ISO/IEC 27001
ISO/IEC 27001 — это международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ). Он определяет, как организации должны создавать, внедрять, поддерживать и постоянно улучшать систему управления рисками, связанными с конфиденциальностью, целостностью и доступностью информации. Стандарт является частью серии ISO/IEC 27000, разработанной совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Основная цель ISO/IEC 27001 — предоставить организациям любого типа и размера систематический подход к защите информации, включая финансовые данные, интеллектуальную собственность, персональные данные сотрудников и клиентов, а также информацию, доверенную третьими сторонами.
История и развитие
Разработка стандарта началась в конце 1990-х годов на основе британского стандарта BS 7799, опубликованного Британским институтом стандартов (BSI). Первая версия BS 7799-1, содержащая практические рекомендации по управлению информационной безопасностью, вышла в 1995 году. В 1998 году была опубликована часть BS 7799-2, которая впервые установила требования к системе менеджмента безопасности. В 2000 году ISO приняла BS 7799-1 как международный стандарт ISO/IEC 17799, который позже был пересмотрен и переименован в ISO/IEC 27002.
Первая редакция ISO/IEC 27001 была опубликована в 2005 году. Она заменила BS 7799-2 и стала основным стандартом для сертификации СМИБ. В 2013 году вышла вторая редакция (ISO/IEC 27001:2013), которая упростила структуру, интегрировала требования к оценке рисков и привела стандарт в соответствие с общим подходом ISO к системам менеджмента (Приложение SL). Текущая версия — ISO/IEC 27001:2022, опубликованная в октябре 2022 года. Она включает изменения, связанные с кибербезопасностью, облачными вычислениями, защитой персональных данных и управлением непрерывностью бизнеса.
Структура стандарта
ISO/IEC 27001:2022 состоит из 11 разделов (клаузул) и приложения А. Первые три раздела являются вводными и описывают область применения, нормативные ссылки и термины. Основные требования изложены в разделах 4–10, которые соответствуют циклу PDCA (Plan-Do-Check-Act):
- Раздел 4: Контекст организации — требует определения внешних и внутренних факторов, влияющих на СМИБ, а также заинтересованных сторон и их требований.
- Раздел 5: Лидерство — устанавливает обязанности высшего руководства, включая разработку политики информационной безопасности и распределение ответственности.
- Раздел 6: Планирование — включает оценку рисков, определение мер по их обработке и постановку целей в области информационной безопасности.
- Раздел 7: Поддержка — охватывает ресурсы, компетентность, осведомленность персонала, документирование и управление записями.
- Раздел 8: Функционирование — описывает планирование и контроль операционных процессов, включая управление рисками и реализацию мер безопасности.
- Раздел 9: Оценка результатов деятельности — требует мониторинга, измерений, внутренних аудитов и анализа со стороны руководства.
- Раздел 10: Улучшение — включает корректирующие действия и постоянное совершенствование СМИБ.
Приложение А содержит перечень 93 контрольных мер (controls), сгруппированных по 4 тематическим областям: организационные, человеческие, физические и технологические меры. Эти меры являются справочными — организация может выбирать их в зависимости от результатов оценки рисков.
Ключевые требования
Основным требованием стандарта является внедрение процессного подхода к управлению информационной безопасностью. Организация должна:
- Определить область применения СМИБ (scope), включая границы системы, активы и подразделения.
- Провести оценку рисков информационной безопасности, выявив угрозы, уязвимости и потенциальные последствия.
- Выбрать и реализовать меры по обработке рисков, включая избегание, передачу, снижение или принятие рисков.
- Разработать и утвердить политику информационной безопасности, а также процедуры управления инцидентами.
- Обеспечить обучение и повышение осведомленности персонала.
- Проводить регулярные внутренние аудиты и анализировать СМИБ со стороны руководства.
- Документировать все процессы и хранить записи, подтверждающие соответствие.
Сертификация
Сертификация по ISO/IEC 27001 проводится независимыми аккредитованными органами. Процесс включает два этапа: предварительный аудит (анализ документации) и основной аудит (проверка внедрения и эффективности СМИБ). Сертификат выдается на срок до трех лет с ежегодными инспекционными аудитами. В России сертификацию проводят органы по сертификации систем менеджмента, аккредитованные в национальной системе аккредитации (Росаккредитация) или международных схемах (например, IAF). Сертификация по ISO/IEC 27001 не является обязательной по законодательству РФ, но может требоваться для участия в тендерах, получения лицензий или выполнения условий контрактов.
Применение в России
В Российской Федерации стандарт ISO/IEC 27001 применяется на добровольной основе. Он используется коммерческими организациями, государственными учреждениями и операторами персональных данных для построения систем защиты информации. В ряде отраслей (финансовый сектор, телекоммуникации, энергетика) соответствие требованиям стандарта может учитываться при лицензировании или аттестации. Национальные стандарты, гармонизированные с ISO/IEC 27001, включают ГОСТ Р ИСО/МЭК 27001-2021 (аутентичный перевод версии 2013 года) и ГОСТ Р ИСО/МЭК 27001-2023 (версия 2022 года). Применение стандарта в России регулируется Федеральным законом «О персональных данных» (152-ФЗ) и методическими документами ФСТЭК России, которые могут устанавливать дополнительные требования к защите информации.
Критика и ограничения
Основные замечания к стандарту связаны с его формальностью и ориентацией на документооборот. Критики отмечают, что сертификация не гарантирует фактической безопасности, а лишь подтверждает соответствие процедурным требованиям. Другие недостатки включают высокую стоимость внедрения и сертификации для малых организаций, сложность адаптации к быстро меняющимся угрозам и недостаточную гибкость при интеграции с другими стандартами (например, PCI DSS, NIST). В версии 2022 года были предприняты шаги по упрощению и актуализации мер, но проблема бюрократизации сохраняется.
Интересные факты
- ISO/IEC 27001 является одним из наиболее широко применяемых стандартов в области информационной безопасности: по данным отчёта ISO за 2022 год, в мире выдано более 70 000 сертификатов.
- Стандарт входит в семейство ISO/IEC 27000, которое включает более 30 документов, регламентирующих различные аспекты управления безопасностью.
- В 2020 году Россия вошла в десятку стран по числу сертификатов ISO/IEC 27001, уступая Китаю, Японии и Великобритании.
- Стандарт может применяться совместно с другими системами менеджмента, например ISO 9001 (менеджмент качества) или ISO 22301 (управление непрерывностью бизнеса), благодаря единой структуре Приложения SL.
Источники
- ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
- ГОСТ Р ИСО/МЭК 27001-2023. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
- ISO Survey of Management System Standards 2022.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Методические документы ФСТЭК России по защите информации.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →