Сертификация ИСО 27001 (ISO 27001:2022) — система управления информационной безопасностью
Сертификат ИСО 27001 (ISO 27001:2022) — международный стандарт, подтверждающий соответствие системы управления информационной безопасностью (СУИБ) организации международным требованиям. Актуальная версия — ISO/IEC 27001:2022, принятая в октябре 2022 года. Российский аналог — ГОСТ Р ИСО/МЭК 27001-2021.
Стандарт ИСО 27001 применим к организациям любого масштаба и отрасли: от IT-стартапов до государственных структур. Особенно актуален для IT-компаний, банков и финансовых организаций, телекоммуникационных провайдеров, операторов персональных данных, медицинских учреждений и органов государственного управления. В условиях роста числа кибератак и ужесточения регуляторных требований (152-ФЗ, 187-ФЗ о безопасности КИИ, требования Банка России по ГОСТ Р 57580) сертификат ИСО 27001 становится ключевым инструментом управления информационными рисками и конкурентным преимуществом при участии в тендерах.
Что включает сертификация ИСО 27001
Сертификация ИСО 27001 (ISO 27001:2022) — это процесс независимой проверки аккредитованным органом того, что организация разработала, внедрила и поддерживает функционирующую систему управления информационной безопасностью. В рамках СУИБ организация должна обеспечить:
- Определение контекста организации — внутренние и внешние факторы, влияющие на информационную безопасность, требования заинтересованных сторон, область применения СУИБ
- Политика информационной безопасности — стратегические обязательства руководства, цели СУИБ, ответственность за информационную безопасность на всех уровнях
- Реестр информационных активов — идентификация и классификация активов по критичности: данные, ИТ-системы, оборудование, персонал, процессы, внешние сервисы
- Оценка информационных рисков — выявление угроз и уязвимостей, оценка вероятности и последствий реализации рисков для конфиденциальности, целостности и доступности информации
- План обработки рисков — выбор из 93 мер безопасности Приложения А с учётом результатов оценки рисков, определение остаточных рисков
- Заявление о применимости (SoA) — ключевой документ, фиксирующий все 93 меры Приложения А с указанием применимых, исключённых и оснований для исключений
- Внедрение технических и организационных мер — контроль доступа, шифрование, управление уязвимостями, резервное копирование, мониторинг событий ИБ
- Управление инцидентами ИБ — процедуры обнаружения, регистрации, классификации, расследования, устранения и предотвращения инцидентов
- Внутренний аудит и анализ со стороны руководства — регулярная оценка результативности СУИБ, выявление несоответствий и планирование улучшений
Документы для сертификации ИСО 27001
Для прохождения сертификационного аудита по ИСО 27001:2022 организация должна подготовить полный комплект документации СУИБ. Мы разрабатываем все документы под ключ; заказчик предоставляет исходные данные о своей деятельности и ИТ-инфраструктуре:
| Документ | Описание | Кто готовит |
|---|---|---|
| Учредительные документы | Устав, свидетельство о регистрации, ИНН, ОКВЭД, лицензии | Заказчик |
| Политика информационной безопасности | Стратегические цели СУИБ, обязательства руководства, область применения стандарта | Мы |
| Реестр информационных активов | Перечень всех активов с классификацией по критичности, владельцами и категориями | Мы + Заказчик |
| Оценка информационных рисков | Методология оценки, таблица рисков с угрозами, уязвимостями, вероятностями и последствиями | Мы |
| План обработки рисков | Меры по снижению, принятию, передаче или избеганию каждого идентифицированного риска | Мы |
| Заявление о применимости (SoA) | Все 93 меры Приложения А с обоснованием включения или исключения каждой | Мы |
| Процедуры управления инцидентами | Порядок обнаружения, регистрации, расследования и устранения инцидентов ИБ | Мы |
| Программа внутреннего аудита | График, методология, чек-листы проверки требований стандарта и мер Приложения А | Мы |
| Записи о функционировании СУИБ | Протоколы обучений, журналы инцидентов, отчёты аудитов, протоколы анализа руководства | Мы + Заказчик |
Этапы сертификации ИСО 27001: пошаговый процесс
Процесс получения сертификата ИСО 27001 (ISO 27001:2022) состоит из 6 последовательных этапов. Мы сопровождаем организацию на каждом из них, снижая риски отказа в сертификации до минимума:
Шаг 1. GAP-анализ (диагностика текущего состояния ИБ). Эксперт по информационной безопасности проводит обследование ИТ-инфраструктуры и организационных процессов компании. Анализируются существующие политики и процедуры ИБ, технические средства защиты, практики управления доступом, уровень осведомлённости персонала, процессы управления инцидентами. По результатам составляется детальный отчёт о соответствии требованиям стандарта с указанием разрывов и конкретным планом их устранения. Типичная длительность — 5–7 рабочих дней.
Шаг 2. Разработка документации СУИБ. На основе GAP-анализа мы разрабатываем полный комплект документации системы управления информационной безопасностью: политику ИБ, методологию оценки рисков, реестр активов, оценку рисков, план обработки рисков, Заявление о применимости (SoA), все необходимые процедуры, инструкции и формы записей. Документация адаптируется под специфику вашей деятельности и реальную ИТ-инфраструктуру — никаких шаблонных решений. Срок — 3–4 недели.
Шаг 3. Внедрение мер безопасности и обучение персонала. Организуем практическое внедрение выбранных мер безопасности: настройку систем контроля доступа, шифрования данных, мониторинга событий ИБ, управления уязвимостями. Проводим обучение сотрудников правилам информационной безопасности, а руководства — их лидерской роли в СУИБ. Обучаем внутренних аудиторов ИБ из числа ваших специалистов. Срок — 2–3 недели.
Шаг 4. Внутренний аудит СУИБ. Проводим полноценный внутренний аудит системы управления информационной безопасностью по всем применимым требованиям стандарта ИСО 27001 и выбранным мерам Приложения А. Выявляем и устраняем несоответствия до сертификационного аудита. Проводим анализ СУИБ со стороны руководства с оформлением протокола. Это «генеральная репетиция» перед сертификационным аудитом. Срок — 1–2 недели.
Шаг 5. Сертификационный аудит. Аккредитованный орган по сертификации проводит двухэтапный аудит. Первый этап (Stage 1) — как правило, дистанционный анализ документации СУИБ, включая SoA и результаты оценки рисков; аудитор оценивает готовность к Stage 2. Второй этап (Stage 2) — выездной аудит с проверкой практического внедрения мер безопасности на всех охваченных областью применения площадках. Мы присутствуем при аудите и помогаем при взаимодействии с аудиторами. Срок — 3–6 дней.
Шаг 6. Получение сертификата. При успешном прохождении аудита орган выдаёт сертификат ИСО 27001 (ISO 27001:2022) сроком на 3 года. Сертификат вносится в международный реестр сертифицированных организаций. Вы получаете право использовать знак соответствия ИСО 27001 на сайте, в коммерческих материалах, тендерной документации и годовых отчётах.
Сроки сертификации ИСО 27001
| Этап | Срок | Примечание |
|---|---|---|
| GAP-анализ | 5–7 дней | Выездной или дистанционный |
| Разработка документации СУИБ | 3–4 недели | Зависит от сложности ИТ-инфраструктуры |
| Внедрение мер и обучение | 2–3 недели | Включает обучение персонала и внутренних аудиторов |
| Внутренний аудит | 1–2 недели | С анализом со стороны руководства |
| Сертификационный аудит (Stage 1 + Stage 2) | 3–6 дней | Аккредитованный орган |
| Выдача сертификата | 7–14 дней | После устранения замечаний |
| Итого | от 40 дней | При готовности компании — быстрее |
Стоимость сертификации ИСО 27001 в 2026 году
Стоимость получения сертификата ИСО 27001 (ISO 27001:2022) определяется несколькими факторами: численность персонала, количество площадок и ИТ-систем, сложность инфраструктуры, область применения СУИБ и выбор органа по сертификации. Ниже — ориентировочные цены на наши услуги в 2026 году:
| Численность | Наши услуги | Услуги органа | Итого | Срок |
|---|---|---|---|---|
| До 50 чел. | от 60 000 ₽ | от 40 000 ₽ | от 100 000 ₽ | от 40 дней |
| 51–200 чел. | от 90 000 ₽ | от 50 000 ₽ | от 140 000 ₽ | от 55 дней |
| 201–500 чел. | от 140 000 ₽ | от 70 000 ₽ | от 210 000 ₽ | от 75 дней |
| 500+ чел. | по запросу | по запросу | индивидуально | индивидуально |
В стоимость наших услуг входит: GAP-анализ текущего состояния ИБ, разработка полной документации СУИБ (политика, реестр активов, оценка рисков, план обработки рисков, SoA, все процедуры), обучение персонала и внутренних аудиторов ИБ, проведение внутреннего аудита, анализ со стороны руководства, сопровождение сертификационного аудита. Услуги аккредитованного органа по сертификации оплачиваются отдельно.
Кому нужен сертификат ИСО 27001: обязательность и добровольность
Сертификация ИСО 27001 в России является добровольной, однако в ряде отраслей она де-факто обязательна или настоятельно рекомендована регуляторами и крупными заказчиками. Ниже — обзор по секторам:
| Сфера | Обязательность | Основание |
|---|---|---|
| IT-компании, разработчики ПО | Де-факто обязателен | Тендерные требования по 44-ФЗ и 223-ФЗ, международные контракты |
| Банки и финансовые организации | Настоятельно рекомендован | Рекомендации Банка России, ГОСТ Р 57580 |
| Телекоммуникационные компании | Де-факто обязателен | Требования корпоративных заказчиков и регуляторов |
| Операторы персональных данных | Рекомендован | 152-ФЗ, проверки Роскомнадзора |
| Медицинские организации | Рекомендован | 152-ФЗ, защита медицинских данных пациентов |
| Облачные провайдеры | Де-факто обязателен | Требования корпоративных и государственных клиентов |
| Субъекты КИИ | Рекомендован | 187-ФЗ «О безопасности критической информационной инфраструктуры» |
| Государственные организации (ИТ-сфера) | Часто требуется | Ведомственные требования, требования тендеров |
Российский аналог стандарта — ГОСТ Р ИСО/МЭК 27001-2021 — принят в 2021 году и технически совместим с международной редакцией ISO/IEC 27001:2022. Сертификация на соответствие ГОСТ Р ИСО/МЭК 27001-2021 признаётся в системе Росаккредитации и полностью эквивалентна международной сертификации для целей государственных закупок в России.
Срок действия сертификата и инспекционный контроль
Сертификат ИСО 27001 (ISO 27001:2022) выдаётся сроком на 3 года. На протяжении этого периода действует обязательный трёхлетний цикл надзора:
- 1-й надзорный аудит — через 12 месяцев после первоначальной сертификации. Аудитор проверяет: продолжает ли СУИБ функционировать в соответствии с требованиями стандарта, устранены ли ранее выявленные несоответствия, актуальна ли оценка рисков, есть ли свидетельства постоянного улучшения системы. Обычно охватывает 30–50% требований стандарта.
- 2-й надзорный аудит — через 24 месяца. Более глубокая проверка, охватывающая дополнительные элементы СУИБ. Особое внимание — результативности корректирующих действий, управлению инцидентами ИБ и актуальности реестра рисков и SoA.
- Ресертификационный аудит — через 36 месяцев (до истечения сертификата). Полная повторная проверка всех требований стандарта, актуальности Заявления о применимости и плана обработки рисков. При успешном прохождении — новый сертификат ИСО 27001 на 3 года.
Если организация не проходит надзорный аудит в установленный срок или не устраняет выявленные критические несоответствия, действие сертификата ИСО 27001 приостанавливается. При отсутствии корректирующих действий в течение 6 месяцев сертификат аннулируется. Мы сопровождаем клиентов на всех этапах жизненного цикла сертификата, включая подготовку к надзорным аудитам и ресертификации.
Частые ошибки при сертификации ИСО 27001
Сертификация ИСО 27001 технически сложнее большинства других стандартов менеджмента — аудиторы глубоко проверяют не только документацию, но и реальное состояние информационной безопасности. Вот ошибки, которые чаще всего приводят к несоответствиям и затягиванию сертификации:
| Ошибка | Последствие | Как избежать |
|---|---|---|
| Формальная оценка рисков «по шаблону» | Аудитор выявляет несоответствие: риски не отражают реальную ИТ-инфраструктуру | Проводить оценку рисков на основе актуального реестра активов и реальных угроз |
| SoA без обоснования исключений мер | Критическое несоответствие — невозможно обосновать отказ от применимых мер безопасности | Детально документировать основания исключения каждой неприменимой меры Приложения А |
| Отсутствие записей о функционировании СУИБ | Аудитор не видит свидетельств работы системы — несоответствие | Вести журналы инцидентов, протоколы обучений, отчёты внутренних аудитов с первого дня |
| Игнорирование требований к поставщикам | Несоответствие разделу 8.4 и мере А.5.19 — управление ИБ в цепочке поставок | Заключать соглашения о конфиденциальности и ИБ со всеми ключевыми поставщиками и подрядчиками |
| Не проводятся учения по реагированию на инциденты | Несоответствие процедурам управления инцидентами ИБ — аудитор не видит свидетельств тестирования | Регулярно тестировать план реагирования на инциденты, минимум 1 раз в год |
| Выбор неаккредитованного органа | Сертификат не признаётся заказчиками и регуляторами, деньги и время потрачены впустую | Проверять аккредитацию органа в Росаккредитации или IAF (UKAS, DAkkS, ANAB и другие) |