Открыть сервис

ISO 27001

ISO 27001 — это международный стандарт, содержащий требования к системе менеджмента информационной безопасности (СМИБ). Он разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) и входит в семейство стандартов серии ISO/IEC 27000. Стандарт устанавливает требования к созданию, внедрению, поддержанию и постоянному улучшению СМИБ в контексте общих бизнес-рисков организации. Сертификация по ISO 27001 является одним из наиболее распространённых способов демонстрации соответствия организации требованиям в области защиты информации.

История

Разработка стандарта началась в конце 1990-х годов на основе британского национального стандарта BS 7799, который был опубликован Британским институтом стандартов (BSI) в 1995 году. Первая часть BS 7799 (BS 7799-1) содержала практические рекомендации по управлению информационной безопасностью, а вторая часть (BS 7799-2) — требования к системе менеджмента.

В 2000 году ISO приняла BS 7799-1 как международный стандарт ISO/IEC 17799. В 2005 году на основе BS 7799-2 был разработан и опубликован ISO/IEC 27001:2005, который стал первым стандартом серии 27000. В 2013 году была выпущена вторая редакция — ISO/IEC 27001:2013, которая ввела более гибкий подход к управлению рисками и упростила структуру стандарта. Текущая версия, ISO/IEC 27001:2022, была опубликована в октябре 2022 года. Она включает обновлённый перечень мер контроля и изменённую структуру, соответствующую новой версии сопутствующего стандарта ISO/IEC 27002:2022.

В России стандарт ISO/IEC 27001 был принят как национальный стандарт ГОСТ Р ИСО/МЭК 27001-2021 (с датой введения 1 января 2022 года), который является аутентичным переводом версии 2013 года. Версия 2022 года на момент написания статьи (2025 год) находится в процессе пересмотра и адаптации в качестве национального стандарта.

Структура и основные требования

Стандарт ISO 27001 построен на основе процессного подхода и цикла PDCA (Plan-Do-Check-Act — планируй-делай-проверяй-действуй). Он содержит требования к системе менеджмента, а не к конкретным техническим решениям.

Разделы стандарта (версия 2022 года)

Стандарт состоит из 10 основных разделов (клаузул), описывающих требования к СМИБ:

  1. Область применения — определяет границы и применимость стандарта.
  2. Нормативные ссылки — перечень связанных стандартов.
  3. Термины и определения — пояснение ключевых понятий.
  4. Контекст организации — требования к пониманию внешних и внутренних факторов, влияющих на СМИБ, а также к определению заинтересованных сторон и их требований.
  5. Лидерство — требования к высшему руководству: демонстрация лидерства, разработка политики информационной безопасности, распределение ответственности.
  6. Планирование — требования к управлению рисками (идентификация, анализ, оценка и обработка рисков), а также к постановке целей в области информационной безопасности.
  7. Обеспечение — требования к ресурсам, компетентности персонала, осведомлённости, документированной информации.
  8. Функционирование — требования к планированию, выполнению и управлению процессами, необходимыми для реализации СМИБ.
  9. Оценка результатов деятельности — требования к мониторингу, измерению, анализу, внутренним аудитам и анализу со стороны руководства.
  10. Улучшение — требования к управлению несоответствиями, корректирующим действиям и постоянному улучшению СМИБ.

Приложение A (Annex A)

Приложение A является справочным и содержит перечень мер контроля (controls) и целей контроля. В версии 2022 года их количество сокращено с 114 (в версии 2013) до 93, сгруппированных в 4 тематических раздела:

Организация не обязана применять все меры из Приложения A. Она должна выбирать и внедрять только те, которые необходимы для обработки идентифицированных рисков, обосновывая свой выбор.

Процесс сертификации

Сертификация по ISO 27001 проводится независимыми аккредитованными органами по сертификации. Процесс включает несколько этапов:

  1. Предварительный аудит (опционально) — проверка готовности документации и системы.
  2. Этап 1 (анализ документации) — аудитор проверяет политики, процедуры, отчёты по оценке рисков и другие документы.
  3. Этап 2 (сертификационный аудит) — аудитор проверяет практическое внедрение СМИБ на местах, проводит интервью с персоналом, проверяет записи.
  4. Выдача сертификата — при успешном прохождении аудита выдаётся сертификат, действительный в течение трёх лет.
  5. Надзорные аудиты — ежегодные проверки (обычно раз в год) для подтверждения соответствия.
  6. Ресертификация — полный аудит каждые три года для продления сертификата.

Стоимость сертификации зависит от размера организации, сложности её информационных систем и выбранного органа по сертификации.

Применение и значение

ISO 27001 применяется организациями любого размера и из любой отрасли, включая государственные учреждения, финансовые организации, производственные компании, ИТ-компании и медицинские учреждения. Основные цели внедрения стандарта:

В России стандарт активно используется при построении систем защиты персональных данных и критической информационной инфраструктуры. Он часто комбинируется с требованиями российских нормативных документов (например, приказов ФСТЭК России), что позволяет организациям одновременно соответствовать международным и национальным стандартам.

Критика и ограничения

Несмотря на широкое распространение, ISO 27001 подвергается критике по ряду причин:

Связанные стандарты

ISO 27001 является частью семейства стандартов ISO/IEC 27000, которое включает:

Источники

  1. ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
  2. ГОСТ Р ИСО/МЭК 27001-2021. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
  3. ISO/IEC 27002:2022. Information security, cybersecurity and privacy protection — Information security controls.
  4. Calder, A., & Watkins, S. (2022). IT Governance: An International Guide to Data Security and ISO 27001/ISO 27002. Kogan Page.
  5. Humphreys, E. (2016). Implementing the ISO 27001:2013 ISMS. BSI Standards.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →