ISO/IEC 27001 — система управления информационной безопасностью (ISMS)
Что это за стандарт
Заголовок раздела «Что это за стандарт»ISO/IEC 27001 — международный стандарт для построения ISMS (Information Security Management System), то есть управленческой системы информационной безопасности.
Ключевая идея: стандарт описывает не набор отдельных технических мер, а повторяемую систему управления рисками ИБ.
Актуальная версия — ISO/IEC 27001:2022 (октябрь 2022). Основное изменение: 114 контролей в 14 доменах реструктурированы в 93 контроля в 4 категориях. Добавлены 11 новых контролей, отражающих современный ландшафт угроз.
Ключевые возможности
Заголовок раздела «Ключевые возможности»- Risk-based модель: решения по безопасности принимаются на основе оценки рисков.
- PDCA-цикл: планирование, выполнение, проверка и улучшение.
- SoA (Statement of Applicability): прозрачный выбор контролей и обоснование применимости.
- Доказательная модель: политики, реестры, логи, аудиты, management review.
- Сертифицируемость: можно проходить внешний аудит и подтверждать соответствие.
Структура ISO 27001:2022
Заголовок раздела «Структура ISO 27001:2022»Разделы 4-10: обязательные требования к СУИБ
Заголовок раздела «Разделы 4-10: обязательные требования к СУИБ»| Раздел | Название | Ключевые требования |
|---|---|---|
| 4 | Контекст организации | Внешние/внутренние факторы, заинтересованные стороны, scope СУИБ |
| 5 | Лидерство | Приверженность руководства, политика ИБ, роли и полномочия |
| 6 | Планирование | Оценка рисков, план обработки, SoA, цели ИБ |
| 7 | Поддержка | Ресурсы, компетенции, осведомлённость, документированная информация |
| 8 | Функционирование | Операционное планирование, выполнение оценки рисков и плана обработки |
| 9 | Оценка результативности | Мониторинг, внутренний аудит, анализ со стороны руководства |
| 10 | Улучшение | Несоответствия, корректирующие действия, непрерывное улучшение |
PDCA-цикл как основа стандарта
Заголовок раздела «PDCA-цикл как основа стандарта»| Фаза | Действия | Разделы |
|---|---|---|
| Plan | Scope, контекст, оценка рисков, политики, SoA, план обработки рисков | 4, 5, 6, 7 |
| Do | Внедрение мер контроля, обучение персонала, запуск процессов, ведение записей | 8 |
| Check | Мониторинг KPI, внутренний аудит, анализ со стороны руководства | 9 |
| Act | Устранение несоответствий, корректирующие действия, обновление рисков | 10 |
Annex A: 93 контроля (2022)
Заголовок раздела «Annex A: 93 контроля (2022)»| Категория | Контролей | Примеры |
|---|---|---|
| Organizational (Организационные) | 37 | Политики ИБ, управление активами, контроль доступа, работа с поставщиками, threat intelligence, управление инцидентами |
| People (Людские) | 8 | Проверка при найме, условия трудоустройства, осведомлённость и обучение, дисциплинарные процедуры |
| Physical (Физические) | 14 | Периметр безопасности, физический контроль доступа, защита оборудования, мониторинг, защита от стихийных бедствий |
| Technological (Технологические) | 34 | Управление привилегированным доступом, аутентификация, шифрование, DLP, мониторинг, логирование, защита от вредоносного ПО, управление уязвимостями |
11 новых контролей ISO 27001:2022
Заголовок раздела «11 новых контролей ISO 27001:2022»Версия 2022 добавила 11 контролей, которых не было в 2013. Аудиторы уделяют им особое внимание — недостаточно «подправить» старые документы, нужны отдельные процедуры и доказательства.
| ID | Контроль | Требование | Что показать аудитору |
|---|---|---|---|
| 5.7 | Threat Intelligence | Сбор и анализ threat intelligence | Список источников (NCSC, feeds), отчёты, логи блокировок |
| 5.23 | Cloud Services Security | Защита данных в облаке: от приобретения до выхода | Cloud Security Policy, Shared Responsibility Matrix, сертификаты провайдера (SOC2, ISO 27001) |
| 5.30 | ICT Readiness | Восстановление ИКТ в заданные сроки (RTO/RPO) | Планы BCP/DR с метриками, результаты тестов восстановления |
| 7.4 | Physical Monitoring | Непрерывный мониторинг физического доступа | Логи CCTV, журналы доступа в серверную, логи срабатывания датчиков |
| 8.9 | Configuration Management | Управление безопасными конфигурациями | Hardened baselines (CIS), логи change management, отчёты drift detection |
| 8.10 | Information Deletion | Удаление данных, когда они больше не нужны | Data Retention Schedule, логи удаления, сертификаты физического уничтожения |
| 8.11 | Data Masking | Псевдонимизация и анонимизация данных | Data Masking Policy, записи технической реализации, логи доступа к демаскированным данным |
| 8.12 | Data Leakage Prevention | Предотвращение несанкционированной утечки | Конфигурация DLP, логи заблокированных передач, отчёты об инцидентах |
| 8.16 | Monitoring Activities | Мониторинг аномальной активности | SIEM/Log алерты, baseline vs anomalies, регулярный обзор логов |
| 8.23 | Web Filtering | Контроль доступа к внешним сайтам | Web filtering policy, логи заблокированных категорий, URL whitelist |
| 8.28 | Secure Coding | Безопасная разработка ПО | Secure Coding Standards (OWASP), логи peer review, отчёты SAST/DAST |
SoA — Statement of Applicability
Заголовок раздела «SoA — Statement of Applicability»Главный рабочий документ ISMS. SoA — первый документ, который запрашивает аудитор.
Что фиксирует SoA
Заголовок раздела «Что фиксирует SoA»SoA содержит полный перечень 93 контролей из Annex A. По каждому контролю указывается:
- Применим / не применим — на основе оценки рисков
- Обоснование включения или исключения — правовое, бизнес-требование или риск
- Статус внедрения — реализован, частично, запланирован
- Ссылки — на политики, процедуры и доказательства
SoA — это обычно Excel-таблица. Пример структуры:
| ID | Control | Applicable? | Justification | Status | Evidence / Policy Ref |
|---|---|---|---|---|---|
| 5.1 | Policies for Information Security | Yes | Core requirement for all orgs | Implemented | Information Security Policy v2.1 |
| 5.7 | Threat Intelligence | Yes | Risk: R-014 (APT targeting) | Partially | Threat Intel Procedure (draft) |
| 8.23 | Web Filtering | No | No external web access on production — air-gapped | N/A | N/A |
Место SoA в процессе сертификации
Заголовок раздела «Место SoA в процессе сертификации»- Gap Analysis — что уже есть, что требует доработки
- Risk Assessment — идентификация угроз для активов (без этого нельзя написать SoA)
- SoA — «золотая нить»: связывает риски с конкретными контролями Annex A
- Internal Audit — проверка, что контроли работают как заявлено в SoA
- External Certification — Stage 1 и Stage 2 аудиты, где SoA — главная карта аудита
Реестр рисков (Risk Register) — примеры
Заголовок раздела «Реестр рисков (Risk Register) — примеры»Risk Register — живой документ (обычно Excel), в котором отслеживаются и управляются риски ИБ. Это основа сертификации: аудитор должен увидеть, что угрозы идентифицированы и по каждой есть план обработки.
Пошаговое построение Risk Register
Заголовок раздела «Пошаговое построение Risk Register»- Создать два листа: «Document Control» (версионирование) и «Risk Register» (операционные риски)
- Добавить версионирование: Author, Date, Reason for Change, Version Number
- Ввести идентификаторы: внутренний Reference ID + External Reference (Helpdesk tickets, номера аудитов, пункты Annex A, статьи GDPR)
- Описать активы и риски: поле «Asset» (конкретная система, данные), поле «Risk Description» (понятный сценарий угрозы)
- Разложить Threat / Vulnerability / Outcome: что угрожает → какая уязвимость → каковы последствия (финансовые потери, репутационный ущерб, штрафы)
- Оценить CIA: затронута ли Confidentiality, Integrity или Availability
- Выставить Impact и Likelihood: шкала 1-3-9, Risk Score = Impact × Likelihood
- Выбрать Treatment: Accept (принять), Transfer (передать — страховка), Reduce (снизить — внедрить контроль)
- Назначить владельца: Treatment Owner + Target Date
- Зафиксировать Residual Risk: оценка после обработки
Примеры threat scenarios по секторам
Заголовок раздела «Примеры threat scenarios по секторам»| Сектор | Пример угрозы | Лечение |
|---|---|---|
| Малый бизнес | Украденный ноутбук → утечка персональных данных клиентов | Полнодисковое шифрование (BitLocker/FileVault) |
| Тех-стартап | Утечка исходного кода через публичный GitHub-репо → кража IP | Обязательное peer review перед пушем, pre-commit scanning |
| AI-компания | Необъективные обучающие данные → репутационные и юридические риски | Регулярный bias audit датасетов |
| SaaS-провайдер | Отказ облачной инфраструктуры → недоступность сервиса для клиентов | Multi-AZ деплой, документированные RTO/RPO, ежеквартальные DR-тесты |
| Финансовая компания | Инсайдерская утечка через email → нарушение compliance | DLP на исходящий трафик, мониторинг аномалий отправки |
Матрица ответственности по контролям
Заголовок раздела «Матрица ответственности по контролям»Кто за что отвечает при внедрении ISO 27001:
| Отдел / Роль | Основные темы Annex A | Типичные доказательства |
|---|---|---|
| HR | Тема 6 — People Controls | Записи проверки сотрудников, подписанные NDA, журналы обучения, чек-листы увольнения |
| IT / DevOps | Тема 8 — Technological Controls | Системные логи, конфигурации шифрования, отчёты резервного копирования, результаты SAST |
| Facilities / АХО | Тема 7 — Physical Controls | Логи CCTV, записи обслуживания систем пожаротушения/электропитания, журналы доступа посетителей |
| Legal & Compliance | Тема 5 — Организационные контроли | Правовые реестры, контракты с поставщиками, DPIA, реестры ИС, compliance-отчёты |
| C-Suite / Руководство | Тема 5 — Governance | Протоколы Management Review Meeting (MRM), подписанное утверждение SoA |
Артефакты внедрения
Заголовок раздела «Артефакты внедрения»Обязательные документы (mandatory)
Заголовок раздела «Обязательные документы (mandatory)»Без них сертификационный аудит не пройти:
| Документ | Пункт ISO 27001 | Назначение |
|---|---|---|
| Scope ISMS | П. 4.3 | Границы сертификации: бизнес-процессы, системы, площадки |
| Политика информационной безопасности | П. 5.2 | Высокоуровневый документ, подписанный руководством |
| Реестр рисков и Risk Treatment Plan | П. 6.1.2 | Идентификация, оценка, план обработки рисков |
| Statement of Applicability (SoA) | П. 6.1.3(d) | Связь рисков с контролями Annex A |
| Результаты внутренних аудитов | П. 9.2 | Доказательство работы цикла проверок |
| Протоколы Management Review | П. 9.3 | Анализ СУИБ со стороны руководства |
Рекомендуемые документы
Заголовок раздела «Рекомендуемые документы»| Документ | Пункт | Зачем |
|---|---|---|
| Политика мобильных устройств и удалённой работы | Annex A 6.7 | BYOD и remote working |
| Политика контроля доступа | Annex A 5.15 | Кто и к чему имеет доступ |
| Реестр физических активов | Annex A 5.9 | Инвентаризация hardware и носителей |
| Business Continuity Plan (BCP) | Annex A 5.29 | Процедуры восстановления после инцидентов |
| Реестр поставщиков | — | Управление рисками третьих сторон |
| Competency Matrix | — | Навыки персонала, необходимые для ISMS |
| Information Classification Summary | — | Памятка по уровням классификации данных |
| Incident & Corrective Action Log | — | Журнал инцидентов и корректирующих действий |
Полный каталог из 20+ шаблонов — см. отдельную страницу: Каталог документов ISO 27001.
ISO 27001 и российские стандарты
Заголовок раздела «ISO 27001 и российские стандарты»ГОСТ Р ИСО/МЭК 27001
Заголовок раздела «ГОСТ Р ИСО/МЭК 27001»В России действует ГОСТ Р ИСО/МЭК 27001-2021, идентичный международной версии 2013 года. Гармонизация с версией 2022 года ещё не завершена, но организации могут руководствоваться международным текстом напрямую.
Совместимость с требованиями ФСТЭК
Заголовок раздела «Совместимость с требованиями ФСТЭК»До 60-70% контролей Annex A пересекаются с требованиями приказов ФСТЭК:
| Контроль ISO 27001 | Мера ФСТЭК | Приказ |
|---|---|---|
| A.5.15-5.18 — Управление доступом | ИАФ/УПД | Приказ №21 |
| A.8.7 — Защита от вредоносного ПО | АВЗ | Приказ №21 |
| A.8.15 — Регистрация событий | РСБ | Приказ №21 |
| A.8.8 — Управление уязвимостями | АНЗ | Приказ №21 |
| A.5.24-5.28 — Управление инцидентами | ИНЦ | Приказ №21 |
Сравнение: ISO 27001 vs приказы ФСТЭК
Заголовок раздела «Сравнение: ISO 27001 vs приказы ФСТЭК»| Аспект | ISO 27001 | Приказ ФСТЭК №239 (КИИ) | Приказ ФСТЭК №21 (ПДн) |
|---|---|---|---|
| Оценка рисков | Обязательна, методика свободная | Категорирование объектов КИИ | Определение уровня защищённости |
| Меры защиты | 93 меры (Annex A) | 239 мер (Приложение №2) | 18 мер по уровням защищённости |
| Сертификация | Сертификат ISO 27001 (CB) | Аттестат соответствия ФСТЭК | Аттестат или заключение |
| Обязательность | Добровольно | Обязательно для КИИ | Обязательно для операторов ПДн |
| Периодичность аудита | Ежегодно + ресертификация раз в 3 года | По приказу + при инцидентах | По плану оператора |
Интегрированная СУИБ
Заголовок раздела «Интегрированная СУИБ»Организации, которым нужно соответствовать и ISO 27001, и требованиям ФСТЭК, выигрывают от единой системы:
- Один реестр активов и одна оценка рисков на оба набора требований
- Единая база документов с маппингом на несколько стандартов
- Аудиты по объединённому чек-листу — меньше трудозатрат
- Целостная картина ИБ для руководства вместо разрозненных отчётов
Нужен ли ISO 27001 российской организации
Заголовок раздела «Нужен ли ISO 27001 российской организации»| Тип организации | Нужен ли? | Почему |
|---|---|---|
| Госорганы и субъекты КИИ | Как дополнение | Основное — приказы ФСТЭК. ISO 27001 как методологическая надстройка |
| Компании с международным бизнесом | Да | Признаётся в Европе, ОАЭ, Индии. Открывает рынки |
| Финансовые организации | Частично | Основной — ГОСТ Р 57580 (ЦБ). ISO 27001 для инвесторов и партнёров |
| SaaS и разработчики ПО без КИИ/ПДн | Да | Де-факто стандарт B2B-рынка. Enterprise-клиенты требуют сертификат |
| Операторы ПДн | Как усиление | 152-ФЗ и Приказ 21 — обязательно. ISO 27001 закрывает процессный уровень |
Дорожная карта внедрения
Заголовок раздела «Дорожная карта внедрения»- Определить scope — владелец ISMS, бизнес-цели, границы. Начинать с критичных систем и 1-2 площадок.
- Зафиксировать методику оценки рисков — критерии приоритизации, источники угроз (БДУ ФСТЭК, ISO 27005, MITRE ATT&CK), шкалы Impact/Likelihood.
- Провести оценку рисков — инвентаризация активов, идентификация угроз и уязвимостей, расчёт Risk Score для каждого актива.
- Сформировать SoA — на основе Risk Assessment выбрать применимые контроли, обосновать исключения, зафиксировать статус внедрения.
- Внедрить приоритетные контроли — организационные (политики/процедуры), технические (СЗИ, мониторинг, шифрование), обучение персонала.
- Настроить мониторинг и внутренний аудит — запланированные интервалы, независимый аудитор, фиксация major/minor несоответствий.
- Подготовить доказательную базу — для Stage 1 (документация) и Stage 2 (реализация) сертификационного аудита.
Сравнение с аналогами
Заголовок раздела «Сравнение с аналогами»| Подход | Роль | Когда полезен |
|---|---|---|
| ISO/IEC 27001 | Система управления ИБ + сертификация | Нужен формальный, аудируемый контур ИБ |
| ISO/IEC 38500 | Governance ИТ на уровне руководства | Нужны принципы и надзор board/C-level |
| COBIT | Детализированная модель IT-governance/control objectives | Нужна глубокая декомпозиция процессов и контроля |
| ITIL | Управление IT-сервисами | Нужна зрелость сервисных процессов, инцидентов и SLA |
| ГОСТ Р 57580 (ЦБ) | Управление ИБ в финансовых организациях | Обязателен для банков и финорганизаций в РФ |
Цены и тарифы
Заголовок раздела «Цены и тарифы»ISO/IEC 27001 — стандарт, а не SaaS-сервис. Прямого тарифа нет.
Расходы складываются из:
- Внедрение процессов — разработка документации, настройка СЗИ, обучение персонала
- Консалтинг — внешние консультанты по внедрению (опционально, можно своими силами)
- Сертификационный аудит — Stage 1 + Stage 2, оплата аккредитованному органу
- Надзорные аудиты — ежегодно между ресертификациями (каждые 3 года)
Для малого бизнеса и стартапов есть открытые инструменты (GitHub: ISO-27001-2022-Toolkit, MIT License) и бесплатные шаблоны от HighTable, UpGuard, Vanta.
Практические сценарии
Заголовок раздела «Практические сценарии»- Выход в enterprise-тендеры с требованиями к сертифицированной ИБ — сертификат заменяет длительный security assessment.
- Снижение регуляторных и операционных рисков при росте компании — от «точечной» безопасности к системной.
- Укрепление доверия клиентов к облачным и data-продуктам — особенно для SaaS и AI-компаний.
- Международная экспансия — ISO 27001 признаётся партнёрами в Европе, ОАЭ, Индии, снимает вопросы о зрелости ИБ.
- Построение интегрированной СУИБ для российских компаний — совмещение ISO 27001 с приказами ФСТЭК в единой системе.
См. также
Заголовок раздела «См. также»- Каталог документов ISO 27001: 20+ шаблонов ISMS
- Безопасность (Security) — обзор раздела
- ISO/IEC 38500:2024 — корпоративное управление ИТ
Материалы и источники
Заголовок раздела «Материалы и источники»- ISO/IEC 27001 — обзор стандарта ISO
- ISO 27001:2022 Toolkit (GitHub, MIT) — 12 открытых шаблонов
- HighTable — ISO 27001 Template Documents Guide — 20+ шаблонов, mandatory vs recommended
- HighTable — ISO 27001 Statement of Applicability — SoA + 11 новых контролей + матрица ответственности
- HighTable — ISO 27001 Risk Register Guide — пошаговая инструкция + примеры
- КиберОснова — ISO 27001: полное руководство (RU) — российский контекст, совместимость с ФСТЭК