ISO/IEC 27018
ISO/IEC 27001 — это международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ) в организации. Он определяет систематический подход к управлению конфиденциальностью, целостностью и доступностью информации, включая процессы оценки рисков, внедрения мер защиты и постоянного улучшения. Стандарт является частью семейства ISO/IEC 27000, разработанного Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC).
История
Первая версия стандарта ISO/IEC 27001 была опубликована в 2005 году на основе британского стандарта BS 7799-2, который, в свою очередь, возник из практик управления информационной безопасностью, разработанных в 1990-х годах. В 2013 году вышла вторая редакция (ISO/IEC 27001:2013), которая упростила структуру и интегрировала подход, основанный на процессном управлении и цикле PDCA (Plan-Do-Check-Act). В 2022 году была опубликована третья редакция (ISO/IEC 27001:2022), которая адаптировала требования к современным угрозам, включая кибербезопасность, облачные вычисления и защиту персональных данных.
Структура и требования
Стандарт состоит из двух основных частей: нормативных требований (разделы 4–10) и приложения A, содержащего перечень 93 контрольных мер (в версии 2022 года), сгруппированных по четырём доменам:
- Организационные меры (37 пунктов) — политики, роли, ответственность, управление инцидентами, соответствие законодательству.
- Технологические меры (34 пункта) — управление доступом, шифрование, защита от вредоносного ПО, резервное копирование.
- Физические меры (14 пунктов) — защита помещений, оборудования, контроль входа.
- Меры для персонала (8 пунктов) — обучение, осведомлённость, дисциплинарные процедуры.
Ключевые требования по разделам
- Раздел 4. Контекст организации — определение внутренних и внешних факторов, влияющих на СМИБ, а также заинтересованных сторон.
- Раздел 5. Лидерство — обязательства высшего руководства, утверждение политики информационной безопасности, распределение ответственности.
- Раздел 6. Планирование — оценка рисков, определение целей СМИБ, планирование изменений.
- Раздел 7. Поддержка — обеспечение ресурсами, компетентность персонала, документирование информации.
- Раздел 8. Операция — выполнение процессов, управление рисками, аутсорсинг.
- Раздел 9. Оценка эффективности — мониторинг, внутренние аудиты, анализ со стороны руководства.
- Раздел 10. Улучшение — корректирующие действия, постоянное совершенствование.
Процесс сертификации
Сертификация по ISO/IEC 27001 проводится аккредитованными органами по сертификации (например, BSI, DNV, TÜV). Процесс включает:
- Предварительный аудит (опционально) — оценка готовности организации.
- Этап 1. Документальный аудит — проверка политик, процедур, реестра рисков.
- Этап 2. Практический аудит — проверка внедрения мер на объектах, интервью с персоналом.
- Выдача сертификата сроком на 3 года с ежегодными надзорными аудитами.
- Ресертификация через 3 года.
Сертификат подтверждает, что организация соответствует требованиям стандарта, но не гарантирует абсолютную безопасность — только наличие системы управления.
Применение в России
В Российской Федерации стандарт ISO/IEC 27001 не является обязательным, но широко используется в коммерческом секторе, особенно в банках, телекоммуникациях, IT-компаниях и государственных учреждениях. Для государственных информационных систем (ГИС) и систем персональных данных (ИСПДн) существуют национальные стандарты ГОСТ Р ИСО/МЭК 27001-2021 (аутентичный перевод) и требования ФСТЭК России. Однако многие организации внедряют ISO/IEC 27001 добровольно для повышения доверия клиентов и партнёров, а также для выхода на международные рынки.
С 2023 года в России действует национальный стандарт ГОСТ Р ИСО/МЭК 27001-2021, который полностью идентичен международной версии 2013 года. Внедрение версии 2022 года пока не получило широкого распространения из-за необходимости адаптации к локальным нормативным актам.
Преимущества и ограничения
Преимущества
- Системный подход — интеграция безопасности в бизнес-процессы.
- Управление рисками — оценка и минимизация угроз.
- Соответствие законодательству — помогает соблюдать требования 152-ФЗ «О персональных данных», GDPR и других законов.
- Конкурентное преимущество — сертификат повышает доверие клиентов и инвесторов.
- Постоянное улучшение — цикл PDCA обеспечивает адаптацию к новым угрозам.
Ограничения
- Высокая стоимость — внедрение и сертификация требуют значительных ресурсов (до 1–3 млн рублей для среднего предприятия).
- Бюрократизация — избыточная документация может замедлять процессы.
- Не гарантирует безопасность — стандарт требует управления, но не предотвращает все инциденты.
- Сложность для малого бизнеса — полное внедрение часто непропорционально масштабу.
Критика
Основные замечания к ISO/IEC 27001 касаются его формальности: организации могут получить сертификат, формально выполнив требования, но не обеспечив реальную безопасность. Также критикуется медленная адаптация к новым угрозам (например, квантовым вычислениям или атакам на цепочки поставок). В версии 2022 года были добавлены меры по управлению облачными рисками и защите от программ-вымогателей, но некоторые эксперты считают их недостаточными.
Связь с другими стандартами
ISO/IEC 27001 входит в семейство ISO/IEC 27000, которое включает:
- ISO/IEC 27002 — руководство по выбору мер контроля.
- ISO/IEC 27005 — управление рисками информационной безопасности.
- ISO/IEC 27017 — меры безопасности для облачных сервисов.
- ISO/IEC 27018 — защита персональных данных в облаке.
- ISO/IEC 27701 — расширение для управления конфиденциальностью.
Также стандарт совместим с другими системами менеджмента (ISO 9001, ISO 14001, ISO 22301) благодаря единой структуре High-Level Structure (HLS).
Источники
- ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
- ГОСТ Р ИСО/МЭК 27001-2021 — Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Методические документы ФСТЭК России по защите информации.
- Руководство по внедрению ISO/IEC 27001 (BSI, 2022).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →