ISO/IEC 27001 — международный стандарт серии ISO/IEC 27000, устанавливающий требования к системе управления информационной безопасностью (СУИБ, ISMS — Information Security Management System). Стандарт описывает, что должна делать организация для систематической идентификации, оценки и управления рисками ИБ. Сертификация ISO 27001 — третьесторонняя аудиторская проверка соответствия стандарту аккредитованным сертификационным органом.
Что проверяет стандарт
ISO 27001 охватывает 14 контрольных областей (в редакции 2013 года, Annex A) и 93 контроля (в редакции 2022 года):
- Политики ИБ и организационные меры.
- Управление активами (инвентаризация, классификация данных).
- Физическая безопасность (контроль доступа в дата-центр).
- Управление инцидентами ИБ.
- Непрерывность бизнеса и управление рисками.
- Соответствие законодательным требованиям (в т.ч. GDPR, 152-ФЗ).
- Криптографическая защита данных.
- Управление уязвимостями и патч-менеджмент.
Стандарт не предписывает конкретные технические решения — он требует наличия и исполнения процессов. Организация сама определяет применимые контроли на основе оценки рисков.
История
ISO 27001 вырос из британского стандарта BS 7799, разработанного в 1995 году. Часть 1 BS 7799 стала ISO 17799 в 2000 году, часть 2 — ISO 27001 в 2005 году. Редакция 2013 года стала основной и широко применяемой. Актуальная редакция — ISO/IEC 27001:2022, опубликована в октябре 2022 года, уточнила 93 контроля (было 114 в версии 2013).
ISO 27001 в хостинге
Для хостинг-провайдеров и дата-центров ISO 27001 имеет значение в нескольких аспектах. Корпоративные клиенты и тендеры часто требуют наличие сертификата — без него провайдер не проходит квалификационный отбор. Сертификация подтверждает, что провайдер систематически защищает данные клиентов: физический доступ, шифрование, управление инцидентами.
Смежные стандарты: ISO 27017 (облачная безопасность), ISO 27018 (защита персональных данных в облаке), SOC 2 Type II (американский аналог, востребован для SaaS). В России схожую роль выполняют требования ФСТЭК по аттестации информационных систем.
На что обращать внимание
ISO 27001-сертификат выдаётся на конкретные объекты и процессы, указанные в области применения (scope). Уточняйте: входит ли ваш дата-центр или облачная платформа в scope сертификата провайдера. Сертификат действует 3 года с ежегодными надзорными аудитами. Проверить подлинность: через официальный реестр сертифицирующего органа (Lloyd's Register, TÜV, BSI и т.д.). ISO 27001 не гарантирует отсутствие взломов — он гарантирует наличие процессов управления рисками.
История ISO 27001
Стандарт ISO 27001 разработан на основе британского BS 7799, опубликованного в 1995 году. BS 7799-2 в 2002 году стал де-факто основой системы управления информационной безопасностью (ISMS). ISO/IEC 27001:2005 — первая официальная версия международного стандарта. ISO 27001:2013 существенно переработал структуру и актуализировал требования. ISO 27001:2022 (актуальная версия) добавил 11 новых контролей, включая управление угрозами облачных сервисов и обнаружение вредоносных программ. Переход на 2022-версию обязателен до октября 2025 года для действующих сертификатов.
ISO 27001 и хостинг
Наличие сертификата ISO 27001 у хостинг-провайдера означает: задокументированные процедуры управления инцидентами информационной безопасности, контроль физического и логического доступа к серверной инфраструктуре, регулярные внутренние и внешние аудиты, управление рисками и уязвимостями. Для клиентов с 152-ФЗ и GDPR наличие ISO 27001 у хостера облегчает документирование мер по защите персональных данных.