Введение
ISO/IEC 27001 – международный стандарт, устанавливающий требования к созданию, внедрению, поддержанию и непрерывному совершенствованию системы менеджмента информационной безопасности (СМИБ / ISMS). Стандарт разработан Международной организацией по стандартизации (ISO) совместно с IEC. Актуальная версия – ISO/IEC 27001:2022.
ISO 27001 – самый распространённый стандарт ИБ в мире: десятки тысяч организаций в более чем 150 странах имеют соответствующую сертификацию. В России сертификация ISO 27001 является де-факто требованием для ИТ-компаний, работающих с международными клиентами.
История и контекст
Стандарт берёт начало от британского BS 7799 (1995). ISO/IEC 27001:2005 – первая международная версия. Версия 2013 года реструктурировала стандарт в формат High Level Structure (HLS), совместимый с ISO 9001 и другими менеджмент-системами. ISO/IEC 27001:2022 сократила число контролей с 114 до 93 и реорганизовала их в 4 категории (вместо 14 доменов), добавив новые контроли по threat intelligence, облачной безопасности и конфиденциальности данных.
Структура ISO 27001:2022
Основные пункты (4–10) – обязательные требования к СМИБ:
- Контекст организации (4) – понимание заинтересованных сторон и области применения СМИБ.
- Лидерство (5) – обязательства руководства, политика ИБ.
- Планирование (6) – оценка рисков ИБ, план обработки рисков.
- Поддержка (7) – ресурсы, компетентность, документирование.
- Операционная деятельность (8) – реализация планов, управление инцидентами.
- Оценка результативности (9) – внутренний аудит, анализ со стороны руководства.
- Улучшение (10) – корректирующие действия, непрерывное улучшение.
Приложение A – 93 контроля в 4 категориях: организационные (37), персонал (8), физические (14), технологические (34).
Где применяется
- ИТ-компании и SaaS-провайдеры – сертификация как требование enterprise-клиентов.
- Банки и финтех – дополнительный уровень доверия, иногда требование регулятора.
- Аутсорсинговые компании – демонстрация зрелости ИБ клиентам.
- Операторы персональных данных – ISO 27001 + ISO 27701 для GDPR/152-ФЗ.
Преимущества и ограничения
Признание во всём мире; структурированный подход к управлению рисками; конкурентное преимущество на рынке B2B. Ограничения: высокая стоимость сертификации и поддержания; в России не заменяет требования ФСТЭК/ФСБ для ГИС и КИИ; риск формального подхода «бумажной ИБ».
Связь с другими понятиями
ISO 27001 включает требования к аудиту безопасности, патч-менеджменту, управлению инцидентами и Hardening. Дополняется стандартами серии ISO 27000: 27002 (практики), 27005 (управление рисками), 27701 (конфиденциальность). NIST CSF – альтернативный американский фреймворк.
