Открыть сервис

ISO 27001:2013

ISO 27001:2013 — это международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ). Он определяет процессный подход к разработке, внедрению, мониторингу и улучшению мер защиты конфиденциальности, целостности и доступности информации. Стандарт входит в семейство стандартов ISO/IEC 27000, посвящённых информационной безопасности, и является одним из наиболее распространённых и признанных в мире нормативных документов для управления рисками в этой области.

История и развитие

Разработка стандарта началась в конце 1990-х годов. Его предшественником был британский стандарт BS 7799, первая часть которого (BS 7799-1) была опубликована в 1995 году, а вторая (BS 7799-2), содержащая требования к системе менеджмента, — в 1998 году. В 2000 году Международная организация по стандартизации (ISO) приняла BS 7799-1 как международный стандарт ISO/IEC 17799:2000. В 2005 году на основе BS 7799-2 был разработан и опубликован ISO/IEC 27001:2005. Следующая версия — ISO/IEC 27001:2013 — вышла в 2013 году, заменив предыдущую. Она была пересмотрена с целью лучшей интеграции с другими стандартами систем менеджмента, в частности с ISO 9001 (менеджмент качества) и ISO 14001 (экологический менеджмент). В 2022 году была опубликована актуальная версия — ISO/IEC 27001:2022, которая заменила версию 2013 года, однако многие организации продолжают использовать старую версию в переходный период.

Структура и основные требования

Стандарт ISO 27001:2013 состоит из двух основных частей: основной текст (разделы 0–10) и приложение A. Основной текст содержит требования к системе менеджмента информационной безопасности, построенные по циклу PDCA (Plan-Do-Check-Act — «Планируй-Делай-Проверяй-Действуй»). Приложение A содержит каталог из 114 мер контроля (controls), сгруппированных в 14 разделов.

Основные разделы стандарта (по циклу PDCA)

  1. Раздел 4 — Контекст организации. Организация должна определить внешние и внутренние факторы, влияющие на её информационную безопасность, а также заинтересованные стороны и их требования. Определяется область применения СМИБ.
  2. Раздел 5 — Лидерство. Высшее руководство должно демонстрировать лидерство и приверженность СМИБ, утвердить политику информационной безопасности и распределить ответственность.
  3. Раздел 6 — Планирование. Организация должна проводить оценку рисков информационной безопасности и разрабатывать план обработки рисков. Также устанавливаются цели в области информационной безопасности и планируются изменения.
  4. Раздел 7 — Поддержка. Определяются требования к ресурсам, компетентности персонала, осведомлённости, внутренним и внешним коммуникациям, а также к документированной информации.
  5. Раздел 8 — Эксплуатация. Реализация планов обработки рисков, управление операционными процессами, включая аутсорсинг.
  6. Раздел 9 — Оценка результатов деятельности. Проведение мониторинга, измерений, анализа и оценки, а также внутренних аудитов и анализа со стороны руководства.
  7. Раздел 10 — Улучшение. Управление несоответствиями, корректирующие действия и постоянное улучшение СМИБ.

Приложение A (каталог мер контроля)

Приложение A содержит 114 мер контроля, разделённых на 14 групп (в версии 2013 года):

Процесс внедрения и сертификации

Внедрение ISO 27001:2013 в организации обычно включает следующие этапы:

  1. Определение контекста и области применения. Анализ бизнес-процессов, определение границ СМИБ.
  2. Разработка политики информационной безопасности. Формальное заявление целей и принципов.
  3. Оценка рисков. Идентификация активов, угроз, уязвимостей и оценка уровня риска.
  4. План обработки рисков. Выбор мер контроля из Приложения A для снижения рисков до приемлемого уровня.
  5. Разработка документации. Создание обязательных и вспомогательных документов (политики, процедуры, инструкции, записи).
  6. Внедрение мер контроля. Реализация выбранных мер (организационных, технических, физических).
  7. Обучение персонала. Повышение осведомлённости и компетентности сотрудников.
  8. Внутренний аудит. Проверка соответствия СМИБ требованиям стандарта.
  9. Анализ со стороны руководства. Оценка эффективности СМИБ и принятие решений по улучшению.
  10. Сертификационный аудит. Проводится аккредитованным органом по сертификации. Включает два этапа: анализ документации и проверку внедрения на месте. При успешном прохождении выдаётся сертификат, действительный три года, с ежегодными надзорными аудитами.

Преимущества и критика

Преимущества

Критика и ограничения

Применение в России

В Российской Федерации стандарт ISO 27001:2013 применяется на добровольной основе. Он часто используется в качестве методической основы для построения систем защиты информации, особенно в крупных компаниях и организациях, работающих с зарубежными партнёрами. В 2014 году на его основе был разработан и утверждён национальный стандарт ГОСТ Р ИСО/МЭК 27001-2021 (аутентичный перевод ISO/IEC 27001:2013). Сертификация по ISO 27001 в России проводится аккредитованными органами, в том числе входящими в национальную систему аккредитации. Для государственных информационных систем и систем персональных данных требования к защите информации устанавливаются законодательством РФ (ФСТЭК России, ФСБ России), которые могут отличаться от требований международного стандарта.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →