ISO 27001
ISO 27001 — это международный стандарт, содержащий требования к системе менеджмента информационной безопасности (СМИБ). Он разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) и входит в семейство стандартов серии ISO/IEC 27000. Стандарт устанавливает требования к созданию, внедрению, поддержанию и постоянному улучшению СМИБ в контексте общих бизнес-рисков организации. Сертификация по ISO 27001 является одним из наиболее распространённых способов демонстрации соответствия организации требованиям в области защиты информации.
История
Разработка стандарта началась в конце 1990-х годов на основе британского национального стандарта BS 7799, который был опубликован Британским институтом стандартов (BSI) в 1995 году. Первая часть BS 7799 (BS 7799-1) содержала практические рекомендации по управлению информационной безопасностью, а вторая часть (BS 7799-2) — требования к системе менеджмента.
В 2000 году ISO приняла BS 7799-1 как международный стандарт ISO/IEC 17799. В 2005 году на основе BS 7799-2 был разработан и опубликован ISO/IEC 27001:2005, который стал первым стандартом серии 27000. В 2013 году была выпущена вторая редакция — ISO/IEC 27001:2013, которая ввела более гибкий подход к управлению рисками и упростила структуру стандарта. Текущая версия, ISO/IEC 27001:2022, была опубликована в октябре 2022 года. Она включает обновлённый перечень мер контроля и изменённую структуру, соответствующую новой версии сопутствующего стандарта ISO/IEC 27002:2022.
В России стандарт ISO/IEC 27001 был принят как национальный стандарт ГОСТ Р ИСО/МЭК 27001-2021 (с датой введения 1 января 2022 года), который является аутентичным переводом версии 2013 года. Версия 2022 года на момент написания статьи (2025 год) находится в процессе пересмотра и адаптации в качестве национального стандарта.
Структура и основные требования
Стандарт ISO 27001 построен на основе процессного подхода и цикла PDCA (Plan-Do-Check-Act — планируй-делай-проверяй-действуй). Он содержит требования к системе менеджмента, а не к конкретным техническим решениям.
Разделы стандарта (версия 2022 года)
Стандарт состоит из 10 основных разделов (клаузул), описывающих требования к СМИБ:
- Область применения — определяет границы и применимость стандарта.
- Нормативные ссылки — перечень связанных стандартов.
- Термины и определения — пояснение ключевых понятий.
- Контекст организации — требования к пониманию внешних и внутренних факторов, влияющих на СМИБ, а также к определению заинтересованных сторон и их требований.
- Лидерство — требования к высшему руководству: демонстрация лидерства, разработка политики информационной безопасности, распределение ответственности.
- Планирование — требования к управлению рисками (идентификация, анализ, оценка и обработка рисков), а также к постановке целей в области информационной безопасности.
- Обеспечение — требования к ресурсам, компетентности персонала, осведомлённости, документированной информации.
- Функционирование — требования к планированию, выполнению и управлению процессами, необходимыми для реализации СМИБ.
- Оценка результатов деятельности — требования к мониторингу, измерению, анализу, внутренним аудитам и анализу со стороны руководства.
- Улучшение — требования к управлению несоответствиями, корректирующим действиям и постоянному улучшению СМИБ.
Приложение A (Annex A)
Приложение A является справочным и содержит перечень мер контроля (controls) и целей контроля. В версии 2022 года их количество сокращено с 114 (в версии 2013) до 93, сгруппированных в 4 тематических раздела:
- Организационные меры (37 контролей) — политика, роли и ответственность, управление активами, управление поставщиками, управление инцидентами и др.
- Кадровые меры (8 контролей) — проверка персонала, осведомлённость и обучение, дисциплинарные меры.
- Физические меры (14 контролей) — физическая безопасность периметра, контроль доступа, защита оборудования.
- Технологические меры (34 контроля) — управление доступом, криптография, безопасность сетей, защита от вредоносного ПО, резервное копирование, управление уязвимостями.
Организация не обязана применять все меры из Приложения A. Она должна выбирать и внедрять только те, которые необходимы для обработки идентифицированных рисков, обосновывая свой выбор.
Процесс сертификации
Сертификация по ISO 27001 проводится независимыми аккредитованными органами по сертификации. Процесс включает несколько этапов:
- Предварительный аудит (опционально) — проверка готовности документации и системы.
- Этап 1 (анализ документации) — аудитор проверяет политики, процедуры, отчёты по оценке рисков и другие документы.
- Этап 2 (сертификационный аудит) — аудитор проверяет практическое внедрение СМИБ на местах, проводит интервью с персоналом, проверяет записи.
- Выдача сертификата — при успешном прохождении аудита выдаётся сертификат, действительный в течение трёх лет.
- Надзорные аудиты — ежегодные проверки (обычно раз в год) для подтверждения соответствия.
- Ресертификация — полный аудит каждые три года для продления сертификата.
Стоимость сертификации зависит от размера организации, сложности её информационных систем и выбранного органа по сертификации.
Применение и значение
ISO 27001 применяется организациями любого размера и из любой отрасли, включая государственные учреждения, финансовые организации, производственные компании, ИТ-компании и медицинские учреждения. Основные цели внедрения стандарта:
- Защита конфиденциальности, целостности и доступности информации — триада CIA (Confidentiality, Integrity, Availability).
- Управление рисками информационной безопасности — систематический подход к выявлению, оценке и минимизации угроз.
- Соответствие законодательным и регуляторным требованиям — в России это, например, требования Федерального закона № 152-ФЗ «О персональных данных», Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры», а также требования регуляторов (ФСБ России, ФСТЭК России).
- Повышение доверия клиентов и партнёров — сертификация служит независимым подтверждением зрелости системы безопасности.
- Конкурентное преимущество — многие тендеры и контракты требуют наличия сертификата ISO 27001.
В России стандарт активно используется при построении систем защиты персональных данных и критической информационной инфраструктуры. Он часто комбинируется с требованиями российских нормативных документов (например, приказов ФСТЭК России), что позволяет организациям одновременно соответствовать международным и национальным стандартам.
Критика и ограничения
Несмотря на широкое распространение, ISO 27001 подвергается критике по ряду причин:
- Бюрократизация — внедрение стандарта может привести к созданию избыточной документации и формальных процедур, которые не всегда отражают реальное состояние безопасности.
- Стоимость — сертификация и поддержание СМИБ требуют значительных финансовых и временных затрат, что может быть непосильно для малых организаций.
- Формальный подход — некоторые организации сертифицируются только для получения «галочки», не внедряя реальных улучшений в процессы безопасности.
- Не охватывает все аспекты — стандарт фокусируется на управленческих аспектах и не содержит детальных технических требований к конкретным средствам защиты (например, к межсетевым экранам или антивирусам). Для этого существуют другие стандарты, такие как ISO/IEC 27002 или NIST SP 800-53.
- Сложность адаптации к российским реалиям — версия стандарта 2022 года не полностью гармонизирована с российскими нормативными актами, что требует от организаций дополнительных усилий по сопоставлению требований.
Связанные стандарты
ISO 27001 является частью семейства стандартов ISO/IEC 27000, которое включает:
- ISO/IEC 27000 — обзор и терминология.
- ISO/IEC 27002 — практические рекомендации по мерам контроля (ранее ISO/IEC 17799).
- ISO/IEC 27003 — руководство по внедрению СМИБ.
- ISO/IEC 27004 — руководство по оценке эффективности СМИБ.
- ISO/IEC 27005 — руководство по управлению рисками информационной безопасности.
- ISO/IEC 27017 — руководство по мерам контроля для облачных услуг.
- ISO/IEC 27018 — руководство по защите персональных данных в облачных средах.
Источники
- ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
- ГОСТ Р ИСО/МЭК 27001-2021. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
- ISO/IEC 27002:2022. Information security, cybersecurity and privacy protection — Information security controls.
- Calder, A., & Watkins, S. (2022). IT Governance: An International Guide to Data Security and ISO 27001/ISO 27002. Kogan Page.
- Humphreys, E. (2016). Implementing the ISO 27001:2013 ISMS. BSI Standards.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →