Открыть сервис

ГОСТ Р ИСО/МЭК 27001-2021

ГОСТ Р ИСО/МЭК 27001-2021 — это национальный стандарт Российской Федерации, идентичный международному стандарту ISO/IEC 27001:2013 (с изм. 1:2021), устанавливающий требования к системе менеджмента информационной безопасности (СМИБ). Стандарт входит в семейство стандартов ИСО/МЭК 27000, посвящённых управлению информационной безопасностью, и является основным документом для сертификации организаций на соответствие требованиям в области защиты информации.

История и контекст принятия

Разработка и внедрение стандарта в России связаны с общей тенденцией гармонизации национальных нормативных документов с международными практиками. Предшественником ГОСТ Р ИСО/МЭК 27001-2021 является ГОСТ Р ИСО/МЭК 27001-2006, который был введён в действие ранее. В 2021 году, с учётом изменений в международном стандарте (Amendment 1:2021), был принят актуализированный национальный стандарт. Он заменил собой предыдущую версию, приведя требования в соответствие с современными угрозами и подходами к управлению рисками, включая аспекты, связанные с облачными вычислениями, кибербезопасностью и защитой персональных данных.

Стандарт введён в действие Приказом Федерального агентства по техническому регулированию и метрологии (Росстандарт) и имеет статус добровольного к применению, если иное не установлено законодательством РФ. Однако сертификация по данному стандарту часто является обязательным требованием для участия в государственных закупках, получения лицензий на определённые виды деятельности (например, в области защиты государственной тайны) или для работы с конфиденциальной информацией.

Структура и основные разделы

ГОСТ Р ИСО/МЭК 27001-2021 имеет чёткую структуру, включающую в себя как обязательные требования, так и рекомендации. Основные разделы стандарта:

1. Область применения и нормативные ссылки

Определяет, что стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной СМИБ в контексте общих деловых рисков организации. Также указано, что требования являются общими и предназначены для применения в любых организациях независимо от их типа, размера и характера деятельности.

2. Термины и определения

Приводит ключевые понятия, используемые в стандарте: «информационная безопасность», «риск информационной безопасности», «владелец риска», «контекст организации», «заинтересованная сторона» и другие. Стандарт ссылается на терминологию из ГОСТ Р ИСО/МЭК 27000.

3. Контекст организации

Требует от организации определить внешние и внутренние факторы, влияющие на её способность достигать запланированных результатов СМИБ. Сюда входит анализ заинтересованных сторон, их требований и ожиданий, а также определение области применения СМИБ (scope).

4. Лидерство

Устанавливает ответственность высшего руководства за СМИБ. Руководство должно демонстрировать лидерство и приверженность, разработать политику информационной безопасности, распределить обязанности и полномочия, а также обеспечить интеграцию СМИБ в бизнес-процессы организации.

5. Планирование

Ключевой раздел, связанный с управлением рисками. Организация должна:

6. Обеспечение

Включает требования к ресурсам (человеческим, финансовым, техническим), компетентности персонала, осведомлённости, документированной информации (управление документами и записями).

7. Функционирование

Описывает процессы, необходимые для реализации СМИБ: оперативное планирование, управление изменениями, выполнение планов обработки рисков, а также аутсорсинг и управление поставщиками.

8. Оценка результатов деятельности

Требует от организации проводить мониторинг, измерения, анализ и оценку СМИБ. Включает внутренние аудиты (проверки) и анализ со стороны руководства (management review).

9. Улучшение

Определяет процедуры для устранения несоответствий, проведения корректирующих действий и постоянного улучшения СМИБ.

Приложение A (обязательное)

Содержит перечень целей управления (control objectives) и мер управления (controls). В версии 2021 года приложение A включает 93 меры управления, сгруппированные в 4 раздела:

Применение в России

В Российской Федерации стандарт используется в нескольких ключевых контекстах:

Сертификация и аккредитация

Организации могут пройти добровольную сертификацию СМИБ на соответствие ГОСТ Р ИСО/МЭК 27001-2021. Сертификацию проводят аккредитованные органы по сертификации (например, в системе добровольной сертификации «Росаккредитация» или «Ростест»). Наличие сертификата является подтверждением того, что в организации внедрены процессы управления информационной безопасностью, соответствующие международным требованиям.

Государственные и корпоративные требования

Многие государственные учреждения, организации оборонно-промышленного комплекса, банки и операторы связи включают требование о наличии сертификата по ГОСТ Р ИСО/МЭК 27001-2021 в свои тендерные документы. Это связано с необходимостью обеспечения защиты государственной тайны, персональных данных (ФЗ-152) и критической информационной инфраструктуры (ФЗ-187). Также стандарт часто используется как основа для построения собственных систем управления безопасностью в крупных корпорациях.

Интеграция с другими стандартами

ГОСТ Р ИСО/МЭК 27001-2021 может применяться совместно с другими российскими и международными стандартами, например:

Критика и ограничения

Несмотря на широкое распространение, стандарт подвергается критике по нескольким направлениям:

Интересные факты

Источники

  1. ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». — М.: Стандартинформ, 2021.
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  3. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  4. Рекомендации по стандартизации Р 50.1.056-2005 «Системы менеджмента информационной безопасности. Общее руководство по внедрению».
  5. Отчёт BSI (British Standards Institution) «ISO/IEC 27001:2013 — A practical guide for SMEs», 2019.
  6. Материалы Федерального агентства по техническому регулированию и метрологии (Росстандарт) о введении в действие ГОСТ Р ИСО/МЭК 27001-2021.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →