используется CI/CD pipeline с автоматизированным тестированием, интеграция требований ИСО 27001 потребует минимальных усилий.
Регуляторные требования: почему IT-подрядчикам нужен ИСО 27001
В 2026 году наличие сертификата ИСО 27001 (ISO 27001) становится де-факто обязательным для IT-подрядчиков в следующих секторах:
- Финансовый сектор -- ЦБ РФ через ГОСТ 57580.1 и Положения 683-П, 719-П требует от финансовых организаций обеспечить ИБ, что транслируется на подрядчиков
- Объекты КИИ -- 187-ФЗ обязывает субъектов КИИ обеспечить безопасность значимых объектов. IT-подрядчики, имеющие доступ к инфраструктуре КИИ, должны подтвердить уровень ИБ
- Государственные информационные системы -- подрядчики, работающие с ГИС, обязаны обеспечить защиту информации по приказам ФСТЭК (17, 21, 31)
- Обработка персональных данных -- 152-ФЗ и постановление 1119 требуют от операторов ПДн обеспечить безопасность данных
Сертификат ИСО 27001 не заменяет выполнение национальных требований, но создаёт системную основу. Аудиторы ФСТЭК и ЦБ отмечают, что организации с СМИБ по ИСО 27001 значительно лучше подготовлены к проверкам.
Частые ошибки IT-компаний при сертификации ИСО
За годы работы с IT-клиентами мы наблюдали типичные ошибки:
Ошибка 1: формальный подход к оценке рисков ИБ
Аудиторы ИСО 27001 проверяют, что реестр рисков реально используется при принятии решений. Копирование шаблона из интернета без адаптации к конкретной инфраструктуре -- верный путь к несоответствию на аудите.
Ошибка 2: игнорирование облачных рисков
Если компания использует AWS, Azure или GCP, необходимо оценить риски, связанные с облачной инфраструктурой: доступность сервисов, локализация данных, управление ключами шифрования, разделение ответственности с провайдером.
Ошибка 3: отсутствие мониторинга инцидентов ИБ
ИСО 27001 требует не просто процедуру реагирования на инциденты, а доказательства её работы: журналы обнаружения, тикеты расследования, отчёты об устранении. Компании без SIEM или централизованного логирования сталкиваются с проблемами.
Ошибка 4: разрыв между документацией и практикой DevOps
Если в документации описан Waterfall, а команда работает по Scrum с CI/CD -- аудитор зафиксирует несоответствие. Документация должна отражать реальные процессы.
Как подготовиться к сертификации: чеклист для CTO
Перед началом проекта сертификации рекомендуем пройти самопроверку:
- ☐ Описаны ли основные процессы разработки/поставки услуг?
- ☐ Есть ли политика информационной безопасности?
- ☐ Ведётся ли реестр информационных активов?
- ☐ Настроено ли централизованное управление доступами (IAM)?
- ☐ Есть ли процедура реагирования на инциденты ИБ?
- ☐ Проводится ли регулярное резервное копирование?
- ☐ Используется ли шифрование при передаче и хранении данных?
- ☐ Настроено ли журналирование событий безопасности?
- ☐ Проводятся ли оценки уязвимостей?
- ☐ Есть ли планы обеспечения непрерывности бизнеса?
Если на большинство вопросов ответ «да» -- компания готова к сертификации за 60--90 дней. Если «нет» -- потребуется больше времени на подготовку, но мы поможем выстроить все процессы с нуля.
Часто задаваемые вопросы
Обязательна ли сертификация ИСО для IT-компании?
Формально -- нет. Но на практике наличие ИСО 9001 (ISO 9001) необходимо для участия в тендерах (44-ФЗ, 223-ФЗ), а ИСО 27001 (ISO 27001) -- для работы с банками, госструктурами и объектами КИИ. Без сертификатов IT-компания теряет доступ к крупнейшим заказчикам.
Сколько времени занимает сертификация IT-компании?
Для компании до 50 сотрудников -- от 60 дней при ИСМ ИСО 9001+27001. Для 50--200 сотрудников -- от 75 дней. Крупные организации с распределённой инфраструктурой -- от 90 дней. Точные сроки определяются после GAP-анализа.
Можно ли получить ИСО 27001 без ИСО 9001?
Да, стандарты независимы. Но для IT-компаний, участвующих в тендерах, ИСО 9001 также необходим. Интегрированная сертификация (ИСМ 9001+27001) обходится дешевле на 30--35%.
Нужно ли менять процессы разработки при сертификации?
Нет. ИСО не предписывает конкретную методологию. Agile, Scrum, Kanban, DevOps -- все подходы совместимы со стандартами. Требуется только документировать выбранные процессы и обеспечить их последовательное выполнение.
Что проверяет аудитор ИСО 27001 в IT-компании?
Аудитор проверяет: наличие и работоспособность СМИБ, оценку рисков ИБ и план обработки, SoA (Statement of Applicability), внедрение контролей Приложения A, осведомлённость персонала, журналы инцидентов, процедуры управления доступом, резервное копирование, мониторинг.
Признаётся ли российский сертификат ИСО 27001 за рубежом?
Да, если сертификат выдан органом, аккредитованным членом IAF (International Accreditation Forum). Мы работаем с органами, аккредитованными через Росаккредитацию (член IAF MLA), что обеспечивает международное признание.
Как ИСО 27001 помогает при проверках ФСТЭК и ЦБ?
ИСО 27001 создаёт системную основу для выполнения требований 187-ФЗ (КИИ), ГОСТ 57580.1 (финансовый сектор), приказов ФСТЭК (17, 21, 31). Организации с СМИБ демонстрируют на 40--60% меньше нарушений при проверках регуляторов.
Сколько стоит поддержание сертификата ИСО после получения?
Ежегодно проводится надзорный аудит (стоимость -- 30--50% от первичной сертификации). Через 3 года -- полная ресертификация. Мы сопровождаем клиентов на протяжении всего цикла, помогаем подготовиться к надзорным аудитам и актуализировать документацию.