Открыть сервис

Сертификация по ISO 27001

Сертификация по ISO 27001 — это формальное подтверждение соответствия системы менеджмента информационной безопасности (СМИБ) организации требованиям международного стандарта ISO/IEC 27001. Процедура проводится независимыми аккредитованными органами по сертификации и завершается выдачей сертификата, удостоверяющего, что организация внедрила и поддерживает систему управления рисками информационной безопасности в соответствии с установленными требованиями.

История и происхождение

Стандарт ISO/IEC 27001 был впервые опубликован Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) в 2005 году. Его разработка стала ответом на растущую потребность бизнеса и государственных структур в едином, признанном на международном уровне подходе к управлению информационной безопасностью. Основой для стандарта послужил британский стандарт BS 7799-2, который, в свою очередь, опирался на более ранние кодексы практики.

Первая версия ISO 27001:2005 была пересмотрена в 2013 году (ISO 27001:2013) и затем в 2022 году (ISO 27001:2022). Текущая версия, ISO/IEC 27001:2022, вступила в силу в октябре 2022 года и заменила предыдущую редакцию. Переход на новую версию для уже сертифицированных организаций был обязателен до конца октября 2025 года.

Основные требования стандарта

ISO 27001 определяет требования к созданию, внедрению, поддержанию и постоянному улучшению СМИБ. Стандарт не предписывает конкретные технические решения, а задаёт процессный подход, основанный на цикле PDCA (Plan-Do-Check-Act — планируй-делай-проверяй-действуй).

Структура стандарта

ISO/IEC 27001:2022 состоит из 11 разделов (с 0 по 10), из которых требования к СМИБ изложены в разделах с 4 по 10:

Приложение A (нормативное)

Важнейшей частью стандарта является Приложение A, которое содержит перечень из 93 контрольных мер (в версии 2022 года), сгруппированных по 4 тематическим разделам:

  1. Организационные меры (37 пунктов): политика безопасности, распределение ролей, управление активами, контроль доступа, управление инцидентами, непрерывность бизнеса и др.
  2. Меры в отношении персонала (8 пунктов): проверка при приёме на работу, обучение, дисциплинарные процессы.
  3. Физические меры (14 пунктов): физическая безопасность периметра, контроль входа, защита оборудования.
  4. Технологические меры (34 пункта): управление доступом к сети, шифрование, защита от вредоносного ПО, резервное копирование, управление уязвимостями.

Организация не обязана внедрять все 93 меры. Она должна выбрать те, которые применимы к её контексту и результатам оценки рисков, и обосновать исключение тех или иных мер.

Процесс сертификации

Сертификация на соответствие ISO 27001 проводится аккредитованными органами по сертификации. Процесс включает несколько этапов:

1. Подготовительный этап

Организация разрабатывает и внедряет СМИБ в соответствии с требованиями стандарта. Этот этап может занимать от нескольких месяцев до года и более, в зависимости от сложности организации и текущего уровня зрелости процессов безопасности. Ключевые шаги:

2. Этап 1 сертификационного аудита (предварительный аудит)

Аудитор проверяет документацию СМИБ: политику безопасности, отчёт об оценке рисков, план обработки рисков, заявление о применимости (SoA — Statement of Applicability), процедуры внутреннего аудита и анализа со стороны руководства. Цель — оценить готовность организации к основному аудиту. Если выявляются критические несоответствия, сертификация может быть отложена.

3. Этап 2 сертификационного аудита (основной аудит)

Аудитор на месте проверяет фактическое внедрение СМИБ. Он проводит интервью с сотрудниками, наблюдает за процессами, проверяет записи и свидетельства выполнения контрольных мер. По итогам аудита составляется отчёт, в котором фиксируются несоответствия (major и minor). Если несоответствий нет или они устранены в установленный срок, орган по сертификации выдаёт сертификат.

4. Инспекционные аудиты

После выдачи сертификата организация проходит ежегодные инспекционные аудиты (surveillance audits) для подтверждения, что СМИБ поддерживается в рабочем состоянии. Обычно они проводятся раз в год.

5. Ресертификация

Сертификат ISO 27001 действителен в течение трёх лет. По истечении этого срока необходимо пройти полный ресертификационный аудит.

Значение и применение

Сертификация по ISO 27001 имеет как внутреннее, так и внешнее значение для организации.

Внутренние выгоды

Внешние выгоды

Отрасли применения

Сертификация по ISO 27001 востребована в самых разных отраслях:

Критика и ограничения

Несмотря на широкое признание, сертификация по ISO 27001 подвергается критике по нескольким направлениям:

Сертификация в России

В России сертификация по ISO 27001 проводится как зарубежными, так и российскими органами по сертификации, аккредитованными в национальных системах аккредитации (например, Росаккредитация). Однако после 2022 года в связи с изменением геополитической ситуации и санкционными ограничениями некоторые зарубежные органы приостановили свою деятельность на территории РФ или отозвали выданные сертификаты. В ответ российские компании активизировали переход на сертификацию по национальным стандартам, в частности по ГОСТ Р ИСО/МЭК 27001–2021, который является аутентичным переводом ISO/IEC 27001:2013. Сертификаты соответствия ГОСТ Р ИСО/МЭК 27001 признаются на территории РФ и могут быть востребованы при работе с государственными заказчиками.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →