Открыть сервис

ГОСТ Р ИСО/МЭК 27001-2023

ГОСТ Р ИСО/МЭК 27001-2023 — это национальный стандарт Российской Федерации, идентичный международному стандарту ISO/IEC 27001:2022, устанавливающий требования к созданию, внедрению, поддержанию и постоянному улучшению системы менеджмента информационной безопасности (СМИБ). Стандарт является основным нормативным документом для сертификации организаций в области защиты информации, определяя системный подход к управлению рисками информационной безопасности.

История разработки и принятия

Разработка стандарта была обусловлена необходимостью гармонизации российской нормативной базы с международными требованиями, а также выходом обновлённой версии международного стандарта ISO/IEC 27001:2022. Предыдущая версия, ГОСТ Р ИСО/МЭК 27001-2021, была заменена в связи с изменениями в структуре и содержании международного аналога.

Стандарт разработан Техническим комитетом по стандартизации ТК 362 «Защита информации» и принят Федеральным агентством по техническому регулированию и метрологии (Росстандарт). Дата введения в действие — 1 января 2024 года. Приказом Росстандарта от 27 ноября 2023 года № 1503-ст ГОСТ Р ИСО/МЭК 27001-2023 введён взамен ГОСТ Р ИСО/МЭК 27001-2021.

Структура и содержание

Стандарт состоит из основной части, содержащей требования, и приложений. Основные разделы ГОСТ Р ИСО/МЭК 27001-2023:

  • Область применения — определяет, что стандарт применим к любым организациям независимо от их размера, типа и отрасли.
  • Нормативные ссылки — указывает на связанные стандарты, в первую очередь ГОСТ Р ИСО/МЭК 27000-2023 (словарь терминов).
  • Термины и определения — содержит ключевые понятия, используемые в стандарте.
  • Контекст организации — раздел, посвящённый анализу внешних и внутренних факторов, влияющих на СМИБ, а также определению заинтересованных сторон.
  • Лидерство — требования к высшему руководству, включая разработку политики информационной безопасности, распределение ответственности и демонстрацию приверженности.
  • Планирование — включает действия по оценке и обработке рисков, а также постановку целей в области информационной безопасности.
  • Обеспечение — требования к ресурсам, компетентности персонала, осведомлённости, документированной информации и коммуникации.
  • Функционирование — планирование, внедрение и управление процессами, необходимыми для достижения целей СМИБ.
  • Оценка результатов деятельностимониторинг, измерение, анализ, внутренние аудиты и анализ со стороны руководства.
  • Улучшение — требования к выявлению несоответствий, проведению корректирующих действий и постоянному улучшению СМИБ.

Приложение A

Приложение A (обязательное) содержит перечень из 93 контрольных мер (controls), сгруппированных по 4 тематическим разделам:

  1. Организационные меры (37 пунктов) — политики, роли, ответственность, управление активами, контроль доступа, управление инцидентами, непрерывность бизнеса и др.
  2. Кадровые меры (8 пунктов) — проверка персонала, осведомлённость, дисциплинарные процедуры, работа с удалёнными сотрудниками.
  3. Физические меры (14 пунктов) — защита помещений, оборудования, кабелей, контроль входа и выхода.
  4. Технологические меры (34 пункта) — управление доступом к системам, криптография, защита от вредоносного ПО, резервное копирование, управление уязвимостями, мониторинг событий безопасности.

Ключевые изменения по сравнению с предыдущей версией

ГОСТ Р ИСО/МЭК 27001-2023 содержит ряд существенных отличий от версии 2021 года:

  • Изменение структуры — вместо 14 разделов приложения A использована группировка по 4 тематическим областям (организационные, кадровые, физические, технологические меры).
  • Сокращение количества контрольных мер — с 114 до 93, при этом многие меры были объединены или переформулированы.
  • Введение новых мер — например, «Управление информационной безопасностью при использовании облачных сервисов», «Управление угрозами, связанными с информационной безопасностью в цепочке поставок», «Управление конфигурациями».
  • Усиление требований к анализу контекста — более детальное описание процесса определения внешних и внутренних факторов.
  • Уточнение терминологии — замена термина «документированная информация» на более широкое понятие «документированная информация», а также введение новых определений.
  • Акцент на постоянное улучшение — более чёткие требования к мониторингу, анализу и корректирующим действиям.

Применение и сертификация

Стандарт используется как основа для построения системы менеджмента информационной безопасности в организациях различных отраслей: государственные учреждения, финансовый сектор, промышленность, телекоммуникации, здравоохранение, образование. Сертификация на соответствие ГОСТ Р ИСО/МЭК 27001-2023 проводится аккредитованными органами по сертификации систем менеджмента.

Процесс сертификации включает:

  • Предварительный аудит (анализ документации).
  • Основной аудит (проверка внедрения и функционирования СМИБ на местах).
  • Выдача сертификата сроком на 3 года с ежегодными инспекционными контролями.

Сертификация подтверждает, что организация внедрила и поддерживает эффективную систему управления рисками информационной безопасности, соответствующую международным и национальным требованиям.

Взаимосвязь с другими стандартами

ГОСТ Р ИСО/МЭК 27001-2023 входит в семейство стандартов серии ГОСТ Р ИСО/МЭК 27000, которое включает:

  • ГОСТ Р ИСО/МЭК 27000-2023 — словарь терминов и общие положения.
  • ГОСТ Р ИСО/МЭК 27002-2023 — практические правила управления информационной безопасностью (содержит подробные рекомендации по реализации контрольных мер).
  • ГОСТ Р ИСО/МЭК 27005-2023 — руководство по управлению рисками информационной безопасности.
  • ГОСТ Р ИСО/МЭК 27007-2023 — руководство по аудиту СМИБ.

Кроме того, стандарт может применяться совместно с другими системами менеджмента, например, ГОСТ Р ИСО 9001-2015 (менеджмент качества) и ГОСТ Р ИСО 22301-2023 (менеджмент непрерывности бизнеса).

Критика и ограничения

Несмотря на широкое признание, стандарт подвергается критике по нескольким направлениям:

  • Сложность внедрения — для малых и средних предприятий полное соответствие требованиям может быть ресурсоёмким и избыточным.
  • Формальный подход — некоторые организации проходят сертификацию, не внедряя реальных изменений в процессы управления безопасностью.
  • Отсутствие конкретных технических требований — стандарт определяет «что», но не «как», что может приводить к неоднозначной интерпретации.
  • Необходимость постоянного обновления — угрозы информационной безопасности быстро меняются, и стандарт требует периодического пересмотра контрольных мер.

Интересные факты

  • Первая версия международного стандарта ISO/IEC 27001 была опубликована в 2005 году. Российский аналог (ГОСТ Р ИСО/МЭК 27001-2006) был принят в 2006 году.
  • Стандарт является одним из наиболее широко используемых в мире для сертификации систем менеджмента — по данным ISO Survey, количество сертифицированных организаций превышает 40 000 по всему миру.
  • В России сертификация на соответствие ГОСТ Р ИСО/МЭК 27001-2023 может учитываться при прохождении государственных проверок в области защиты информации, в том числе в рамках требований Федерального закона № 152-ФЗ «О персональных данных».

Источники

  • ГОСТ Р ИСО/МЭК 27001-2023 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». — М.: Стандартинформ, 2023.
  • Приказ Росстандарта от 27 ноября 2023 года № 1503-ст «О введении в действие межгосударственного стандарта».
  • ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection — Information security management systems — Requirements».
  • ISO Survey of Management System Standard Certifications, 2022.
  • Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →