ISO/IEC 27001 — международный стандарт, разработанный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Устанавливает требования к созданию, внедрению, поддержанию и постоянному совершенствованию системы менеджмента информационной безопасности (ISMS — Information Security Management System). Организации, прошедшие сертификацию, подтверждают, что управляют рисками безопасности систематически, а не ситуативно.
Как работает
Стандарт состоит из двух частей. Основной текст (тело стандарта) — 10 разделов со стратегическими требованиями: контекст организации, лидерство, планирование, поддержка, операции, оценка результативности, улучшение. Все требования основного текста — обязательны.
Приложение А содержит 93 меры (controls) в редакции 2022 года, сгруппированных в 4 домена: организационные, кадровые, физические и технологические. Организация выбирает нужные меры на основе оценки рисков и документирует отказ от неприменимых мер в Заявлении о применимости (Statement of Applicability, SoA).
Цикл работы ISMS строится по модели PDCA (Plan-Do-Check-Act): сначала оценивают риски, затем внедряют меры, проводят внутренние аудиты, устраняют несоответствия и снова оценивают риски. Внешний аудит проводит аккредитованный орган сертификации. Сертификат действителен 3 года с ежегодными надзорными аудитами.
Для хостинг-провайдеров ISO 27001 охватывает: физическую безопасность дата-центра, управление доступом к инфраструктуре, процедуры резервного копирования (бэкап), управление инцидентами и реагирование на уязвимости.
История
Стандарт вырос из британского BS 7799, впервые опубликованного в 1995 году. В 1999 году BS 7799-2 описал требования к ISMS. В 2005 году ISO приняла стандарт как ISO/IEC 27001:2005. Редакция 2013 года привела структуру в соответствие с High Level Structure — унифицированной рамкой для всех стандартов менеджмента ISO. Актуальная редакция — ISO/IEC 27001:2022 — реструктурировала Приложение А с 114 до 93 мер и добавила новые домены: облачная безопасность и физическая безопасность. В России действует ГОСТ Р ИСО/МЭК 27001-2021, идентичный редакции 2013 года.
Что даёт сертификация
- Доверие клиентов — компания подтверждает уровень безопасности без прохождения аудита по запросу каждого заказчика.
- Требование тендеров — госзаказы и крупные корпоративные контракты в ЕС часто требуют ISO 27001 для поставщиков облачных услуг.
- Снижение рисков — систематическая оценка рисков выявляет уязвимости до инцидентов.
- Страховые условия — ряд страховщиков снижает премию по киберстрахованию для сертифицированных организаций.
На что обращать внимание
Сертификация ISO 27001 у хостинг-провайдера не означает автоматическую защиту данных клиента. Стандарт регулирует процессы провайдера — как он управляет своей инфраструктурой. Клиент несёт ответственность за безопасность приложений, работающих на арендованных мощностях: корректная настройка файрвола, управление паролями, обновление CMS.
Проверяйте актуальность сертификата: срок действия 3 года. Аккредитация органа сертификации важна — в России аккредитацию выдаёт Росаккредитация (ФСА), в Европе — национальные органы (UKAS, DAkkS, COFRAC).
Ключевые отличия от похожих стандартов
ISO 27001 — требования к ISMS (что должно быть). ISO 27002 — руководство по мерам безопасности из Приложения А (как внедрить). SOC 2 — американский аналог, аудит технических контролей облачных провайдеров. 152-ФЗ — российский закон с конкретными требованиями к обработке персданных; ISO 27001 не заменяет его, но помогает соответствовать техническим требованиям.