ИСО 27001 (ISO 27001:2022) — Система управления информационной безопасностью

Q: Сколько стоит сертификация ИСО 27001?

От 150 000 рублей для малого бизнеса, от 400 000 рублей для банков и крупных компаний.

Q: Как долго действует сертификат ИСО 27001?

Сертификат действует 3 года. Ежегодно проводятся инспекционные аудиты. По истечении 3 лет — ресертификация.

Q: В чём разница между ИСО 27001:2013 и ИСО 27001:2022?

Версия 2022 года реструктурировала Приложение A: 114 мер → 93 меры в 4 разделах. Добавлены 11 новых мер для современных угроз: облачные сервисы, Threat Intelligence, DevSecOps.

Q: Можно ли сертифицировать только часть компании?

Да. Область применения СУИБ определяется организацией самостоятельно — подразделение, продукт или тип данных.

Q: Какие документы нужны для ИСО 27001?

Политика ИБ, результаты оценки рисков, план обработки рисков, заявление о применимости (SoA), процедуры управления доступом, реагирования на инциденты, внутреннего аудита.

ИСО 27001 — ведущий международный стандарт информационной безопасности. Более 70 000 сертифицированных организаций в 150 странах. Обязателен для IT-компаний, банков и всех, кто работает с конфиденциальными данными.

Получить сертификат ИСО 27001 Узнать стоимость

Что такое стандарт ИСО 27001

Стандарт ИСО 27001 (ISO 27001) — это международный документ, устанавливающий требования к системе управления информационной безопасностью (СУИБ) организации. Разработан Международной организацией по стандартизации (ISO) совместно с Международной электротехнической комиссией (IEC), поэтому полное название — ISO/IEC 27001.

Актуальная версия — ИСО 27001:2022 — была принята в октябре 2022 года и заменила редакцию 2013 года. В России стандарт введён как ГОСТ Р ИСО/МЭК 27001-2021. Главная цель стандарта — защита трёх ключевых свойств информации:

Конфиденциальность — информация доступна только тем, кто имеет на это право
Целостность — информация не изменяется несанкционированно
Доступность — информация доступна уполномоченным пользователям когда необходимо

Сертификат ИСО 27001 подтверждает, что организация построила, внедрила и поддерживает СУИБ, способную защитить информационные активы от утечек, кибератак и несанкционированного доступа.

История стандарта ИСО 27001

История стандарта ИСО 27001 восходит к 1995 году, когда в Великобритании был опубликован BS 7799 — первый стандарт информационной безопасности для коммерческих организаций. Именно на его основе был создан ISO 27001.

Версия	Год	Ключевые изменения
BS 7799-2:1999	1999	Британский стандарт, прообраз ISO 27001. Первая система управления ИБ
ISO/IEC 27001:2005	2005	Первая международная версия. Модель PDCA (Plan-Do-Check-Act)
ISO/IEC 27001:2013	2013	Переход на High Level Structure, риск-ориентированный подход, 114 мер управления в Приложении A
ISO/IEC 27001:2022	2022	Актуальная версия. Реструктурированное Приложение A: 93 меры в 4 разделах, новые меры для облака и DevSecOps

Ключевое отличие версии 2022 года — Приложение A теперь содержит 93 меры управления (вместо 114) в 4 разделах: организационные, персонал, физические и технологические меры. Добавлены 11 новых мер для современных угроз: облачные сервисы, разведка угроз, информационная безопасность при разработке ПО (DevSecOps).

Кому нужен сертификат ИСО 27001

Стандарт ИСО 27001 особенно актуален для организаций, которые обрабатывают конфиденциальную информацию или чья деятельность зависит от информационных систем. В ряде случаев сертификат является обязательным требованием:

IT-компании и разработчики ПО — требование крупных заказчиков (Сбербанк, ВТБ, Газпром нефть) при заключении контрактов на разработку
Финтех и банки — Банк России рекомендует ИСО 27001 для кредитных организаций; фактически обязателен для работы с ЦБ
Облачные провайдеры — подтверждение надёжности при хранении данных клиентов
Операторы персональных данных — соответствие 152-ФЗ «О персональных данных» и GDPR для работы с европейскими клиентами
Телекоммуникационные компании — регуляторные требования ФСБ и ФСТЭК в части защиты информации
Государственные контракты — ряд федеральных тендеров в сфере ИТ требует сертификат ИСО 27001
Медицинские информационные системы — защита медицинских данных пациентов
Аутсорсинговые компании — SaaS, BPO, дата-центры, которые обрабатывают данные клиентов

Даже когда сертификат не обязателен, внедрение ИСО 27001 снижает риски инцидентов информационной безопасности и повышает доверие клиентов и партнёров.

Структура стандарта ИСО 27001:2022

Стандарт ИСО 27001:2022 использует унифицированную структуру High Level Structure (HLS), общую для всех современных стандартов ISO. Это упрощает интеграцию с ИСО 9001, ИСО 14001, ИСО 45001.

Раздел	Название	Суть требований
4	Контекст организации	Анализ внешней и внутренней среды, потребности заинтересованных сторон, область применения СУИБ
5	Лидерство	Обязательства руководства, политика информационной безопасности, роли и ответственности
6	Планирование	Оценка и обработка рисков ИБ, цели в области ИБ, планирование изменений
7	Поддержка	Ресурсы, компетентность персонала, осведомлённость, коммуникации, документированная информация
8	Деятельность	Оценка рисков, применение мер управления (Приложение A), управление изменениями
9	Оценка результатов	Мониторинг, внутренние аудиты, анализ со стороны руководства
10	Улучшение	Несоответствия, корректирующие действия, постоянное улучшение СУИБ

Приложение A стандарта содержит 93 меры управления в 4 разделах: организационные (37 мер), персонал (8 мер), физические (14 мер) и технологические (34 меры). Организация выбирает применимые меры на основе результатов оценки рисков.

Этапы сертификации ИСО 27001

Процесс получения сертификата ИСО 27001 включает внедрение СУИБ и прохождение внешнего аудита. Весь цикл занимает от 3 до 9 месяцев в зависимости от размера организации и текущего уровня зрелости в области ИБ.

Шаг 1. Анализ текущего состояния (GAP-анализ)

Оценка существующих мер защиты информации по сравнению с требованиями ИСО 27001. Определение объёма работ и приоритетов.

Шаг 2. Определение области применения СУИБ

Описание границ системы: какие информационные активы, процессы, подразделения и площадки включены в СУИБ.

Шаг 3. Оценка рисков информационной безопасности

Идентификация активов, угроз и уязвимостей. Оценка рисков и определение мер их обработки. Разработка Плана обработки рисков (PoA).

Шаг 4. Разработка политик и процедур

Создание обязательной документации СУИБ: политика ИБ, процедуры управления доступом, реагирования на инциденты, управления активами и другие.

Шаг 5. Внедрение мер управления

Реализация технических и организационных мер из Приложения A: настройка систем контроля доступа, шифрования, мониторинга инцидентов, обучение персонала.

Шаг 6. Внутренний аудит

Проверка функционирования СУИБ собственными силами или приглашённым аудитором. Устранение выявленных несоответствий.

Шаг 7. Внешний аудит — Стадия 1

Органы по сертификации проводят документарный аудит: проверка документации СУИБ на соответствие требованиям ИСО 27001:2022.

Шаг 8. Внешний аудит — Стадия 2. Выдача сертификата

Аудит на месте: проверка реального функционирования СУИБ. При успешном прохождении — выдача сертификата ИСО 27001 сроком на 3 года.

Подробнее о сертификации ИСО 27001

Стоимость и сроки сертификации ИСО 27001

Стоимость сертификации ИСО 27001 зависит от размера организации, сложности информационной инфраструктуры и необходимости консультационной поддержки.

Тип организации	Стоимость	Сроки
Малый бизнес (до 50 чел.)	от 150 000 ₽	3–5 месяцев
Средний бизнес (50–500 чел.)	250 000 – 500 000 ₽	4–7 месяцев
Крупная организация (от 500 чел.)	от 500 000 ₽	6–12 месяцев
Финансовые организации и банки	от 400 000 ₽	6–9 месяцев

В стоимость сертификации входят: консультации по внедрению СУИБ, разработка документации, проведение внутреннего аудита и оплата услуг органа по сертификации. Ежегодные инспекционные аудиты стоят 30–50% от первоначальной стоимости.

Для получения точной стоимости под вашу организацию — оставьте заявку на консультацию.

Преимущества сертификации ИСО 27001

Получение сертификата ИСО 27001 даёт организации конкурентные преимущества и снижает операционные риски:

Выигрыш тендеров и госзакупок — доступ к контрактам, требующим подтверждённой безопасности информации
Доверие клиентов и партнёров — независимое подтверждение того, что данные клиентов защищены
Соответствие 152-ФЗ — ИСО 27001 помогает выстроить систему защиты персональных данных
Снижение страховых премий — многие страховщики снижают тариф на киберстрахование при наличии ИСО 27001
Минимизация ущерба от инцидентов — выстроенные процессы реагирования сокращают время восстановления и финансовые потери
Выход на международные рынки — ИСО 27001 признаётся клиентами в ЕС, США, Азии как мировой стандарт ИБ
Внутренняя дисциплина ИБ — сотрудники понимают правила работы с информацией, снижается человеческий фактор риска

Частые вопросы об ИСО 27001

Чем ИСО 27001 отличается от других стандартов ИБ (ФСТЭК, ФСБ)?

ИСО 27001 — международный стандарт, признаваемый во всём мире. Требования ФСТЭК (защита государственных информационных систем) и ФСБ (криптографическая защита) — российские регуляторные требования, которые обязательны для конкретных типов систем. ИСО 27001 и требования регуляторов не противоречат, а дополняют друг друга: СУИБ по ИСО 27001 создаёт основу для соответствия и российскому законодательству.

Кому нужен ИСО 27001?

Сертификат ИСО 27001 необходим IT-компаниям, банкам, страховым организациям, облачным провайдерам, операторам персональных данных и любым организациям, конкурентным преимуществом которых является защита информации клиентов. Для участия в ряде федеральных тендеров — обязателен.

Сколько стоит сертификация ИСО 27001?

Стоимость зависит от размера и сложности организации. Для малого бизнеса — от 150 000 рублей, для крупных компаний и банков — от 400 000 рублей. В стоимость входят консалтинг по внедрению, разработка документации и сертификационный аудит.

Как долго действует сертификат ИСО 27001?

Сертификат выдаётся на 3 года. Ежегодно проводятся инспекционные аудиты для подтверждения, что СУИБ функционирует надлежащим образом. По истечении 3 лет — ресертификация.

В чём разница между ИСО 27001:2013 и ИСО 27001:2022?

Версия 2022 года реструктурировала Приложение A: 114 мер сведены в 93 меры в 4 разделах (вместо 14). Добавлены 11 новых мер для современных угроз: безопасность облачных сервисов, разведка угроз (Threat Intelligence), конфигурационное управление, мониторинг физической безопасности. Организации, сертифицированные по версии 2013, обязаны перейти на ИСО 27001:2022 до октября 2025 года.

Можно ли сертифицировать только часть компании?

Да. Область применения СУИБ (scope) определяется организацией самостоятельно. Можно сертифицировать отдельное подразделение, конкретный продукт или конкретный тип данных. Главное — чётко и однозначно обозначить границы в документации.

Какие документы нужны для ИСО 27001?

Обязательная документация включает: политику информационной безопасности, результаты оценки рисков, план обработки рисков, заявление о применимости (SoA), процедуры управления доступом, реагирования на инциденты, внутреннего аудита и анализа со стороны руководства. Объём документов зависит от размера организации.

Как ИСО 27001 помогает с выполнением 152-ФЗ?

Стандарт ИСО 27001 охватывает большинство технических и организационных мер, требуемых 152-ФЗ «О персональных данных». Внедрив СУИБ по ИСО 27001, организация выстраивает процессы защиты персональных данных, управления инцидентами и реагирования на запросы субъектов ПД, что существенно упрощает проверки Роскомнадзора.

Получите бесплатную консультацию по ИСО 27001

Оставьте номер телефона — перезвоним в течение 30 минут и ответим на все вопросы о сертификации

Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности