Что такое ISO 27001 и для чего он нужен?

ISO/IEC 27001 — международный стандарт, определяющий требования к системе управления информационной безопасностью (СУИБ). Стандарт задаёт рамки для систематического управления рисками ИБ: от инвентаризации активов и оценки угроз до внедрения мер защиты, мониторинга и непрерывного улучшения. ISO 27001 применим к организациям любого размера и отрасли. Сертификация подтверждает, что компания управляет ИБ по признанной международной методологии, что критически важно для работы с зарубежными партнёрами, участия в тендерах и соответствия регуляторным требованиям.

Чем ISO 27001:2022 отличается от версии 2013 года?

Версия 2022 года внесла два ключевых изменения. Первое — обновление Приложения A: 114 мер контроля в 14 доменах заменены на 93 меры в 4 категориях (организационные, людские, физические, технологические). Добавлены 11 новых мер, включая управление угрозами (threat intelligence), безопасность облачных сервисов, мониторинг физической безопасности, маскирование данных и DLP. Второе — каждая мера получила атрибуты: тип контроля (превентивный, детективный, корректирующий), свойство ИБ (CIA), концепция NIST CSF (Identify, Protect, Detect, Respond, Recover). Основные разделы 4–10 обновлены незначительно.

Обязателен ли ISO 27001 в России?

Формально ISO 27001 не является обязательным для большинства российских организаций. Однако гармонизированный ГОСТ Р ИСО/МЭК 27001 применяется как рекомендованный стандарт. ISO 27001 востребован компаниями, работающими с международными клиентами, финансовыми организациями (дополняет ГОСТ Р 57580.1), ИТ-компаниями и облачными провайдерами. Для субъектов КИИ и операторов ПДн стандарт служит методологической основой, а его требования совместимы с Приказами ФСТЭК 17, 21, 239 через маппинг мер контроля.

Сколько стоит сертификация по ISO 27001?

Стоимость сертификации зависит от масштаба организации, scope СУИБ и выбранного органа по сертификации. Для компании на 100–500 сотрудников ориентировочные затраты: услуги сертификационного органа (Stage 1 + Stage 2) — от 500 000 до 2 000 000 рублей; консалтинг по подготовке (если привлекается) — от 1 000 000 до 5 000 000 рублей; ежегодные надзорные аудиты — 30–50% от стоимости первичной сертификации. Ресертификация через 3 года обходится в 60–70% от стоимости первичного аудита. Самостоятельная подготовка с использованием SGRC-платформы снижает затраты на консалтинг на 40–60%.

Сколько времени занимает внедрение ISO 27001?

Сроки зависят от зрелости процессов ИБ и масштаба организации. Для компании на 200–1000 сотрудников типичный срок: gap-анализ и определение scope — 2–4 недели; разработка политик и оценка рисков — 6–10 недель; внедрение мер контроля — 8–16 недель; внутренний аудит и корректировки — 4–6 недель; накопление свидетельств функционирования — 3–6 месяцев. Итого от 9 до 18 месяцев до готовности к сертификации. Использование SGRC-платформы сокращает документационную фазу на 30–40%.

Можно ли совместить ISO 27001 с требованиями ФСТЭК и 152-ФЗ?

Да, совмещение не только возможно, но и рекомендуется. Приложение A ISO 27001 и требования Приказов ФСТЭК (17, 21, 239) имеют значительное пересечение — до 60–70% мер маппируются напрямую. Единая СУИБ позволяет вести один реестр рисков, одну базу документов и одну систему контролей, закрывающих требования нескольких стандартов одновременно. SGRC-платформа обеспечивает автоматический маппинг требований: каждая мера защиты привязывается к соответствующим пунктам ISO 27001, ГОСТ, Приказов ФСТЭК и 152-ФЗ.

Является ли ISO 27001 обязательным для российских организаций?

ISO 27001 — добровольный международный стандарт. Для большинства российских организаций обязательны требования ФСТЭК: Приказ №117 (ГИС), №21 (ИСПДн), №239 (КИИ), а также 152-ФЗ для операторов персональных данных. ISO 27001 применяют дополнительно к российским требованиям — как правило, компании с международным бизнесом или экспортёры ПО, которым сертификат нужен для работы с иностранными партнёрами. В 2026 году российские аккредитованные органы по сертификации выдают сертификаты ISO 27001 на основе ГОСТ Р ИСО 27001-2021.

ISO 27001: внедрение и сертификация СУИБ в 2026 году

Что такое ISO 27001 и зачем он нужен

ISO/IEC 27001 — международный стандарт, определяющий требования к созданию, внедрению, поддержке и постоянному совершенствованию системы управления информационной безопасностью (СУИБ). Стандарт разработан Международной организацией по стандартизации (ISO) совместно с Международной электротехнической комиссией (IEC) и является наиболее признанным в мире фреймворком для управления ИБ.

Краткая история стандарта

Предшественником ISO 27001 стал британский стандарт BS 7799, опубликованный в 1995 году. В 2005 году он был адаптирован в международный ISO/IEC 27001:2005. Крупное обновление произошло в 2013 году: стандарт привели в соответствие с единой структурой высокого уровня (Annex SL), что упростило интеграцию с другими системами менеджмента — ISO 9001 (качество), ISO 14001 (экология), ISO 22301 (непрерывность бизнеса).

Актуальная версия — ISO/IEC 27001:2022 — вышла в октябре 2022 года. Основные изменения затронули Приложение A: 114 мер контроля в 14 доменах реструктурированы в 93 меры в 4 категориях. Добавлены 11 новых мер, отражающих современный ландшафт угроз: threat intelligence, безопасность облачных сервисов, готовность ИКТ к обеспечению непрерывности бизнеса, мониторинг физической безопасности, маскирование данных, DLP и безопасная разработка. Разделы 4-10 основного текста претерпели минимальные редакционные правки.

Кому нужна сертификация

Сертификация по ISO 27001 не является юридически обязательной в большинстве юрисдикций, однако она становится де-факто требованием для определённых категорий организаций:

ИТ-компании и SaaS-провайдеры — клиенты (особенно международные) требуют подтверждения зрелости ИБ. Наличие сертификата сокращает длительность due diligence при заключении контрактов.
Финансовые организации — банки, страховые компании, платёжные системы. ISO 27001 дополняет отраслевые требования (PCI DSS, ГОСТ Р 57580.1).
Операторы персональных данных — сертификат подтверждает системный подход к защите ПДн, что востребовано в контексте GDPR и 152-ФЗ.
Субъекты КИИ — стандарт выступает методологической основой для построения защиты значимых объектов.
Компании, выходящие на зарубежные рынки — ISO 27001 снимает вопросы о зрелости ИБ при работе с европейскими, азиатскими и ближневосточными партнёрами.

Даже без формальной сертификации внедрение ISO 27001 даёт структурированный подход к управлению ИБ и готовность к прохождению аудита при необходимости.

Структура стандарта ISO 27001:2022

Стандарт состоит из двух частей: основной текст (разделы 4-10) и Приложение A с мерами контроля. Основной текст определяет требования к СУИБ, Приложение A — справочный набор мер, из которых организация выбирает применимые.

Разделы 4-10: требования к СУИБ

Раздел	Название	Ключевые требования
4	Контекст организации	Понимание внешних и внутренних факторов, определение заинтересованных сторон, scope СУИБ
5	Лидерство	Приверженность руководства, политика ИБ, распределение ролей и полномочий
6	Планирование	Оценка рисков, план обработки рисков, Заявление о применимости (SoA), цели ИБ
7	Поддержка	Ресурсы, компетенции, осведомлённость, коммуникации, документированная информация
8	Функционирование	Операционное планирование, выполнение оценки рисков и плана обработки
9	Оценка результативности	Мониторинг и измерение, внутренний аудит, анализ со стороны руководства
10	Улучшение	Несоответствия, корректирующие действия, непрерывное улучшение

Цикл PDCA как основа стандарта

ISO 27001 построен на цикле Plan-Do-Check-Act (цикл Деминга), обеспечивающем непрерывное улучшение СУИБ:

Фаза	Действия	Разделы ISO 27001
Plan (Планирование)	Определение scope, анализ контекста, оценка рисков, разработка политик, формирование SoA и плана обработки рисков	4, 5, 6, 7
Do (Реализация)	Внедрение мер контроля, обучение персонала, запуск процессов, ведение записей	8
Check (Проверка)	Мониторинг KPI, внутренний аудит, анализ со стороны руководства, оценка результативности мер	9
Act (Действие)	Устранение несоответствий, корректирующие действия, обновление оценки рисков, совершенствование процессов	10

Цикл повторяется непрерывно: каждая итерация повышает зрелость СУИБ и снижает остаточные риски. Аудиторы при сертификации оценивают именно наличие работающего цикла, а не формальное выполнение требований в конкретный момент.

Приложение A: 93 меры контроля

Версия 2022 года реструктурировала Приложение A. Вместо 14 доменов меры сгруппированы в 4 категории:

Категория	Количество мер	Примеры мер контроля
Организационные (Organizational)	37	Политики ИБ, управление активами, контроль доступа, управление поставщиками, управление инцидентами, threat intelligence, соответствие требованиям
Людские (People)	8	Проверка при найме, условия трудоустройства, осведомлённость и обучение, дисциплинарные процедуры, ответственность после увольнения
Физические (Physical)	14	Периметр безопасности, физический контроль доступа, защита офисов и оборудования, мониторинг физической безопасности, защита от стихийных бедствий
Технологические (Technological)	34	Управление привилегированным доступом, аутентификация, шифрование, DLP, мониторинг активности, защита от вредоносного ПО, управление уязвимостями, логирование, сетевая безопасность

Каждая мера в ISO 27001:2022 получила набор атрибутов: тип контроля (превентивный, детективный, корректирующий), свойства ИБ (конфиденциальность, целостность, доступность), концепция кибербезопасности по NIST CSF (Identify, Protect, Detect, Respond, Recover) и операционные возможности (governance, управление активами, защита информации и т.д.). Атрибуты упрощают маппинг мер на другие фреймворки и помогают при формировании документов ИБ.

ISO 27001 и российские стандарты

ГОСТ Р ИСО/МЭК 27001

В России действует гармонизированный ГОСТ Р ИСО/МЭК 27001-2021, идентичный международной версии 2013 года. На момент написания статьи гармонизация с версией 2022 года ещё не завершена, однако организации могут руководствоваться международным текстом напрямую. Для формальной сертификации в системе ГОСТ Р применяется действующая версия национального стандарта.

Совместимость с требованиями ФСТЭК

Приказы ФСТЭК России (17, 21, 239) и ISO 27001 преследуют общую цель — защиту информации, но имеют разные подходы. ФСТЭК использует предписывающий подход: для каждого класса защищённости определён обязательный набор мер. ISO 27001 — риск-ориентированный: организация сама выбирает меры на основе оценки рисков.

На практике пересечение значительно. До 60-70% мер Приложения A маппируются на требования Приказов ФСТЭК:

Управление доступом (A.5.15-5.18) соответствует мерам ИАФ/УПД по Приказу 21;
Защита от вредоносного ПО (A.8.7) — мерам АВЗ;
Регистрация событий (A.8.15) — мерам РСБ;
Управление уязвимостями (A.8.8) — мерам АНЗ;
Управление инцидентами (A.5.24-5.28) — мерам ИНЦ.

Двойная сертификация и интегрированная СУИБ

Организации, которым необходимо выполнять и требования ФСТЭК, и ISO 27001, выигрывают от построения интегрированной СУИБ. Единая система позволяет:

Вести один реестр активов и одну оценку рисков, покрывающую оба набора требований.
Формировать единую базу документов ИБ с маппингом на несколько стандартов.
Проводить аудиты по объединённому чек-листу, сокращая трудозатраты.
Демонстрировать руководству целостную картину ИБ вместо разрозненных отчётов по отдельным стандартам.

SGRC-платформа обеспечивает автоматический маппинг: каждая мера защиты привязывается к соответствующим пунктам ISO 27001, ГОСТ, Приказов ФСТЭК и 152-ФЗ. При обновлении любого стандарта платформа показывает, какие меры затронуты и требуют пересмотра.

ISO 27001 и российские требования: совместимость и отличия

Международный стандарт и приказы ФСТЭК решают одну задачу — защиту информации — но принципиально разными методами. ISO 27001 даёт свободу выбора мер на основе оценки рисков. ФСТЭК предписывает конкретный перечень мер для каждого класса защищённости.

Аспект	ISO 27001	Приказ ФСТЭК №239 (КИИ)	Приказ ФСТЭК №21 (ПДн)
Оценка рисков	Обязательна, методика свободная	Категорирование объектов КИИ	Определение уровня защищённости
Меры защиты	Приложение А (93 меры)	Приложение №2 к приказу №239 (239 мер)	Приложение 3 (18 мер по УЗ)
Сертификация	ISO 27001-сертификат (CBs)	Аттестат соответствия ФСТЭК	Аттестат или заключение
Обязательность	Добровольно (кроме отдельных отраслей)	Обязательно для субъектов КИИ	Обязательно для операторов ПДн
Периодичность аудита	Ежегодно + ресертификация раз в 3 года	По приказу ФСТЭК + при инцидентах	По плану оператора
Обновление стандарта	ISO 27001:2022 (актуальный)	Приказ 2017 года, с дополнениями	Приказ 2013 года, с изменениями

Практический вывод: организация, выполнившая требования приказов ФСТЭК, закрывает 60–70% мер ISO 27001 автоматически. Оставшиеся 30–40% касаются процессного уровня — управление контрактами с поставщиками, threat intelligence, управление непрерывностью — которые российские регуляторы не требуют явно, но которые делают СУИБ реально работающей.

Нужен ли ISO 27001 российской организации в 2026 году

Ответ зависит от типа организации и её рынков:

Государственные органы и субъекты КИИ — нет в качестве основного стандарта. Обязательны приказы ФСТЭК №117, №239. ISO 27001 можно применять дополнительно как методологическую надстройку, но не вместо российских требований — регулятор примет только аттестат ФСТЭК.

Компании с международным бизнесом или экспортёры ПО — да. ISO 27001-сертификат признаётся партнёрами в Европе, ОАЭ, Индии. Открывает рынки, где заказчики требуют подтверждения зрелости ИБ в качестве обязательного условия контракта.

Финансовые организации — частично. Основной стандарт — ГОСТ Р 57580 (требование ЦБ). ISO 27001 используют как дополнительное подтверждение зрелости ИБ для иностранных инвесторов и партнёрских банков.

Разработчики ПО и SaaS-компании без КИИ/ПДн — да. ISO 27001 — де-факто стандарт для выхода на B2B-рынок. Enterprise-клиенты проверяют ИБ поставщиков, и сертификат заменяет длительный security assessment.

В 2026 году российские аккредитованные органы по сертификации выдают сертификаты ISO 27001 на основе ГОСТ Р ИСО 27001-2021. Переход на сертификацию по версии 2022 года зависит от завершения гармонизации национального стандарта.

Этапы внедрения СУИБ по ISO 27001

Внедрение ISO 27001 — проект с чётко определёнными этапами. Ниже — последовательность, проверенная практикой внедрений.

Этап 1. Определение области применения (scope)

Scope определяет границы СУИБ: какие бизнес-процессы, информационные системы, площадки и подразделения охвачены. ISO 27001 (п. 4.3) требует учесть внешние и внутренние факторы (п. 4.1) и ожидания заинтересованных сторон (п. 4.2).

Типичная ошибка — слишком широкий scope при первом внедрении. Рекомендуется начинать с критичных систем (ИСПДн, объекты КИИ, ключевые бизнес-приложения) и одной-двух площадок. Scope должен быть задокументирован и доступен заинтересованным сторонам.

Этап 2. Оценка рисков ИБ

Оценка рисков — центральный процесс ISO 27001 (п. 6.1.2). Необходимо определить и утвердить методику оценки рисков, провести инвентаризацию активов в scope, идентифицировать угрозы и уязвимости для каждого актива, оценить вероятность реализации угрозы и потенциальный ущерб, определить уровень риска и сравнить его с критериями принятия.

Для идентификации угроз используются БДУ ФСТЭК, каталоги ISO 27005, MITRE ATT&CK. Результат — реестр рисков с владельцами, текущими и целевыми уровнями, и вариантами обработки: снижение (мера контроля), передача (страхование), принятие или избежание.

Модуль управления рисками в SGRC-платформе автоматизирует весь цикл: от инвентаризации активов до heat map рисков и отслеживания статуса плана обработки.

Этап 3. Заявление о применимости (SoA)

Statement of Applicability — обязательный документ ISO 27001 (п. 6.1.3, d). SoA содержит полный перечень 93 мер контроля из Приложения A с указанием для каждой: применима или нет (с обоснованием исключения), статус внедрения (реализована, частично, запланирована), ссылка на соответствующий риск или требование.

SoA — один из первых документов, которые запрашивает аудитор при сертификации. Он демонстрирует связь между результатами оценки рисков и выбранными мерами контроля.

Этап 4. Внедрение мер контроля

На основе SoA и плана обработки рисков организация внедряет выбранные меры. Работа ведётся по трём направлениям:

Организационные меры — разработка и утверждение политик ИБ, процедур, инструкций. Назначение ответственных, формирование комитета по ИБ.
Технические меры — настройка средств защиты, внедрение систем мониторинга, настройка логирования, шифрования, управления доступом.
Обучение — программа повышения осведомлённости для всех сотрудников, специализированное обучение для ИБ-команды.

Каждая внедрённая мера должна быть задокументирована: что сделано, кто отвечает, какие свидетельства функционирования собираются. Без документации аудитор не сможет подтвердить внедрение.

Этап 5. Внутренний аудит

ISO 27001 (п. 9.2) требует проведения внутреннего аудита через запланированные интервалы. Аудитор должен быть независим от проверяемых процессов. Проверяется соответствие СУИБ требованиям стандарта и собственным политикам организации, а также фактическое функционирование процессов.

По результатам аудита формируются несоответствия (major — системное нарушение, minor — единичное отклонение) и наблюдения. Несоответствия должны быть устранены с анализом коренных причин. Модуль аудита ИБ в SGRC-платформе позволяет планировать аудиты, вести чек-листы, фиксировать несоответствия и отслеживать корректирующие действия в едином пространстве.

Этап 6. Анализ со стороны руководства и подготовка к сертификации

Руководство проводит формальный анализ СУИБ (management review, п. 9.3). Входные данные: результаты аудитов, реестр рисков, метрики, статус корректирующих действий, изменения внешнего контекста. Выходные данные: решения об изменениях СУИБ, выделение ресурсов, приоритеты на следующий период.

После устранения несоответствий внутреннего аудита и проведения management review организация готова к сертификационному аудиту.

Процесс сертификации ISO 27001

Выбор органа по сертификации

Орган по сертификации должен быть аккредитован национальным органом по аккредитации (в России — Росаккредитация, международно — IAF/UKAS/DAkkS). Ключевые критерии выбора: аккредитация, отраслевой опыт, стоимость, география (наличие аудиторов в регионе), репутация на рынке.

Среди международных органов, работающих в России: BSI, TUV, Bureau Veritas, SGS, Intertek. Среди российских: органы, аккредитованные в системе ГОСТ Р.

Stage 1: документальный аудит

На первом этапе аудитор проверяет документацию СУИБ без выезда на площадку (или с коротким визитом). Объект проверки: scope, политика ИБ, методика оценки рисков, результаты оценки рисков, SoA, план обработки рисков, процедуры внутреннего аудита, протокол management review.

Аудитор оценивает готовность организации к Stage 2 и формирует перечень областей, требующих особого внимания. Между Stage 1 и Stage 2 обычно проходит 1-3 месяца — время на устранение замечаний.

Stage 2: аудит на месте

Аудитор проводит проверку на площадке организации: интервью с персоналом (руководство, CISO, администраторы, владельцы активов, рядовые сотрудники), наблюдение за процессами, анализ записей и свидетельств, выборочная проверка мер контроля из SoA.

Длительность Stage 2 зависит от scope и численности: для компании на 200-500 сотрудников — 5-10 аудиторо-дней. По результатам аудитор формирует отчёт с несоответствиями и рекомендациями. Major-несоответствия должны быть устранены до выдачи сертификата; для minor устанавливается срок (обычно 90 дней).

Надзорные аудиты и ресертификация

Сертификат ISO 27001 выдаётся на 3 года. В течение этого периода проводятся ежегодные надзорные аудиты (surveillance audits), на которых проверяется продолжающееся функционирование СУИБ, устранение ранее выявленных несоответствий и реакция на изменения (новые угрозы, изменения инфраструктуры, регуляторные требования).

Через 3 года проводится ресертификационный аудит — полная проверка, аналогичная первичной сертификации.

Ориентировочная стоимость

Бюджет сертификации складывается из нескольких компонентов: подготовка (разработка документации, внедрение мер, обучение — самостоятельно или с консультантами), сертификационный аудит (Stage 1 + Stage 2), и надзорные аудиты (ежегодно в течение 3 лет). Для среднего бизнеса (100-500 сотрудников) общие затраты на первый цикл составляют от 2 до 8 млн рублей, из которых 60-70% приходится на подготовку. Самостоятельная подготовка с использованием SGRC-платформы — наиболее эффективный способ оптимизации бюджета.

Как SGRC помогает при внедрении ISO 27001

ISO 27001 требует четырёх ключевых артефактов, которые SGRC-платформа формирует и поддерживает в актуальном состоянии:

Реестр рисков — основа п. 6.1.2 ISO 27001. Платформа КиберОснова ведёт реестр активов с привязкой угроз из БДУ ФСТЭК и ISO 27005, автоматически рассчитывает уровень риска по настраиваемой методике и строит heat map. Владельцы активов получают задачи на оценку рисков в своей зоне ответственности.

Декларация о применимости (SoA) — обязательный документ п. 6.1.3(d). В SGRC SoA формируется из маппинга: каждая из 93 мер Приложения A привязывается к рискам, требованиям ФСТЭК и 152-ФЗ. При изменении оценки риска платформа подсвечивает меры, требующие пересмотра статуса в SoA.

Программа внутренних аудитов — п. 9.2 ISO 27001. Модуль аудита ИБ хранит историю аудитов, чек-листы по разделам стандарта и Приложению A, несоответствия с классификацией major/minor. Аудиторский след доступен сертификационному органу в одном отчёте.

Управление несоответствиями — п. 10.1. Каждое несоответствие превращается в задачу с владельцем, сроком и контролем выполнения. Корректирующие действия отслеживаются до закрытия — аудитор видит полный цикл, а не статичный документ.

Подробнее о функциях платформы для ISO 27001 — на странице аудита ИБ.

Роль SGRC-платформы при внедрении ISO 27001

Внедрение ISO 27001 порождает значительный объём документации, реестров, оценок и записей. При scope свыше 50 активов и десятке политик ручное управление в Excel и Word становится узким местом: версии документов теряются, оценки рисков устаревают, статус мер контроля не отслеживается.

Автоматизация оценки рисков

SGRC-платформа автоматизирует ключевой процесс ISO 27001 — оценку и мониторинг рисков. Реестр активов ведётся в единой базе с классификацией и привязкой к владельцам. Оценка рисков выполняется по настраиваемой методике (качественная, количественная, смешанная) с автоматическим расчётом уровня риска. Heat map рисков обновляется в реальном времени. План обработки рисков с назначением ответственных и контролем сроков.

Управление документацией

ISO 27001 требует обширной документированной информации: политики, процедуры, записи. SGRC-платформа обеспечивает создание документов по шаблонам с автозаполнением данных из реестров, маршруты согласования с электронными подписями, версионирование с полной историей изменений, контроль ознакомления персонала, автоматические напоминания о пересмотре.

Формирование и отслеживание SoA

Заявление о применимости — живой документ, который обновляется при каждом пересмотре рисков. В SGRC-платформе SoA формируется автоматически на основе реестра рисков и привязанных мер контроля. При добавлении нового актива или изменении ландшафта угроз система подсвечивает меры, требующие пересмотра.

Подготовка и проведение аудитов

Модуль аудита ИБ покрывает полный цикл: планирование аудитов (график, назначение аудиторов, scope), чек-листы по разделам ISO 27001 и Приложению A, фиксация несоответствий с классификацией (major/minor), назначение корректирующих действий с контролем сроков, формирование отчёта для management review.

КиберОснова для ISO 27001

Платформа КиберОснова реализует все перечисленные функции в едином интерфейсе. Особенность платформы — встроенный маппинг требований ISO 27001, ГОСТ, Приказов ФСТЭК и 152-ФЗ: одна мера контроля привязывается ко всем применимым стандартам. Это критически важно для российских организаций, которым необходимо одновременно выполнять международные и национальные требования.

По данным практики внедрений, использование SGRC-платформы при подготовке к сертификации ISO 27001 сокращает время на документирование на 50-60%, снижает количество несоответствий на внутреннем аудите на 40% и обеспечивает руководство актуальными данными для management review без ручного сбора информации.

Типичные ошибки при внедрении ISO 27001

1. Формальный подход к документации

Организация копирует шаблоны политик из интернета или от консультанта, не адаптируя их к реальным процессам. На Stage 2 аудитор обнаруживает разрыв: политика описывает одно, а персонал делает другое. Это major-несоответствие, блокирующее выдачу сертификата.

Как избежать: каждая политика должна отражать реальный процесс. Привлекайте владельцев процессов к разработке и согласованию. Используйте документы ИБ в SGRC-платформе для контроля актуальности.

2. Оценка рисков «для галочки»

Оценка рисков проводится формально: риски оцениваются произвольно, без привязки к реальным угрозам и уязвимостям. Аудитор задаёт вопрос: «Почему этот риск оценён как средний, а не высокий?» — и ответственный не может обосновать.

Как избежать: используйте структурированную методику с чёткими критериями оценки. Привлекайте владельцев активов к идентификации угроз. Документируйте обоснование каждой оценки в реестре рисков.

3. Отсутствие свидетельств функционирования

Организация внедрила меры контроля, но не ведёт записей об их функционировании. Аудитор требует: покажите журнал пересмотра доступов за последние 6 месяцев, протоколы тестирования резервного копирования, записи об обучении — а их нет.

Как избежать: для каждой меры определите, какие свидетельства (records) собираются и с какой периодичностью. Настройте автоматический сбор свидетельств через SGRC-платформу.

4. Игнорирование контекста организации

Раздел 4 ISO 27001 требует анализа внешних и внутренних факторов, влияющих на СУИБ. Организация пропускает этот шаг или выполняет формально. На аудите обнаруживается, что scope не учитывает реальный бизнес-контекст.

Как избежать: проведите workshop с руководством и ключевыми стейкхолдерами для определения контекста. Учтите отраслевую специфику, регуляторные требования, ожидания клиентов и партнёров.

5. Scope «всё и сразу»

Организация определяет scope как «все информационные системы компании» без приоритизации. Проект растягивается на 2-3 года, команда теряет мотивацию, руководство — терпение и бюджет.

Как избежать: начните с ограниченного scope — критичные системы, одна площадка. Пройдите первый цикл PDCA за 9-12 месяцев, получите сертификат и расширяйте scope в последующих циклах.

6. Недостаточное вовлечение руководства

ISO 27001 (раздел 5) явно требует демонстрации лидерства и приверженности. Если руководство не участвует в management review, не утверждает политику ИБ, не выделяет ресурсы — аудитор зафиксирует major-несоответствие.

Как избежать: обеспечьте участие первого лица на ключевых этапах: утверждение scope и политики, management review, решения по рискам. Представляйте руководству данные через понятные дашборды, а не технические отчёты.

7. Отсутствие непрерывного улучшения

После получения сертификата организация расслабляется: оценка рисков не пересматривается, внутренние аудиты проводятся формально, корректирующие действия не выполняются. На надзорном аудите это становится очевидным.

Как избежать: встройте цикл PDCA в операционную деятельность. Определите триггеры для пересмотра рисков (изменение инфраструктуры, новые угрозы, инциденты). Используйте SGRC-платформу для автоматического отслеживания сроков и задач.

Внедрение ISO 27001 — не разовый проект, а переход к управляемой информационной безопасности. Стандарт задаёт структуру, цикл PDCA обеспечивает развитие, а SGRC-платформа автоматизирует рутину, позволяя ИБ-команде фокусироваться на анализе рисков и принятии решений.

Начните с gap-анализа текущего состояния относительно требований ISO 27001:2022. Используйте платформу КиберОснова для автоматизации оценки рисков, документации и подготовки к аудитам. Запросите демо, чтобы увидеть, как SGRC-платформа поддерживает каждый этап внедрения и сертификации ISO 27001.

ISO 27001: полное руководство по внедрению и сертификации СУИБ

Часто задаваемые вопросы