Что такое ISO 27001 и зачем он нужен: полное руководство
ISO 27001 — самый распространённый в мире стандарт информационной безопасности. По данным ISO Survey 2023, более 70 000 организаций в 150 странах имеют действующий сертификат. Но для большинства малых компаний важен не сам сертификат, а то, что внедрение стандарта снижает риск утечек, помогает выполнить требования 152-ФЗ и становится весомым аргументом при работе с крупными заказчиками.
Что такое ISO 27001
ISO/IEC 27001 — международный стандарт из семейства ISO/IEC 27000, разработанный ISO (Международной организацией по стандартизации) совместно с IEC. Последняя актуальная редакция — ISO/IEC 27001:2022, опубликована в октябре 2022 года.
Стандарт устанавливает требования к созданию, внедрению, поддержанию и непрерывному совершенствованию системы управления информационной безопасностью (СМИБ) — Information Security Management System (ISMS).
СМИБ — совокупность политик, процедур, руководящих принципов и связанных с ними ресурсов и действий, совместно управляемых организацией для достижения целей защиты информации. Это не набор технических решений, а процессный подход к управлению рисками.
Три столпа информационной безопасности по ISO 27001
Стандарт определяет информационную безопасность через три свойства информационных активов:
- Конфиденциальность (Confidentiality) — информация доступна только тем, кто авторизован. Персональные данные клиентов видит только менеджер, работающий с этим клиентом, — не весь офис.
- Целостность (Integrity) — информация точна, полна и не изменена несанкционированно. Финансовые данные не могут быть изменены без следа в журнале аудита.
- Доступность (Availability) — информация доступна авторизованным пользователям когда нужно. Сайт работает, база данных отвечает, резервные копии восстанавливаются.
Цикл PDCA — основа управления по ISO 27001
ISO 27001 строится на цикле Деминга (PDCA), который применяется ко всем процессам СМИБ:
Приложение A: 93 контроля информационной безопасности
Приложение A стандарта (нормативное) содержит 93 контроля, сгруппированных в 4 темы. Организация не обязана внедрять все — только те, что актуальны по результатам оценки рисков:
В редакции 2022 года добавлены 11 новых контролей, которых не было в версии 2013 года: угрозы ИБ (threat intelligence), безопасность облачных сервисов, управление конфигурациями, обнаружение вредоносного ПО, маскирование данных, защита информации при удалённой работе и другие.
ISO 27001 и 152-ФЗ: как они соотносятся
Это не конкурирующие, а взаимодополняющие документы:
| Параметр | ISO 27001 | 152-ФЗ |
|---|---|---|
| Характер | Добровольный стандарт | Обязательный закон |
| Область охвата | Вся информационная безопасность организации | Только персональные данные |
| Кто контролирует | Органы по сертификации (аккредитованные) | Роскомнадзор, ФСТЭК, ФСБ |
| Санкции за несоответствие | Отзыв сертификата | Штрафы до 500 млн руб., уголовная ответственность |
| Пересечение | Требования по оценке рисков, политики ИБ, меры защиты, управление инцидентами — во многом совпадают | |
Компания, внедрившая ISO 27001, автоматически выполняет значительную часть требований 152-ФЗ: политика обработки ПДн, меры технической защиты (ст. 19 152-ФЗ), управление инцидентами (ст. 21.1), контроль доступа. Это существенно снижает стоимость compliance по обоим документам.
Зачем ISO 27001 малому бизнесу
Сертификат ISO 27001 не обязателен ни для кого. Но внедрение его требований даёт конкретные результаты:
Снижение риска утечек
По данным IBM Cost of a Data Breach Report 2024, организации с внедрённой СМИБ в среднем тратят на 45% меньше на ликвидацию последствий утечек, чем те, у кого СМИБ нет. Контроли стандарта закрывают именно те уязвимости, которые атакующие эксплуатируют чаще всего.
Доверие клиентов и партнёров
Крупные корпоративные заказчики и государственные структуры всё чаще включают ISO 27001 как требование в тендерную документацию. SaaS-компании, стремящиеся к выходу на международный рынок, используют сертификат как доказательство серьёзного отношения к безопасности данных клиентов.
Страховая защита
Страховщики киберрисков предлагают более низкие ставки для компаний с сертификатом ISO 27001 — задокументированное управление рисками снижает вероятность страхового случая.
Процесс сертификации: три этапа
- Подготовка (6–18 месяцев). Оценка текущего состояния (GAP-анализ), разработка политик и процедур, внедрение контролей, обучение сотрудников, внутренний аудит и анализ со стороны руководства.
- Сертификационный аудит (2 этапа). Этап 1 — документарный аудит: проверка политик и процедур без визита на объект. Этап 2 — аудит на месте: проверка реального функционирования СМИБ, интервью с сотрудниками, технический осмотр.
- Поддержание сертификата (ежегодно). Надзорные аудиты каждые 12 месяцев, ресертификация каждые 3 года. СМИБ должна непрерывно работать, а не быть «одноразовым проектом».
ISO 27001 без сертификата: промежуточный подход
Для большинства малых бизнесов оптимальный путь — внедрение требований без формального аудита. Это даёт все операционные преимущества за меньшую стоимость:
- Разработать политику информационной безопасности
- Провести оценку рисков и задокументировать результаты
- Внедрить применимые контроли из Приложения A
- Установить процедуры управления инцидентами
- Обучить сотрудников основам информационной безопасности
- Проводить внутренние проверки раз в год
Privadoc предоставляет пакет документов ISO 27001 отдельным тарифом — политики, процедуры и матрицу контролей, адаптированные под требования ISO/IEC 27001:2022 и 152-ФЗ одновременно. ISO Базовый включает 8 политик ИБ, ISO Полный — 13 документов.
Документы ISO 27001 + 152-ФЗ под ключ
Политика ИБ, управление рисками, доступом и инцидентами — 8 или 13 документов в редактируемом формате с вашими реквизитами.
Получить пакет ISO 27001 — от 1 490 ₽Часто задаваемые вопросы
ISO/IEC 27001:2022 — международный стандарт системы управления информационной безопасностью. Устанавливает требования к созданию, внедрению и совершенствованию СМИБ. Применяется к организациям любого размера. Более 70 000 компаний в 150 странах имеют действующий сертификат.
Нет, сертификация добровольна. Сертификат нужен только если это требование контрактов с крупными заказчиками или государственными структурами. Большинство малых бизнесов получают операционные преимущества от внедрения требований стандарта без формального аудита.
152-ФЗ — обязательный российский закон о персональных данных. ISO 27001 — добровольный международный стандарт о безопасности информации в целом: охватывает не только ПДн, но и коммерческую тайну, финансовые данные, интеллектуальную собственность. Внедрение ISO 27001 существенно облегчает выполнение 152-ФЗ.
СМИБ (система управления информационной безопасностью) — совокупность политик, процедур и мер, направленных на управление рисками для информации. Строится на цикле PDCA: планирование → реализация → проверка → улучшение. Это процессный подход, а не набор технических средств.
Для малого бизнеса (10–50 человек) сертификационный аудит обходится от 300 до 700 тыс. руб. Ежегодные надзорные аудиты — 30–50% от первоначальной стоимости. Подготовка документации без аудита — от 50 тыс. руб. Privadoc предоставляет пакет документов для самостоятельного внедрения от 1 490 руб. (ISO Базовый, 8 политик ИБ).