Стандарт ISO 27001

Чтобы доказать, что компания соответствует высоким стандартам информационной безопасности, одних слов недостаточно. Необходимо получить соответствующие документы. Рассказываем, что представляет собой стандарт ISO 27001, как его оформить и можно ли сэкономить на подобной сертификации.

Стандарт ISO 27001. Фото: shutterstock.com
Евгений Царев Управляющий RTM Group Михаил Горюнов Журналист КП

Управление информационной безопасностью внутри компании – дело важное. Корпоративная информация должна быть скрыта от посторонних, чтобы организация могла защищать свои активы и ресурсы. Соответствующие требования по защите определяет стандарт ISO 27001. Вместе с экспертами выяснили, что представляет собой подобный стандарт, насколько он актуален для России сегодня и каков порядок прохождения сертификация.

Если у вас есть рекомендации и дополнения по материалу, вы можете отправить их на почту money@kp.ru. Для обсуждения вопросов рекламного сотрудничества звоните по телефону +7 (495) 637-65-16 (по будням с 9:00 до 18:00).

Что такое стандарт ISO 27001

Для начала определимся с самим понятием ISO 27001. Говоря простыми словами – это стандарт безопасности, применяемый во многих странах и доказывающий способность его обладателя защититься от утечек, кражи конфиденциальной информации и так далее. Стандарт разработали два международных учреждения – Организация по стандартизации и Электротехническая комиссия.

В ISO 27001 прописаны требования и рекомендации для системы управления информационной безопасностью. Речь идет о защите в любой форме, как электронных данных, так и бумажных или любых других. Стандарт помогает наладить конфиденциальность внутри организации и применим практически к любой сфере деятельности, потому что является нейтральным в технологическом плане и всегда оставляет право выбора технологий.

В России ISO 27001 был базовым стандартом для бизнеса несколько лет назад, однако сейчас есть много отечественных аналогов, например, идентичный международному ГОСТ Р ИСО/МЭК 27001-2021.

Полезная информация о сертификации ISO 27001

Для удобства предлагаем ознакомиться с важной информацией о сертификации ISO 27001 в нашей таблице.

Преимущество с аудитамиСоответствие этому стандарту упрощает прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000-1 – стандарту безопасности данных платежных карт/управления услугами информационных технологий.
СертификацияПроцесс сертификации включает в себя аудит внешним сертификационным органом, который оценивает соответствие системы управления требованиям стандарта.
Период действияISO 27001, как правило, действует три года. Ежегодно необходимо проходить проверки на подтверждение соответствия.
ПреимуществаСертификация дает возможное преимущество при участии в тендерах на создание системы ИБ (информационной безопасности) и проведение аудита ИБ. 
УниверсализмISO 27001 применим к любой компании, как коммерческой, так и нет, с государственной или частной формой собственности и независимо от количества сотрудников. Вовлечено и руководство – оно оценивает систему правления ИБ. 
это интересно
Стандарт ISO 13485
Зачем он нужен и как пройти сертификацию
Подробнее

Требования к предприятию по сертификации ISO 27001

Основные требования к предприятиям для прохождения сертификации ISO 27001 подробно изложены в самом стандарте, документе, состоящем из основной части и приложения А, в котором перечислены «домены» – блоки требований. В основном они больше процедурные, а не технические, так как сам стандарт рассчитан не на технологии, а на управление.

В частности, они включают в себя регулярное проведение оценки рисков ИБ с учетом актуальных угроз, проектирование и внедрение решений для управления ИБ и нивелирования рисков, внедрение эффективного процесса управления.

Сама организация же, чтобы пройти сертификацию, должна разработать и внедрить систему управления ИБ, соответствующую стандарту. Также важно провести внутренний аудит и исправить выявленные недочеты, а затем уже получить подтверждение на соответствие в сертификационном органе. 

Стоимость получения сертификата ISO 27001

Сколько стоит сертификат ISO 27001? Вопрос, на который нет однозначного ответа. Ценовой диапазон обширный, а прайс зависит от масштабов и специфики деятельности компании, а также других факторов. Например, работу CISO (руководителя по управлению информационной безопасностью в компании) учитывать или нет? Если да, то на какой срок? Он ведь должен работать всегда, а не только до момента получения сертификата.

«Мне известны и те организации, которые уложились в несколько десятков тысяч долларов, и те, кто потратил около миллиона долларов за год только на подготовку», – поделился управляющий консалтинговой компанией в области информационной безопасности RTM Group Евгений Царев.

На стоимость могут влиять в том числе размер организации, объем работ, выбранный орган сертификации. Затраты идут как на подготовку и аудит, так и на обучение персонала и внедрение систем управления. Сама стоимость оформления начинается от 9 тыс. рублей.

Преимущества внедрения сертификации ISO 27001

Сертификация ISO 27001 по большому счету – это просто подтверждение соответствия стандарта. Документ полезен в маркетинговых целях. А вот от внедрения системы эффект заметный. Компании, работающие по стандарту, обладают более зрелой информационной безопасностью.

У них есть четкий и рабочий процесс обеспечения безопасности, что при серьезном отношении к делу повышает качество бизнеса. И, соответственно, может обеспечить конкурентные преимущества.

Также к преимуществам наличия ISO 27001 можно отнести повышение эффективности в управлении информацией, снижение кибератак, соблюдение регуляторных требований и доверие партнеров и клиентов.

Как получить сертификат ISO 27001

Процесс получения сертификата ISO 27001 представляет собой несколько важных действий. Предлагаем вашему вниманию краткую пошаговую инструкцию по поводу его оформления:

Первый шаг

Поиск хорошего CISO ( Chief Information Security Officer). Нужно найти руководителя, ответственного за разработку и управление системами ИБ, чтобы он подготовил организацию к сертификации, оценил текущую ситуацию, исправил недочеты.

Второй шаг

Дать CISO ресурсы и полномочия на изменения процессов организации, обучение персонала. В частности, имеет смысл позвать сторонних консультантов, чтобы подготовить компанию к сертификации.

Третий шаг

Когда процесс будет соответствовать требованиям стандарта, нужно привлечь организацию, обладающую правом проводить сертификационный аудит (им наделяет BSI – Федеральное агентство по безопасности информации). Работы можно разбить на предаудит и сам аудит.

Четвертый шаг

Аудитор направляет свое заключение в штаб-квартиру BSI, и там уже решают, дать сертификат или нет.

это интересно
Сертификат происхождения товара 
В каких случаях он требуется и какие формы бывают
Подробнее

Рекомендации эксперта по получению сертификата ISO 27001

Управляющий консалтинговой компанией RTM Group, эксперт в области информационной безопасности Евгений Царев поделился рекомендациями по поводу получения сертификата ISO 27001. Он сделал несколько важных предупреждений.

«Во-первых, не нужно ждать быстрого результата – это история на несколько лет. Во-вторых, лучше не набивать шишки, а сразу обратиться к внешним консультантам и нанять профессионального CISO в штат.

Такой подход сбережет время, ресурсы и нервы. Есть и третий момент – нужно подготовиться к тому, что изменения добавят новые расходы».

Популярные вопросы и ответы

Специалист в области ИБ Евгений Царев ответил на самые актуальные вопросы по теме стандартизации ISO 27001.

Для чего и кому нужен сертификат ISO 27001?

Нужно понимать, зачем его получать? Сегодня в России чудовищное количество обязательных требований, и нужно ли брать на себя дополнительные обязательства – вопрос. Если вы компания, которая работает на внешний рынок и конкурирует на внешнем рынке на рыночных условиях, то в этом случае, да, можно подумать о сертификации, она идет в плюс.

Кто выдает сертификат системы менеджмента управления информационной безопасностью ISO 27001?

BSI (Bundesamt für Sicherheit in der Informationstechnik) – Федеральное агентство по безопасности информации. Также для его получения следует обращаться в независимые организации по сертификации, имеющие аккредитацию и квалификацию для проведения аудита. Они есть в каждой стране.

Как можно сэкономить на сертификации ISO 27001?

Если компания задумывается над экономией в этом вопросе – лучше не начинать процесс. Сэкономить, возможно, поможет самостоятельная оценка менеджмента ИБ требованиям стандарта и использование внутренних ресурсов организации для проведения аудита и проверок.

Обязательна ли сертификация ISO 27001?

Для России это мертвый стандарт, место для него есть, но очень небольшое. Так что она не является обязательной, если нет каких-либо контрактных требований, в которых говорится об обратном.

Как проходит сертификация по ISO 27001?

После заключения договора, оформления заявки и других формальностей, заказчик проходит сертификационный аудит (не позднее чем через полгода после старта процесса). По его результатам аудитором составляется отчет. Он может дать рекомендации о выдаче или отказе в выдаче сертификата соответствия стандарту. Окончательное решение о выдаче сертификата принимает орган по сертификации по результатам анализа отчета.
КП КП Финансы
Реклама О проекте