Открыть сервис

ИСО/МЭК 27000

ИСО/МЭК 27000 — это серия международных стандартов, разработанных Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC), которые устанавливают требования и руководящие принципы для систем менеджмента информационной безопасности (СМИБ). Основной целью серии является обеспечение конфиденциальности, целостности и доступности информации, а также защита её от угроз, связанных с человеческими ошибками, техническими сбоями, злоумышленными действиями и природными явлениями. Стандарты серии 27000 являются частью более широкого семейства стандартов ISO/IEC, касающихся управления информационными технологиями, и широко применяются в коммерческих, государственных и некоммерческих организациях по всему миру, включая Российскую Федерацию, где они адаптированы в виде национальных стандартов (ГОСТ Р ИСО/МЭК 27000).

История и развитие

Разработка серии ISO/IEC 27000 началась в конце 1990-х годов на основе британского стандарта BS 7799, который был впервые опубликован в 1995 году Британским институтом стандартов (BSI). BS 7799 состоял из двух частей: первая часть содержала практические рекомендации по управлению информационной безопасностью, а вторая — требования к системе менеджмента. В 2000 году первая часть BS 7799 была принята ISO как международный стандарт ISO/IEC 17799, а в 2005 году он был пересмотрен и переименован в ISO/IEC 27002. Вторая часть BS 7799 стала основой для ISO/IEC 27001, который был опубликован в 2005 году и стал ключевым стандартом серии, устанавливающим требования к сертификации СМИБ.

С тех пор серия постоянно расширялась и обновлялась. В 2013 году была выпущена вторая редакция ISO/IEC 27001, которая упростила структуру и улучшила интеграцию с другими стандартами менеджмента, такими как ISO 9001 (менеджмент качества) и ISO 14001 (экологический менеджмент). В 2022 году вышла третья редакция ISO/IEC 27001, которая адаптировала требования к современным угрозам, включая кибератаки, облачные вычисления и удалённую работу. На 2025 год серия включает более 50 стандартов, охватывающих различные аспекты информационной безопасности.

Структура серии

Серия ISO/IEC 27000 организована по иерархическому принципу и включает несколько групп стандартов, каждая из которых выполняет определённую функцию. Основные группы:

Основные стандарты

  • ISO/IEC 27000 — вводный стандарт, содержащий обзор серии, терминологию и основные понятия (например, «информационная безопасность», «риск», «актив»). Он служит отправной точкой для понимания всей серии.
  • ISO/IEC 27001 — стандарт, устанавливающий требования к созданию, внедрению, поддержанию и постоянному улучшению СМИБ. Это единственный стандарт серии, по которому проводится сертификация сторонними организациями. Он основан на цикле PDCA (Plan-Do-Check-Act) и включает обязательные разделы, такие как контекст организации, лидерство, планирование, поддержка, операционная деятельность, оценка эффективности и улучшение.
  • ISO/IEC 27002 — руководство по выбору и внедрению мер контроля информационной безопасности. Он содержит более 100 рекомендаций, сгруппированных по тематическим областям, таким как политика безопасности, управление активами, контроль доступа, криптография, физическая безопасность, управление инцидентами и соответствие требованиям.

Стандарты по управлению рисками

  • ISO/IEC 27005 — стандарт, посвящённый управлению рисками информационной безопасности. Он описывает процесс идентификации, анализа, оценки и обработки рисков, а также методы их минимизации. Этот стандарт тесно связан с ISO 31000 (общее управление рисками).
  • ISO/IEC 27003 — руководство по внедрению СМИБ, включающее практические советы по планированию, проектированию и документированию системы.

Отраслевые и специализированные стандарты

  • ISO/IEC 27017 — руководство по информационной безопасности в облачных вычислениях, дополняющее ISO/IEC 27002 для облачных сервисов.
  • ISO/IEC 27018 — стандарт, посвящённый защите персональных данных в облачных вычислениях, особенно актуальный в контексте законодательства о конфиденциальности, например, GDPR в Европейском союзе.
  • ISO/IEC 27019 — стандарт для энергетической отрасли, адаптирующий меры контроля для систем управления энергией.
  • ISO/IEC 27701 — расширение для управления информацией о конфиденциальности, интегрирующее требования к защите персональных данных в СМИБ.

Стандарты по аудиту и оценке

  • ISO/IEC 27006 — требования к органам, проводящим аудит и сертификацию СМИБ. Он определяет квалификацию аудиторов, процедуры и критерии аккредитации.
  • ISO/IEC 27007 — руководство по аудиту СМИБ, включая методы проверки соответствия требованиям ISO/IEC 27001.
  • ISO/IEC 27008 — руководство по аудиту мер контроля информационной безопасности, описанных в ISO/IEC 27002.

Применение и сертификация

Стандарты серии ISO/IEC 27000 применяются организациями любого размера и отрасли, которые стремятся систематизировать защиту информации. Процесс внедрения обычно включает несколько этапов: анализ текущего состояния, определение политики безопасности, оценку рисков, выбор мер контроля, внедрение процедур, обучение персонала и внутренний аудит. После этого организация может пройти сертификацию на соответствие ISO/IEC 27001, которая проводится аккредитованными органами, такими как BSI, DNV, SGS или TÜV.

Сертификация подтверждает, что СМИБ организации соответствует международным требованиям, что повышает доверие клиентов, партнёров и регуляторов. В России сертификация по ГОСТ Р ИСО/МЭК 27001-2021 (адаптация ISO/IEC 27001:2013) используется в государственных и коммерческих структурах, особенно в сферах, связанных с обработкой персональных данных (например, в банках, телекоммуникационных компаниях и медицинских учреждениях). Однако в связи с санкционными ограничениями и изменениями в законодательстве РФ, некоторые организации переходят на национальные стандарты, такие как ГОСТ Р 57580.1-2017 для финансового сектора.

Критика и ограничения

Несмотря на широкое распространение, серия ISO/IEC 27000 подвергается критике по нескольким направлениям:

  • Сложность и бюрократизация. Внедрение СМИБ требует значительных ресурсов, включая время, деньги и квалифицированный персонал. Малые и средние предприятия часто сталкиваются с трудностями из-за объёмных требований к документации и процедурам.
  • Формальный подход. Некоторые организации проходят сертификацию ради формального подтверждения, не уделяя должного внимания реальной безопасности. Это может привести к ситуации, когда система существует на бумаге, но неэффективна на практике.
  • Отсутствие гибкости. Стандарты, особенно старые редакции, могут не успевать за быстрыми изменениями в технологиях, такими как искусственный интеллект, интернет вещей или квантовые вычисления. Хотя новые версии (например, 2022 года) пытаются это исправить, процесс обновления остаётся медленным.
  • Стоимость сертификации. Для небольших организаций затраты на аудит и поддержание сертификата могут быть непропорционально высокими, что ограничивает доступность стандарта.

Влияние на информационную безопасность

Серия ISO/IEC 27000 сыграла ключевую роль в стандартизации подходов к информационной безопасности, заменив разрозненные практики единой системой. Она способствовала развитию культуры управления рисками, повышению осведомлённости сотрудников и интеграции безопасности в корпоративные процессы. Многие национальные и отраслевые стандарты, включая российские ГОСТ Р, а также европейские и американские нормативы, основаны на принципах ISO/IEC 27000. Кроме того, серия служит основой для других международных инициатив, таких как NIST Cybersecurity Framework в США и CIS Controls.

Источники

  • ISO/IEC 27000:2018 — Information technology — Security techniques — Information security management systems — Overview and vocabulary.
  • ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
  • ISO/IEC 27002:2022 — Information security, cybersecurity and privacy protection — Information security controls.
  • ГОСТ Р ИСО/МЭК 27001-2021 — Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
  • Calder, A., & Watkins, S. (2020). IT Governance: An International Guide to Data Security and ISO 27001/ISO 27002. Kogan Page.
  • Humphreys, E. (2016). Implementing Information Security Based on ISO 27001/ISO 27002: A Management Guide. Van Haren Publishing.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →