Открыть сервис

ISO/IEC 27001

ISO/IEC 27001 — это международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ). Он определяет, как организации должны создавать, внедрять, поддерживать и постоянно улучшать систему управления рисками, связанными с конфиденциальностью, целостностью и доступностью информации. Стандарт является частью серии ISO/IEC 27000, разработанной совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Основная цель ISO/IEC 27001 — предоставить организациям любого типа и размера систематический подход к защите информации, включая финансовые данные, интеллектуальную собственность, персональные данные сотрудников и клиентов, а также информацию, доверенную третьими сторонами.

История и развитие

Разработка стандарта началась в конце 1990-х годов на основе британского стандарта BS 7799, опубликованного Британским институтом стандартов (BSI). Первая версия BS 7799-1, содержащая практические рекомендации по управлению информационной безопасностью, вышла в 1995 году. В 1998 году была опубликована часть BS 7799-2, которая впервые установила требования к системе менеджмента безопасности. В 2000 году ISO приняла BS 7799-1 как международный стандарт ISO/IEC 17799, который позже был пересмотрен и переименован в ISO/IEC 27002.

Первая редакция ISO/IEC 27001 была опубликована в 2005 году. Она заменила BS 7799-2 и стала основным стандартом для сертификации СМИБ. В 2013 году вышла вторая редакция (ISO/IEC 27001:2013), которая упростила структуру, интегрировала требования к оценке рисков и привела стандарт в соответствие с общим подходом ISO к системам менеджмента (Приложение SL). Текущая версия — ISO/IEC 27001:2022, опубликованная в октябре 2022 года. Она включает изменения, связанные с кибербезопасностью, облачными вычислениями, защитой персональных данных и управлением непрерывностью бизнеса.

Структура стандарта

ISO/IEC 27001:2022 состоит из 11 разделов (клаузул) и приложения А. Первые три раздела являются вводными и описывают область применения, нормативные ссылки и термины. Основные требования изложены в разделах 4–10, которые соответствуют циклу PDCA (Plan-Do-Check-Act):

Приложение А содержит перечень 93 контрольных мер (controls), сгруппированных по 4 тематическим областям: организационные, человеческие, физические и технологические меры. Эти меры являются справочными — организация может выбирать их в зависимости от результатов оценки рисков.

Ключевые требования

Основным требованием стандарта является внедрение процессного подхода к управлению информационной безопасностью. Организация должна:

Сертификация

Сертификация по ISO/IEC 27001 проводится независимыми аккредитованными органами. Процесс включает два этапа: предварительный аудит (анализ документации) и основной аудит (проверка внедрения и эффективности СМИБ). Сертификат выдается на срок до трех лет с ежегодными инспекционными аудитами. В России сертификацию проводят органы по сертификации систем менеджмента, аккредитованные в национальной системе аккредитации (Росаккредитация) или международных схемах (например, IAF). Сертификация по ISO/IEC 27001 не является обязательной по законодательству РФ, но может требоваться для участия в тендерах, получения лицензий или выполнения условий контрактов.

Применение в России

В Российской Федерации стандарт ISO/IEC 27001 применяется на добровольной основе. Он используется коммерческими организациями, государственными учреждениями и операторами персональных данных для построения систем защиты информации. В ряде отраслей (финансовый сектор, телекоммуникации, энергетика) соответствие требованиям стандарта может учитываться при лицензировании или аттестации. Национальные стандарты, гармонизированные с ISO/IEC 27001, включают ГОСТ Р ИСО/МЭК 27001-2021 (аутентичный перевод версии 2013 года) и ГОСТ Р ИСО/МЭК 27001-2023 (версия 2022 года). Применение стандарта в России регулируется Федеральным законом «О персональных данных» (152-ФЗ) и методическими документами ФСТЭК России, которые могут устанавливать дополнительные требования к защите информации.

Критика и ограничения

Основные замечания к стандарту связаны с его формальностью и ориентацией на документооборот. Критики отмечают, что сертификация не гарантирует фактической безопасности, а лишь подтверждает соответствие процедурным требованиям. Другие недостатки включают высокую стоимость внедрения и сертификации для малых организаций, сложность адаптации к быстро меняющимся угрозам и недостаточную гибкость при интеграции с другими стандартами (например, PCI DSS, NIST). В версии 2022 года были предприняты шаги по упрощению и актуализации мер, но проблема бюрократизации сохраняется.

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →