Открыть сервис

ISO/IEC 27018

ISO/IEC 27001 — это международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ) в организации. Он определяет систематический подход к управлению конфиденциальностью, целостностью и доступностью информации, включая процессы оценки рисков, внедрения мер защиты и постоянного улучшения. Стандарт является частью семейства ISO/IEC 27000, разработанного Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC).

История

Первая версия стандарта ISO/IEC 27001 была опубликована в 2005 году на основе британского стандарта BS 7799-2, который, в свою очередь, возник из практик управления информационной безопасностью, разработанных в 1990-х годах. В 2013 году вышла вторая редакция (ISO/IEC 27001:2013), которая упростила структуру и интегрировала подход, основанный на процессном управлении и цикле PDCA (Plan-Do-Check-Act). В 2022 году была опубликована третья редакция (ISO/IEC 27001:2022), которая адаптировала требования к современным угрозам, включая кибербезопасность, облачные вычисления и защиту персональных данных.

Структура и требования

Стандарт состоит из двух основных частей: нормативных требований (разделы 4–10) и приложения A, содержащего перечень 93 контрольных мер (в версии 2022 года), сгруппированных по четырём доменам:

  • Организационные меры (37 пунктов) — политики, роли, ответственность, управление инцидентами, соответствие законодательству.
  • Технологические меры (34 пункта) — управление доступом, шифрование, защита от вредоносного ПО, резервное копирование.
  • Физические меры (14 пунктов) — защита помещений, оборудования, контроль входа.
  • Меры для персонала (8 пунктов) — обучение, осведомлённость, дисциплинарные процедуры.

Ключевые требования по разделам

Процесс сертификации

Сертификация по ISO/IEC 27001 проводится аккредитованными органами по сертификации (например, BSI, DNV, TÜV). Процесс включает:

  1. Предварительный аудит (опционально) — оценка готовности организации.
  2. Этап 1. Документальный аудит — проверка политик, процедур, реестра рисков.
  3. Этап 2. Практический аудит — проверка внедрения мер на объектах, интервью с персоналом.
  4. Выдача сертификата сроком на 3 года с ежегодными надзорными аудитами.
  5. Ресертификация через 3 года.

Сертификат подтверждает, что организация соответствует требованиям стандарта, но не гарантирует абсолютную безопасность — только наличие системы управления.

Применение в России

В Российской Федерации стандарт ISO/IEC 27001 не является обязательным, но широко используется в коммерческом секторе, особенно в банках, телекоммуникациях, IT-компаниях и государственных учреждениях. Для государственных информационных систем (ГИС) и систем персональных данных (ИСПДн) существуют национальные стандарты ГОСТ Р ИСО/МЭК 27001-2021 (аутентичный перевод) и требования ФСТЭК России. Однако многие организации внедряют ISO/IEC 27001 добровольно для повышения доверия клиентов и партнёров, а также для выхода на международные рынки.

С 2023 года в России действует национальный стандарт ГОСТ Р ИСО/МЭК 27001-2021, который полностью идентичен международной версии 2013 года. Внедрение версии 2022 года пока не получило широкого распространения из-за необходимости адаптации к локальным нормативным актам.

Преимущества и ограничения

Преимущества

  • Системный подход — интеграция безопасности в бизнес-процессы.
  • Управление рисками — оценка и минимизация угроз.
  • Соответствие законодательству — помогает соблюдать требования 152-ФЗ «О персональных данных», GDPR и других законов.
  • Конкурентное преимущество — сертификат повышает доверие клиентов и инвесторов.
  • Постоянное улучшение — цикл PDCA обеспечивает адаптацию к новым угрозам.

Ограничения

  • Высокая стоимость — внедрение и сертификация требуют значительных ресурсов (до 1–3 млн рублей для среднего предприятия).
  • Бюрократизация — избыточная документация может замедлять процессы.
  • Не гарантирует безопасность — стандарт требует управления, но не предотвращает все инциденты.
  • Сложность для малого бизнеса — полное внедрение часто непропорционально масштабу.

Критика

Основные замечания к ISO/IEC 27001 касаются его формальности: организации могут получить сертификат, формально выполнив требования, но не обеспечив реальную безопасность. Также критикуется медленная адаптация к новым угрозам (например, квантовым вычислениям или атакам на цепочки поставок). В версии 2022 года были добавлены меры по управлению облачными рисками и защите от программ-вымогателей, но некоторые эксперты считают их недостаточными.

Связь с другими стандартами

ISO/IEC 27001 входит в семейство ISO/IEC 27000, которое включает:

  • ISO/IEC 27002 — руководство по выбору мер контроля.
  • ISO/IEC 27005 — управление рисками информационной безопасности.
  • ISO/IEC 27017 — меры безопасности для облачных сервисов.
  • ISO/IEC 27018 — защита персональных данных в облаке.
  • ISO/IEC 27701 — расширение для управления конфиденциальностью.

Также стандарт совместим с другими системами менеджмента (ISO 9001, ISO 14001, ISO 22301) благодаря единой структуре High-Level Structure (HLS).

Источники

  1. ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
  2. ГОСТ Р ИСО/МЭК 27001-2021 — Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
  3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  4. Методические документы ФСТЭК России по защите информации.
  5. Руководство по внедрению ISO/IEC 27001 (BSI, 2022).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →