ISO 27001:2013
ISO 27001:2013 — это международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ). Он определяет процессный подход к разработке, внедрению, мониторингу и улучшению мер защиты конфиденциальности, целостности и доступности информации. Стандарт входит в семейство стандартов ISO/IEC 27000, посвящённых информационной безопасности, и является одним из наиболее распространённых и признанных в мире нормативных документов для управления рисками в этой области.
История и развитие
Разработка стандарта началась в конце 1990-х годов. Его предшественником был британский стандарт BS 7799, первая часть которого (BS 7799-1) была опубликована в 1995 году, а вторая (BS 7799-2), содержащая требования к системе менеджмента, — в 1998 году. В 2000 году Международная организация по стандартизации (ISO) приняла BS 7799-1 как международный стандарт ISO/IEC 17799:2000. В 2005 году на основе BS 7799-2 был разработан и опубликован ISO/IEC 27001:2005. Следующая версия — ISO/IEC 27001:2013 — вышла в 2013 году, заменив предыдущую. Она была пересмотрена с целью лучшей интеграции с другими стандартами систем менеджмента, в частности с ISO 9001 (менеджмент качества) и ISO 14001 (экологический менеджмент). В 2022 году была опубликована актуальная версия — ISO/IEC 27001:2022, которая заменила версию 2013 года, однако многие организации продолжают использовать старую версию в переходный период.
Структура и основные требования
Стандарт ISO 27001:2013 состоит из двух основных частей: основной текст (разделы 0–10) и приложение A. Основной текст содержит требования к системе менеджмента информационной безопасности, построенные по циклу PDCA (Plan-Do-Check-Act — «Планируй-Делай-Проверяй-Действуй»). Приложение A содержит каталог из 114 мер контроля (controls), сгруппированных в 14 разделов.
Основные разделы стандарта (по циклу PDCA)
- Раздел 4 — Контекст организации. Организация должна определить внешние и внутренние факторы, влияющие на её информационную безопасность, а также заинтересованные стороны и их требования. Определяется область применения СМИБ.
- Раздел 5 — Лидерство. Высшее руководство должно демонстрировать лидерство и приверженность СМИБ, утвердить политику информационной безопасности и распределить ответственность.
- Раздел 6 — Планирование. Организация должна проводить оценку рисков информационной безопасности и разрабатывать план обработки рисков. Также устанавливаются цели в области информационной безопасности и планируются изменения.
- Раздел 7 — Поддержка. Определяются требования к ресурсам, компетентности персонала, осведомлённости, внутренним и внешним коммуникациям, а также к документированной информации.
- Раздел 8 — Эксплуатация. Реализация планов обработки рисков, управление операционными процессами, включая аутсорсинг.
- Раздел 9 — Оценка результатов деятельности. Проведение мониторинга, измерений, анализа и оценки, а также внутренних аудитов и анализа со стороны руководства.
- Раздел 10 — Улучшение. Управление несоответствиями, корректирующие действия и постоянное улучшение СМИБ.
Приложение A (каталог мер контроля)
Приложение A содержит 114 мер контроля, разделённых на 14 групп (в версии 2013 года):
- A.5 — Политика информационной безопасности
- A.6 — Организация информационной безопасности
- A.7 — Безопасность человеческих ресурсов
- A.8 — Управление активами
- A.9 — Управление доступом
- A.10 — Криптография
- A.11 — Физическая безопасность и безопасность окружения
- A.12 — Безопасность операций
- A.13 — Безопасность коммуникаций
- A.14 — Приобретение, разработка и сопровождение информационных систем
- A.15 — Взаимоотношения с поставщиками
- A.16 — Управление инцидентами в области информационной безопасности
- A.17 — Аспекты информационной безопасности при управлении непрерывностью бизнеса
- A.18 — Соответствие
Процесс внедрения и сертификации
Внедрение ISO 27001:2013 в организации обычно включает следующие этапы:
- Определение контекста и области применения. Анализ бизнес-процессов, определение границ СМИБ.
- Разработка политики информационной безопасности. Формальное заявление целей и принципов.
- Оценка рисков. Идентификация активов, угроз, уязвимостей и оценка уровня риска.
- План обработки рисков. Выбор мер контроля из Приложения A для снижения рисков до приемлемого уровня.
- Разработка документации. Создание обязательных и вспомогательных документов (политики, процедуры, инструкции, записи).
- Внедрение мер контроля. Реализация выбранных мер (организационных, технических, физических).
- Обучение персонала. Повышение осведомлённости и компетентности сотрудников.
- Внутренний аудит. Проверка соответствия СМИБ требованиям стандарта.
- Анализ со стороны руководства. Оценка эффективности СМИБ и принятие решений по улучшению.
- Сертификационный аудит. Проводится аккредитованным органом по сертификации. Включает два этапа: анализ документации и проверку внедрения на месте. При успешном прохождении выдаётся сертификат, действительный три года, с ежегодными надзорными аудитами.
Преимущества и критика
Преимущества
- Системный подход. Стандарт требует построения целостной системы управления, а не разрозненных мер.
- Управление рисками. Основной фокус сделан на идентификацию и управление рисками, что позволяет адаптировать защиту под конкретные угрозы.
- Повышение доверия. Сертификация по ISO 27001 является признанным на международном уровне доказательством серьёзного отношения к информационной безопасности.
- Соответствие законодательству. Помогает соблюдать требования законов о защите данных (например, 152-ФЗ «О персональных данных» в РФ, GDPR в Европе).
- Интеграция с другими стандартами. Структура высокого уровня (HLS) позволяет легко интегрировать СМИБ с системами менеджмента качества (ISO 9001) и другими.
Критика и ограничения
- Бюрократизация. Критики отмечают, что внедрение стандарта может привести к излишней бюрократизации и формальному подходу, когда основное внимание уделяется документации, а не реальной безопасности.
- Стоимость. Процесс внедрения, сертификации и поддержания СМИБ требует значительных финансовых и временных затрат, что может быть неподъёмно для малого бизнеса.
- Не гарантирует безопасность. Сертификат подтверждает, что система менеджмента соответствует требованиям, но не гарантирует отсутствие инцидентов. Атаки могут быть успешными даже в сертифицированных организациях.
- Устаревание мер контроля. Версия 2013 года не учитывает некоторые современные угрозы, такие как атаки с использованием искусственного интеллекта или облачные вычисления (в версии 2022 года эти аспекты были пересмотрены).
Применение в России
В Российской Федерации стандарт ISO 27001:2013 применяется на добровольной основе. Он часто используется в качестве методической основы для построения систем защиты информации, особенно в крупных компаниях и организациях, работающих с зарубежными партнёрами. В 2014 году на его основе был разработан и утверждён национальный стандарт ГОСТ Р ИСО/МЭК 27001-2021 (аутентичный перевод ISO/IEC 27001:2013). Сертификация по ISO 27001 в России проводится аккредитованными органами, в том числе входящими в национальную систему аккредитации. Для государственных информационных систем и систем персональных данных требования к защите информации устанавливаются законодательством РФ (ФСТЭК России, ФСБ России), которые могут отличаться от требований международного стандарта.
Источники
- ISO/IEC 27001:2013 — Information technology — Security techniques — Information security management systems — Requirements.
- ГОСТ Р ИСО/МЭК 27001-2021 — Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Методические документы ФСТЭК России по защите информации.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →