ГОСТ Р ИСО/МЭК 27001-2023
ГОСТ Р ИСО/МЭК 27001-2023 — это национальный стандарт Российской Федерации, идентичный международному стандарту ISO/IEC 27001:2022, устанавливающий требования к созданию, внедрению, поддержанию и постоянному улучшению системы менеджмента информационной безопасности (СМИБ). Стандарт является основным нормативным документом для сертификации организаций в области защиты информации, определяя системный подход к управлению рисками информационной безопасности.
История разработки и принятия
Разработка стандарта была обусловлена необходимостью гармонизации российской нормативной базы с международными требованиями, а также выходом обновлённой версии международного стандарта ISO/IEC 27001:2022. Предыдущая версия, ГОСТ Р ИСО/МЭК 27001-2021, была заменена в связи с изменениями в структуре и содержании международного аналога.
Стандарт разработан Техническим комитетом по стандартизации ТК 362 «Защита информации» и принят Федеральным агентством по техническому регулированию и метрологии (Росстандарт). Дата введения в действие — 1 января 2024 года. Приказом Росстандарта от 27 ноября 2023 года № 1503-ст ГОСТ Р ИСО/МЭК 27001-2023 введён взамен ГОСТ Р ИСО/МЭК 27001-2021.
Структура и содержание
Стандарт состоит из основной части, содержащей требования, и приложений. Основные разделы ГОСТ Р ИСО/МЭК 27001-2023:
- Область применения — определяет, что стандарт применим к любым организациям независимо от их размера, типа и отрасли.
- Нормативные ссылки — указывает на связанные стандарты, в первую очередь ГОСТ Р ИСО/МЭК 27000-2023 (словарь терминов).
- Термины и определения — содержит ключевые понятия, используемые в стандарте.
- Контекст организации — раздел, посвящённый анализу внешних и внутренних факторов, влияющих на СМИБ, а также определению заинтересованных сторон.
- Лидерство — требования к высшему руководству, включая разработку политики информационной безопасности, распределение ответственности и демонстрацию приверженности.
- Планирование — включает действия по оценке и обработке рисков, а также постановку целей в области информационной безопасности.
- Обеспечение — требования к ресурсам, компетентности персонала, осведомлённости, документированной информации и коммуникации.
- Функционирование — планирование, внедрение и управление процессами, необходимыми для достижения целей СМИБ.
- Оценка результатов деятельности — мониторинг, измерение, анализ, внутренние аудиты и анализ со стороны руководства.
- Улучшение — требования к выявлению несоответствий, проведению корректирующих действий и постоянному улучшению СМИБ.
Приложение A
Приложение A (обязательное) содержит перечень из 93 контрольных мер (controls), сгруппированных по 4 тематическим разделам:
- Организационные меры (37 пунктов) — политики, роли, ответственность, управление активами, контроль доступа, управление инцидентами, непрерывность бизнеса и др.
- Кадровые меры (8 пунктов) — проверка персонала, осведомлённость, дисциплинарные процедуры, работа с удалёнными сотрудниками.
- Физические меры (14 пунктов) — защита помещений, оборудования, кабелей, контроль входа и выхода.
- Технологические меры (34 пункта) — управление доступом к системам, криптография, защита от вредоносного ПО, резервное копирование, управление уязвимостями, мониторинг событий безопасности.
Ключевые изменения по сравнению с предыдущей версией
ГОСТ Р ИСО/МЭК 27001-2023 содержит ряд существенных отличий от версии 2021 года:
- Изменение структуры — вместо 14 разделов приложения A использована группировка по 4 тематическим областям (организационные, кадровые, физические, технологические меры).
- Сокращение количества контрольных мер — с 114 до 93, при этом многие меры были объединены или переформулированы.
- Введение новых мер — например, «Управление информационной безопасностью при использовании облачных сервисов», «Управление угрозами, связанными с информационной безопасностью в цепочке поставок», «Управление конфигурациями».
- Усиление требований к анализу контекста — более детальное описание процесса определения внешних и внутренних факторов.
- Уточнение терминологии — замена термина «документированная информация» на более широкое понятие «документированная информация», а также введение новых определений.
- Акцент на постоянное улучшение — более чёткие требования к мониторингу, анализу и корректирующим действиям.
Применение и сертификация
Стандарт используется как основа для построения системы менеджмента информационной безопасности в организациях различных отраслей: государственные учреждения, финансовый сектор, промышленность, телекоммуникации, здравоохранение, образование. Сертификация на соответствие ГОСТ Р ИСО/МЭК 27001-2023 проводится аккредитованными органами по сертификации систем менеджмента.
Процесс сертификации включает:
- Предварительный аудит (анализ документации).
- Основной аудит (проверка внедрения и функционирования СМИБ на местах).
- Выдача сертификата сроком на 3 года с ежегодными инспекционными контролями.
Сертификация подтверждает, что организация внедрила и поддерживает эффективную систему управления рисками информационной безопасности, соответствующую международным и национальным требованиям.
Взаимосвязь с другими стандартами
ГОСТ Р ИСО/МЭК 27001-2023 входит в семейство стандартов серии ГОСТ Р ИСО/МЭК 27000, которое включает:
- ГОСТ Р ИСО/МЭК 27000-2023 — словарь терминов и общие положения.
- ГОСТ Р ИСО/МЭК 27002-2023 — практические правила управления информационной безопасностью (содержит подробные рекомендации по реализации контрольных мер).
- ГОСТ Р ИСО/МЭК 27005-2023 — руководство по управлению рисками информационной безопасности.
- ГОСТ Р ИСО/МЭК 27007-2023 — руководство по аудиту СМИБ.
Кроме того, стандарт может применяться совместно с другими системами менеджмента, например, ГОСТ Р ИСО 9001-2015 (менеджмент качества) и ГОСТ Р ИСО 22301-2023 (менеджмент непрерывности бизнеса).
Критика и ограничения
Несмотря на широкое признание, стандарт подвергается критике по нескольким направлениям:
- Сложность внедрения — для малых и средних предприятий полное соответствие требованиям может быть ресурсоёмким и избыточным.
- Формальный подход — некоторые организации проходят сертификацию, не внедряя реальных изменений в процессы управления безопасностью.
- Отсутствие конкретных технических требований — стандарт определяет «что», но не «как», что может приводить к неоднозначной интерпретации.
- Необходимость постоянного обновления — угрозы информационной безопасности быстро меняются, и стандарт требует периодического пересмотра контрольных мер.
Интересные факты
- Первая версия международного стандарта ISO/IEC 27001 была опубликована в 2005 году. Российский аналог (ГОСТ Р ИСО/МЭК 27001-2006) был принят в 2006 году.
- Стандарт является одним из наиболее широко используемых в мире для сертификации систем менеджмента — по данным ISO Survey, количество сертифицированных организаций превышает 40 000 по всему миру.
- В России сертификация на соответствие ГОСТ Р ИСО/МЭК 27001-2023 может учитываться при прохождении государственных проверок в области защиты информации, в том числе в рамках требований Федерального закона № 152-ФЗ «О персональных данных».
Источники
- ГОСТ Р ИСО/МЭК 27001-2023 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». — М.: Стандартинформ, 2023.
- Приказ Росстандарта от 27 ноября 2023 года № 1503-ст «О введении в действие межгосударственного стандарта».
- ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection — Information security management systems — Requirements».
- ISO Survey of Management System Standard Certifications, 2022.
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →