Информационная безопасность, кибербезопасность и защита конфиденциальности — Системы менеджмента информационной безопасности — Требования
ИСО 27001 (ISO 27001:2022) — Система управления информационной безопасностью
Стандарт ИСО 27001 (ISO 27001) — это международный документ, устанавливающий требования к системе управления информационной безопасностью (СУИБ) организации. Разработан Международной организацией по стандартизации (ISO) совместно с Международной электротехнической комиссией (IEC), поэтому полное название — ISO/IEC 27001.
Актуальная версия — ИСО 27001:2022 — была принята в октябре 2022 года и заменила редакцию 2013 года. В России стандарт введён как ГОСТ Р ИСО/МЭК 27001-2021. Главная цель стандарта — защита трёх ключевых свойств информации:
- Конфиденциальность — информация доступна только тем, кто имеет на это право
- Целостность — информация не изменяется несанкционированно
- Доступность — информация доступна уполномоченным пользователям когда необходимо
Сертификат ИСО 27001 подтверждает, что организация построила, внедрила и поддерживает СУИБ, способную защитить информационные активы от утечек, кибератак и несанкционированного доступа.
ИСО 27001 — ведущий международный стандарт информационной безопасности. Более 70 000 сертифицированных организаций в 150 странах. Обязателен для IT-компаний, банков и всех, кто работает с конфиденциальными данными.
История стандарта ИСО 27001
История стандарта ИСО 27001 восходит к 1995 году, когда в Великобритании был опубликован BS 7799 — первый стандарт информационной безопасности для коммерческих организаций. Именно на его основе был создан ISO 27001.
| Версия | Год | Ключевые изменения |
|---|---|---|
| BS 7799-2:1999 | 1999 | Британский стандарт, прообраз ISO 27001. Первая система управления ИБ |
| ISO/IEC 27001:2005 | 2005 | Первая международная версия. Модель PDCA (Plan-Do-Check-Act) |
| ISO/IEC 27001:2013 | 2013 | Переход на High Level Structure, риск-ориентированный подход, 114 мер управления в Приложении A |
| ISO/IEC 27001:2022 | 2022 | Актуальная версия. Реструктурированное Приложение A: 93 меры в 4 разделах, новые меры для облака и DevSecOps |
Ключевое отличие версии 2022 года — Приложение A теперь содержит 93 меры управления (вместо 114) в 4 разделах: организационные, персонал, физические и технологические меры. Добавлены 11 новых мер для современных угроз: облачные сервисы, разведка угроз, информационная безопасность при разработке ПО (DevSecOps).
Кому нужен сертификат ИСО 27001
Стандарт ИСО 27001 особенно актуален для организаций, которые обрабатывают конфиденциальную информацию или чья деятельность зависит от информационных систем. В ряде случаев сертификат является обязательным требованием:
- IT-компании и разработчики ПО — требование крупных заказчиков (Сбербанк, ВТБ, Газпром нефть) при заключении контрактов на разработку
- Финтех и банки — Банк России рекомендует ИСО 27001 для кредитных организаций; фактически обязателен для работы с ЦБ
- Облачные провайдеры — подтверждение надёжности при хранении данных клиентов
- Операторы персональных данных — соответствие 152-ФЗ «О персональных данных» и GDPR для работы с европейскими клиентами
- Телекоммуникационные компании — регуляторные требования ФСБ и ФСТЭК в части защиты информации
- Государственные контракты — ряд федеральных тендеров в сфере ИТ требует сертификат ИСО 27001
- Медицинские информационные системы — защита медицинских данных пациентов
- Аутсорсинговые компании — SaaS, BPO, дата-центры, которые обрабатывают данные клиентов
Даже когда сертификат не обязателен, внедрение ИСО 27001 снижает риски инцидентов информационной безопасности и повышает доверие клиентов и партнёров.
Структура стандарта ИСО 27001:2022
Стандарт ИСО 27001:2022 использует унифицированную структуру High Level Structure (HLS), общую для всех современных стандартов ISO. Это упрощает интеграцию с ИСО 9001, ИСО 14001, ИСО 45001.
| Раздел | Название | Суть требований |
|---|---|---|
| 4 | Контекст организации | Анализ внешней и внутренней среды, потребности заинтересованных сторон, область применения СУИБ |
| 5 | Лидерство | Обязательства руководства, политика информационной безопасности, роли и ответственности |
| 6 | Планирование | Оценка и обработка рисков ИБ, цели в области ИБ, планирование изменений |
| 7 | Поддержка | Ресурсы, компетентность персонала, осведомлённость, коммуникации, документированная информация |
| 8 | Деятельность | Оценка рисков, применение мер управления (Приложение A), управление изменениями |
| 9 | Оценка результатов | Мониторинг, внутренние аудиты, анализ со стороны руководства |
| 10 | Улучшение | Несоответствия, корректирующие действия, постоянное улучшение СУИБ |
Приложение A стандарта содержит 93 меры управления в 4 разделах: организационные (37 мер), персонал (8 мер), физические (14 мер) и технологические (34 меры). Организация выбирает применимые меры на основе результатов оценки рисков.
Этапы сертификации ИСО 27001
Процесс получения сертификата ИСО 27001 включает внедрение СУИБ и прохождение внешнего аудита. Весь цикл занимает от 3 до 9 месяцев в зависимости от размера организации и текущего уровня зрелости в области ИБ.
Оценка существующих мер защиты информации по сравнению с требованиями ИСО 27001. Определение объёма работ и приоритетов.
Описание границ системы: какие информационные активы, процессы, подразделения и площадки включены в СУИБ.
Идентификация активов, угроз и уязвимостей. Оценка рисков и определение мер их обработки. Разработка Плана обработки рисков (PoA).
Создание обязательной документации СУИБ: политика ИБ, процедуры управления доступом, реагирования на инциденты, управления активами и другие.
Реализация технических и организационных мер из Приложения A: настройка систем контроля доступа, шифрования, мониторинга инцидентов, обучение персонала.
Проверка функционирования СУИБ собственными силами или приглашённым аудитором. Устранение выявленных несоответствий.
Органы по сертификации проводят документарный аудит: проверка документации СУИБ на соответствие требованиям ИСО 27001:2022.
Аудит на месте: проверка реального функционирования СУИБ. При успешном прохождении — выдача сертификата ИСО 27001 сроком на 3 года.
Стоимость и сроки сертификации ИСО 27001
Стоимость сертификации ИСО 27001 зависит от размера организации, сложности информационной инфраструктуры и необходимости консультационной поддержки.
| Тип организации | Стоимость | Сроки |
|---|---|---|
| Малый бизнес (до 50 чел.) | от 150 000 ₽ | 3–5 месяцев |
| Средний бизнес (50–500 чел.) | 250 000 – 500 000 ₽ | 4–7 месяцев |
| Крупная организация (от 500 чел.) | от 500 000 ₽ | 6–12 месяцев |
| Финансовые организации и банки | от 400 000 ₽ | 6–9 месяцев |
В стоимость сертификации входят: консультации по внедрению СУИБ, разработка документации, проведение внутреннего аудита и оплата услуг органа по сертификации. Ежегодные инспекционные аудиты стоят 30–50% от первоначальной стоимости.
Для получения точной стоимости под вашу организацию — оставьте заявку на консультацию.
Преимущества сертификации ИСО 27001
Получение сертификата ИСО 27001 даёт организации конкурентные преимущества и снижает операционные риски:
- Выигрыш тендеров и госзакупок — доступ к контрактам, требующим подтверждённой безопасности информации
- Доверие клиентов и партнёров — независимое подтверждение того, что данные клиентов защищены
- Соответствие 152-ФЗ — ИСО 27001 помогает выстроить систему защиты персональных данных
- Снижение страховых премий — многие страховщики снижают тариф на киберстрахование при наличии ИСО 27001
- Минимизация ущерба от инцидентов — выстроенные процессы реагирования сокращают время восстановления и финансовые потери
- Выход на международные рынки — ИСО 27001 признаётся клиентами в ЕС, США, Азии как мировой стандарт ИБ
- Внутренняя дисциплина ИБ — сотрудники понимают правила работы с информацией, снижается человеческий фактор риска
ИСО 27001 и российские регуляторы: ФСТЭК, ФСБ и закон о КИИ
В России информационная безопасность регулируется не только добровольными стандартами, но и жёсткими требованиями государственных регуляторов. Понимание того, как ИСО 27001 (ISO 27001) соотносится с национальным регулированием, — ключ к тому, чтобы СУИБ работала и на международного клиента, и на российского регулятора.
| Регулятор / закон | Сфера | Связь с ИСО 27001 |
|---|---|---|
| ФСТЭК России (Приказы №17, №21, №239) | Защита ГИС, ИСПДн, значимых объектов КИИ | Меры защиты ФСТЭК пересекаются с Приложением A; СУИБ систематизирует их выполнение |
| ФСБ России | Криптографическая защита (СКЗИ), ГосСОПКА | ИСО 27001 не заменяет сертифицированные СКЗИ, но описывает управление криптографией (мера 8.24) |
| 187-ФЗ о безопасности КИИ | Критическая информационная инфраструктура | Категорирование объектов КИИ и реагирование на инциденты дополняются процессами СУИБ |
| 152-ФЗ о персональных данных | Обработка ПДн | Меры ИСО 27001 покрывают большинство организационно-технических требований |
Закон №187-ФЗ обязывает субъекты критической информационной инфраструктуры провести категорирование объектов, обеспечить их защиту по требованиям ФСТЭК и подключиться к государственной системе ГосСОПКА для обмена данными об инцидентах. Внедрённая по ИСО 27001 система управления инцидентами (раздел 10 и меры группы 5.24–5.28) формирует основу для выполнения этих обязанностей. Важно: ИСО 27001 — добровольный стандарт и не отменяет обязательных требований регуляторов, но позволяет выстроить их в единую управляемую систему.
Заявление о применимости (SoA) и 11 новых мер версии 2022
Центральный документ СУИБ, который аудитор проверяет в первую очередь, — Заявление о применимости (Statement of Applicability, SoA). В нём организация перечисляет все 93 меры Приложения A, указывает, какие из них применимы, обосновывает исключения и описывает статус внедрения каждой меры. SoA связывает результаты оценки рисков с конкретными мерами защиты.
Приложение A версии 2022 года реорганизовано в 4 тематические группы:
| Группа мер | Кол-во | Примеры |
|---|---|---|
| Организационные (5) | 37 | Политики ИБ, управление поставщиками, разведка угроз |
| Меры по персоналу (6) | 8 | Проверка при найме, обучение, дисциплинарный процесс |
| Физические (7) | 14 | Контроль доступа в помещения, защита оборудования |
| Технологические (8) | 34 | Управление доступом, криптография, защита сетей, безопасная разработка |
В редакцию 2022 года добавлены 11 новых мер, отражающих современные угрозы: разведка угроз (Threat Intelligence), информационная безопасность при использовании облачных сервисов, готовность ИКТ к обеспечению непрерывности бизнеса, мониторинг физической безопасности, управление конфигурациями, удаление информации, маскирование данных, предотвращение утечки данных (DLP), мониторинг активности, веб-фильтрация и безопасное кодирование. Организации, сертифицированные по версии 2013 года, должны были завершить переход на ИСО 27001:2022 до 31 октября 2025 года — сейчас актуальна только редакция 2022.
Семейство стандартов ISO/IEC 27000
ИСО 27001 — сертифицируемое ядро целого семейства стандартов информационной безопасности. Сам сертификат выдаётся только по ИСО 27001, но при построении СУИБ организация опирается на сопутствующие стандарты-руководства:
| Стандарт | Назначение | Сертифицируется? |
|---|---|---|
| ISO/IEC 27001 | Требования к СУИБ | Да — основной сертификат |
| ISO/IEC 27002 | Руководство по реализации мер Приложения A | Нет — методический документ |
| ISO/IEC 27005 | Управление рисками информационной безопасности | Нет — методология рисков |
| ISO/IEC 27017 | Меры ИБ для облачных сервисов | Как расширение 27001 |
| ISO/IEC 27018 | Защита персональных данных в облаке | Как расширение 27001 |
| ISO/IEC 27701 | Система управления приватностью (PIMS) | Да — расширение к 27001 |
Для организаций, активно работающих с персональными данными, особый интерес представляет ISO/IEC 27701 — он надстраивается над действующей СУИБ и позволяет сертифицировать систему управления конфиденциальностью, что усиливает соответствие 152-ФЗ и GDPR. Облачные провайдеры обычно дополняют ИСО 27001 стандартами 27017 и 27018.
Частые вопросы об ИСО 27001
ИСО 27001 — международный стандарт, признаваемый во всём мире. Требования ФСТЭК (защита государственных информационных систем) и ФСБ (криптографическая защита) — российские регуляторные требования, которые обязательны для конкретных типов систем. ИСО 27001 и требования регуляторов не противоречат, а дополняют друг друга: СУИБ по ИСО 27001 создаёт основу для соответствия и российскому законодательству.
Сертификат ИСО 27001 необходим IT-компаниям, банкам, страховым организациям, облачным провайдерам, операторам персональных данных и любым организациям, конкурентным преимуществом которых является защита информации клиентов. Для участия в ряде федеральных тендеров — обязателен.
Стоимость зависит от размера и сложности организации. Для малого бизнеса — от 150 000 рублей, для крупных компаний и банков — от 400 000 рублей. В стоимость входят консалтинг по внедрению, разработка документации и сертификационный аудит.
Сертификат выдаётся на 3 года. Ежегодно проводятся инспекционные аудиты для подтверждения, что СУИБ функционирует надлежащим образом. По истечении 3 лет — ресертификация.
Версия 2022 года реструктурировала Приложение A: 114 мер сведены в 93 меры в 4 разделах (вместо 14). Добавлены 11 новых мер для современных угроз: безопасность облачных сервисов, разведка угроз (Threat Intelligence), конфигурационное управление, мониторинг физической безопасности. Организации, сертифицированные по версии 2013, обязаны перейти на ИСО 27001:2022 до октября 2025 года.
Да. Область применения СУИБ (scope) определяется организацией самостоятельно. Можно сертифицировать отдельное подразделение, конкретный продукт или конкретный тип данных. Главное — чётко и однозначно обозначить границы в документации.
Обязательная документация включает: политику информационной безопасности, результаты оценки рисков, план обработки рисков, заявление о применимости (SoA), процедуры управления доступом, реагирования на инциденты, внутреннего аудита и анализа со стороны руководства. Объём документов зависит от размера организации.
Стандарт ИСО 27001 охватывает большинство технических и организационных мер, требуемых 152-ФЗ «О персональных данных». Внедрив СУИБ по ИСО 27001, организация выстраивает процессы защиты персональных данных, управления инцидентами и реагирования на запросы субъектов ПД, что существенно упрощает проверки Роскомнадзора.
SoA (Statement of Applicability) — ключевой документ СУИБ, в котором перечислены все 93 меры Приложения A с указанием их применимости, обоснованием исключений и статусом внедрения. Именно SoA связывает результаты оценки рисков с конкретными мерами защиты, и аудитор проверяет его в первую очередь на Стадии 1.
ИСО 27001 — добровольный международный стандарт и не заменяет обязательные требования ФСТЭК, ФСБ и 187-ФЗ. Однако меры защиты ФСТЭК пересекаются с Приложением A, а процессы управления инцидентами по СУИБ формируют основу для категорирования объектов КИИ и взаимодействия с ГосСОПКА. Единая система позволяет выполнять и международные, и российские требования без дублирования.
Получите бесплатную консультацию по ИСО 27001
Оставьте номер телефона — перезвоним в течение 30 минут и ответим на все вопросы о сертификации
Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности