Требования ИСО 27001 (ISO 27001:2013): полный разбор стандарта

ИСО 27001 (ISO 27001) — это международный стандарт, который устанавливает требования к построению, внедрению, поддержанию и непрерывному совершенствованию системы управления информационной безопасностью. Если ваша компания работает с персональными данными клиентов, обрабатывает коммерческую тайну или обязана подтверждать надёжность перед партнёрами и регуляторами — понимание требований этого стандарта необходимо уже на этапе планирования.

Стандарт ИСО 27001 опубликован Международной организацией по стандартизации и охватывает все типы организаций: от небольших IT-компаний до крупных промышленных холдингов, банков и государственных учреждений. В России интерес к нему резко возрос после принятия поправок к Федеральному закону №152-ФЗ «О персональных данных» и ужесточения требований регуляторов — ФСТЭК и ФСБ — к защите информации. Сертификат ИСО 27001 становится обязательным условием для участия в тендерах крупных корпораций и государственных закупках.

Требования стандарта не являются жёсткими техническими предписаниями — они описывают, что должна делать организация, а не как именно это технически реализовывать. Это принципиальное отличие от, например, ГОСТ Р 57580 или PCI DSS: ИСО 27001 задаёт управленческую рамку, внутри которой компания самостоятельно выбирает технические решения. Именно поэтому стандарт применим одновременно к банку с тысячью сотрудников и к стартапу из двадцати человек.

Эта статья — практическое руководство для руководителей по безопасности, IT-директоров и специалистов по compliance, которые хотят разобраться в архитектуре стандарта, понять, что конкретно требуется от организации, и избежать типичных ошибок при внедрении.

Что такое система СМИБ по ИСО 27001

СМИБ расшифровывается как Система менеджмента информационной безопасности (в английской версии — ISMS, Information Security Management System). По своей сути это не набор технических средств защиты, а управленческая система: совокупность политик, процедур, процессов и средств контроля, которые организация использует для управления рисками информационной безопасности.

Ключевая идея СМИБ — циклическое управление по модели PDCA (Plan–Do–Check–Act):

• Plan (Планирование): определить контекст, оценить риски, выбрать меры контроля, разработать планы
• Do (Внедрение): реализовать выбранные контроли, провести обучение, запустить процессы
• Check (Проверка): мониторинг эффективности контролей, внутренние аудиты, анализ инцидентов
• Act (Улучшение): устранить несоответствия, принять корректирующие меры, обновить документацию

Эта модель делает СМИБ живой системой, а не разовым проектом. Организация, получившая сертификат, обязана ежегодно подтверждать его через надзорные аудиты — и это не формальность, а реальная проверка того, что система работает.

Охват стандарта — понятие области применения СМИБ — компания определяет самостоятельно. Это может быть вся организация целиком, отдельный офис, конкретный бизнес-процесс (например, разработка программного обеспечения) или отдельный продукт. Правильно определённая область применения — один из ключевых факторов успешной сертификации: слишком широкая увеличивает затраты, слишком узкая вызывает вопросы у аудиторов.

Структура стандарта ИСО 27001:2013

Стандарт ИСО 27001 (ISO 27001:2013) построен по единой структуре высокого уровня (HLS — High-Level Structure), которая применяется во всех стандартах ИСО на системы менеджмента. Это позволяет интегрировать ИСО 27001 с ИСО 9001 (качество), ИСО 14001 (экология) и другими стандартами без дублирования документации.

Разделы 1–3 содержат область применения стандарта, нормативные ссылки и определения — они носят вводный характер и не содержат требований к организации. Все обязательные требования сосредоточены в разделах 4–10 и Приложении А.

Основные требования ИСО 27001: разделы 4-10

Раздел 4: Контекст организации

Прежде чем выстроить СМИБ, организация обязана понять среду, в которой она работает. Раздел 4 требует:

• Определить внешние факторы: законодательство (ФЗ-152, приказы ФСТЭК), конкурентная среда, технологические тренды, рыночные требования партнёров
• Определить внутренние факторы: организационная структура, существующие процессы обработки информации, корпоративная культура, текущий уровень зрелости ИБ
• Выявить заинтересованные стороны: клиентов, регуляторов, акционеров, поставщиков — и понять их ожидания от системы ИБ
• Зафиксировать область применения СМИБ в документированном виде

На практике этот раздел реализуется через проведение GAP-анализа и интервью с ключевыми руководителями. Российские компании нередко недооценивают именно требования к внешнему контексту: необходимо явно учитывать требования Роскомнадзора, ФСТЭК (для операторов КИИ — Федеральный закон №187-ФЗ) и отраслевых регуляторов (ЦБ РФ для финансовых организаций).

Раздел 5: Лидерство

Стандарт однозначно требует, чтобы высшее руководство (генеральный директор, совет директоров) проявляло реальную вовлечённость в СМИБ — не делегировало её полностью IT-отделу. Конкретные обязательства руководства:

• Утверждение Политики информационной безопасности — документа высшего уровня, который устанавливает цели и принципы ИБ в организации
• Обеспечение необходимых ресурсов — бюджет, персонал, инструменты
• Назначение ответственных за СМИБ и чёткое распределение ролей
• Демонстрация лидерства по ИБ на личном примере

Аудиторы при сертификации обязательно проводят интервью с топ-менеджерами. Если директор не знает, что такое СМИБ и какова политика ИБ компании — это серьёзное несоответствие, которое заблокирует выдачу сертификата.

Раздел 6: Планирование (оценка рисков)

Сердце всей системы ИСО 27001 — оценка и обработка рисков информационной безопасности. Раздел 6 требует:

1. Разработать и применять методологию оценки рисков — компания сама выбирает метод (качественный, количественный, смешанный), но он должен быть воспроизводимым и сравнимым
2. Идентифицировать активы, угрозы и уязвимости в рамках области СМИБ
3. Проанализировать риски: оценить вероятность реализации угрозы и возможный ущерб
4. Принять решение по каждому риску: принять, передать (страхование), избежать или снизить
5. Сформировать Декларацию о применимости (Statement of Applicability, SoA) — документ, в котором для каждого из 114 контролей Приложения А указано, применяется ли он и почему

SoA — один из ключевых документов при сертификации. Аудиторы изучают его особенно тщательно.

Раздел 7: Поддержка

Требования к ресурсам, обеспечивающим работу СМИБ:

• Компетентность: сотрудники, ответственные за ИБ, должны обладать документально подтверждённой квалификацией (дипломы, сертификаты, результаты обучения)
• Осведомлённость: весь персонал, работающий в рамках СМИБ, обязан понимать политику ИБ и свою роль в ней. Ежегодные тренинги по ИБ — обязательное требование
• Коммуникации: определены каналы и процедуры внутренних и внешних коммуникаций по вопросам ИБ
• Документированная информация: все обязательные документы должны управляться — создаваться, актуализироваться, защищаться и контролироваться

Раздел 8: Операционная деятельность

Раздел 8 требует фактической реализации того, что было запланировано в разделе 6. Организация обязана:

• Внедрить выбранные контроли из Приложения А
• Управлять изменениями, затрагивающими СМИБ (новые системы, изменения в процессах)
• Контролировать внешних поставщиков — облачные сервисы, аутсорсинговые партнёры, которые обрабатывают информацию в рамках СМИБ
• Реагировать на инциденты ИБ согласно разработанным процедурам

Раздел 9: Оценка результатов деятельности

Система должна регулярно измеряться и проверяться:

• Мониторинг и измерения: организация определяет показатели эффективности контролей и регулярно их отслеживает
• Внутренний аудит СМИБ: проводится как минимум раз в год независимыми (от проверяемых процессов) аудиторами
• Анализ со стороны руководства: не реже одного раза в год топ-менеджмент рассматривает результаты работы СМИБ и принимает решения о её развитии

Раздел 10: Улучшение

Когда выявлены несоответствия — при аудите, через инциденты или мониторинг — организация обязана:

• Провести корректирующие действия: устранить несоответствие и его причину
• Документировать несоответствия и результаты их устранения
• Постоянно совершенствовать СМИБ — не просто реагировать на проблемы, но проактивно улучшать систему

Приложение А: 114 контролей безопасности

Приложение А стандарта ИСО 27001 (ISO 27001:2013) содержит нормативный перечень из 114 контролей безопасности, сгруппированных в 14 доменов (A.5–A.18). Это не произвольный список рекомендаций — организация обязана в Декларации о применимости (SoA) обосновать, какие контроли она применяет, а какие исключает и почему.

Важно понять: не все 114 контролей обязательны для каждой организации. Компания проводит оценку рисков и выбирает применимые контроли исходя из своей области СМИБ, характера обрабатываемой информации и выявленных рисков. Стартап без физических серверов вполне может обоснованно исключить часть контролей из домена A.11. Однако каждое исключение должно быть аргументировано в SoA.

Подробная расшифровка каждого контроля содержится в сопроводительном стандарте ИСО 27002 (ISO 27002) — он не является обязательным для сертификации, но служит практическим руководством по реализации мер из Приложения А.

Отличие ISO 27001:2013 от ISO 27001:2022

В октябре 2022 года опубликована обновлённая версия стандарта — ISO 27001:2022. Ключевые изменения затрагивают прежде всего Приложение А:

• Количество контролей сокращено с 114 до 93 за счёт объединения дублирующих мер
• Введены 4 новые категории вместо 14 доменов: организационные (37 контролей), кадровые (8), физические (14) и технологические (34)
• Добавлены 11 новых контролей, отражающих современные угрозы: управление облачными сервисами, threat intelligence, веб-фильтрация, безопасное программирование, мониторинг физической безопасности и другие

Разделы 4–10 претерпели незначительные редакционные правки без кардинальных изменений в требованиях.

Что выбрать? Если вы только начинаете проект внедрения — рекомендуется сразу работать по версии 2022. Организации, уже имеющие сертификат по версии 2013, обязаны перейти на новую версию до 31 октября 2025 года (срок, установленный IAF).

Этапы внедрения требований ИСО 27001

Внедрение СМИБ по ИСО 27001 (ISO 27001) — проект продолжительностью от 6 до 18 месяцев в зависимости от размера и зрелости организации. Типовой план включает семь этапов:

1. Определение области применения. Фиксируете границы СМИБ: какие процессы, подразделения, информационные системы и физические площадки включены. Чем точнее определена область — тем предсказуемее результат.

2. Оценка рисков. Инвентаризация информационных активов, анализ угроз и уязвимостей, оценка вероятности и ущерба. Типичный объём работ для средней компании (200–500 сотрудников): 3–6 недель при участии владельцев активов.

3. Выбор контролей и разработка SoA. На основе результатов оценки рисков определяете применимые контроли из Приложения А и документируете решения в Декларации о применимости.

4. Разработка документации. Политика ИБ, процедуры управления рисками, инцидентами, доступом, резервным копированием и другие обязательные документы. Это трудоёмкий этап, который нельзя упрощать формально.

5. Внедрение контролей. Реализация технических и организационных мер: настройка систем управления доступом, шифрование, обучение персонала, выстраивание процессов реагирования на инциденты.

6. Внутренний аудит. Независимая проверка соответствия внедрённой системы требованиям стандарта. Выявленные несоответствия устраняются до внешнего аудита.

7. Сертификационный аудит. Проводится аккредитованным органом по сертификации в два этапа: аудит документации (Stage 1) и аудит на месте (Stage 2). По результатам — выдача сертификата сроком на 3 года с ежегодными надзорными аудитами.

Для сертификации ИСО 27001 в IT-компаниях характерны специфические нюансы: особое внимание уделяется контролям по безопасной разработке (A.14), управлению уязвимостями (A.12.6) и работе с облачными поставщиками.

Обязательная документация по ИСО 27001

Стандарт явно указывает перечень документов, которые организация обязана вести и поддерживать в актуальном состоянии:

1. Область применения СМИБ — задокументированная граница системы
2. Политика информационной безопасности — утверждается высшим руководством
3. Методология оценки рисков — описание применяемого подхода и критериев
4. Реестр рисков — результаты оценки всех выявленных рисков
5. План обработки рисков — конкретные меры по каждому риску с ответственными и сроками
6. Декларация о применимости (SoA) — ключевой документ, обосновывающий выбор контролей
7. Цели ИБ — измеримые показатели, которые организация планирует достичь
8. Свидетельства компетентности — дипломы, сертификаты, результаты обучения сотрудников
9. Результаты мониторинга и измерений — периодические отчёты об эффективности контролей
10. Программа и результаты внутреннего аудита
11. Результаты анализа со стороны руководства
12. Зафиксированные несоответствия и корректирующие действия

Помимо обязательных, большинство организаций разрабатывают десятки дополнительных процедур — по управлению инцидентами, резервному копированию, физическому доступу, криптографии. Их объём определяется сложностью СМИБ и требованиями контролей Приложения А.

Типичные ошибки при внедрении

1. Формальный подход к документации без реального внедрения. Компании нередко создают красивые политики и процедуры, которые существуют только на бумаге. Аудиторы это видят — они запрашивают свидетельства (логи, скриншоты, записи о проведённых инструктажах). Документ без подтверждения его исполнения — несоответствие.

2. Слишком широкая или слишком узкая область применения. В первом случае объём работ становится неуправляемым и проект затягивается. Во втором — аудиторы задают вопросы о логической границе СМИБ: почему из области исключены процессы, которые явно влияют на безопасность включённых систем.

3. Недооценка требований к вовлечённости руководства. Когда СМИБ воспринимается как проект IT-отдела, а не корпоративная система управления — стандарт не выполняется по разделу 5. Руководство должно лично участвовать: утверждать политику, проводить анализ, выделять ресурсы.

4. Некорректная оценка рисков. Использование произвольных шкал без методологии, отсутствие привязки рисков к реальным бизнес-активам, неучёт угроз от инсайдеров и цепочки поставок — типичные проблемы, которые делают всю систему управления рисками формальной.

5. Игнорирование надзорных аудитов. После получения сертификата некоторые компании перестают поддерживать систему в актуальном состоянии. Ежегодный надзорный аудит выявляет деградацию СМИБ, что может привести к приостановке или отзыву сертификата.

Часто задаваемые вопросы

Чем ИСО 27001:2013 отличается от версии 2022 года?

Главное изменение — реструктуризация Приложения А: 114 контролей в 14 группах заменены на 93 контроля в 4 категориях. Добавлены 11 новых контролей, актуальных для современных угроз: управление облаком, threat intelligence, безопасная разработка. Требования разделов 4–10 остались практически без изменений. Организации с сертификатом 2013 года обязаны перейти на новую версию до 31 октября 2025 года.

Обязателен ли сертификат ИСО 27001 в России?

Требование о сертификации по ИСО 27001 может быть установлено контрактом с заказчиком или условиями тендера. Само по себе российское законодательство (ФЗ-152, ФЗ-187) не обязывает получать именно этот сертификат — однако наличие СМИБ по ИСО 27001 учитывается при проверках ФСТЭК как подтверждение зрелости системы защиты. Для компаний, работающих с иностранными заказчиками или международными партнёрами, сертификат де-факто обязателен.

Сколько времени занимает внедрение ИСО 27001 с нуля?

Для малого бизнеса (до 100 сотрудников) при наличии консультанта — от 6 до 9 месяцев. Для средней компании (100–500 сотрудников) — 9–15 месяцев. Для крупных организаций с несколькими площадками и сложной IT-инфраструктурой — 12–24 месяца. Основные факторы, влияющие на срок: зрелость существующих процессов ИБ, степень вовлечённости руководства и доступность ресурсов.

Что такое область применения СМИБ и как её правильно определить?

Область применения (scope) — это документально зафиксированная граница системы: какие подразделения, бизнес-процессы, информационные системы и физические площадки включены в СМИБ. При определении важно учитывать интерфейсы с внешними организациями — облачными провайдерами, аутсорсерами, партнёрами. Слишком узкая область вызывает вопросы у аудиторов, слишком широкая увеличивает стоимость и сроки проекта.

Нужен ли консультант для внедрения ИСО 27001?

Технически — нет, стандарт не обязывает привлекать внешних консультантов. Практически — да, для большинства организаций это разумно. Консультант с опытом 10–15 успешных проектов сертификации позволяет избежать типичных ошибок, сократить сроки на 30–40% и правильно подготовиться к аудиту. Альтернатива — внутренний специалист с соответствующей квалификацией (сертификат Lead Implementer ИСО 27001).

Сколько стоит сертификация ИСО 27001 в России?

Стоимость складывается из нескольких составляющих: консалтинг по внедрению (от 300 000 до 2 000 000 рублей в зависимости от объёма), аудит органа по сертификации (от 200 000 до 600 000 рублей), внутренние затраты на персонал и технические средства. Для малого бизнеса совокупные затраты составляют 500 000–1 500 000 рублей, для крупных компаний — от 3 000 000 рублей и выше. Актуальные расценки смотрите на странице стоимость сертификации.

Как долго действует сертификат ИСО 27001?

Сертификат выдаётся сроком на 3 года. В течение этого срока аккредитованный орган ежегодно проводит надзорные аудиты (surveillance audit), проверяя, что СМИБ продолжает соответствовать требованиям стандарта. По истечении трёх лет проводится повторный сертификационный аудит (recertification audit) для продления сертификата.

Если вы планируете получить сертификат ИСО 27001 или хотите разобраться, с чего начать внедрение — свяжитесь с нами. Мы помогаем российским компаниям пройти путь от GAP-анализа до выдачи сертификата: подберём подходящую область применения, разработаем документацию, подготовим к аудиту.

Позвоните нам или оставьте заявку — ответим в течение рабочего дня и проведём бесплатную первичную консультацию по вашему проекту.