Сертификация ГОСТ Р ИСО/МЭК 27001-2021 в Новосибирске

исо мэк 27001 (международное обозначение ISO/IEC 27001) задаёт требования к системе менеджмента информационной безопасности (СМИБ). Сертификат подтверждает заказчикам, тендерным площадкам и инвесторам, что вы управляете защитой информации системно, а не держите политики «для галочки». Реестр Гарант проводит обследование, выстраивает процессы, готовит документы и сопровождает вас до сертификата в аккредитованном органе.

На первой консультации часто звучит вопрос: «Нужен ISO/IEC 27001 для тендера или клиентов, а с чего начать и сколько времени уйдёт?» Отвечаем прямо. Начинаем с gap-анализа, определяем область СМИБ, закрываем разрывы между текущими процессами и требованиями стандарта, затем готовим вас к внешнему аудиту. Сроки зависят от размера компании и зрелости процессов.

• Gap-анализ по ISO/IEC 27001, план работ и реальные сроки до аудита.
• Полный пакет документов: политика ИБ, оценка рисков, Перечень применимости (SoA), регламенты.
• Обучение сотрудников и внутренний аудит без остановки рабочих процессов.
• Сопровождение на внешнем аудите вплоть до получения сертификата.

Работаем по всей России дистанционно. Оставьте заявку или позвоните: +7 920-898-17-18, подберём план под вашу область СМИБ.

Чем грозит отсутствие системной защиты информации

Сразу проясним важный момент. ISO/IEC 27001 относится к добровольным стандартам, и его отсутствие само по себе не наказывается. Штрафы и предписания возникают не за «нет сертификата», а за нарушение обязательных требований по защите информации. Здесь работают сразу несколько законов.

Обработку персональных данных регулирует Федеральный закон № 152-ФЗ. За безопасность критической информационной инфраструктуры отвечает Федеральный закон № 187-ФЗ. Общие правила закреплены в Федеральном законе № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Ответственность за нарушения предусматривает КоАП РФ: статья 13.11 (обработка персональных данных), статья 13.12 (нарушение правил защиты информации), статья 13.14 (разглашение сведений с ограниченным доступом).

Надзор распределён между ведомствами: Роскомнадзор контролирует персональные данные, ФСТЭК России устанавливает требования по технической защите информации, ФСБ России отвечает за применение средств криптографической защиты. Сертификацию систем менеджмента проводят аккредитованные органы, а их аккредитацию подтверждает Федеральная служба по аккредитации (Росаккредитация). Национальную версию стандарта, ГОСТ Р ИСО/МЭК 27001-2021, ввёл приказ Росстандарта от 30 ноября 2021 года № 1653-ст.

Что это значит для бизнеса? Без выстроенной СМИБ растёт вероятность проверок и предписаний, а при серьёзных нарушениях регулятор вправе приостановить обработку персональных данных. Добавьте сюда срыв тендеров и контрактов, где подтверждённая система ИБ служит условием допуска, и репутационные потери после утечки. ISO/IEC 27001 не отменяет требования законов, но помогает закрыть их системно и доказательно.

Сертификация ISO 27001: что мы делаем

Услуга закрывает весь путь от первичного обследования до сопровождения на сертификационном аудите. Сначала проводим gap-анализ: сравниваем текущие процессы с требованиями стандарта и фиксируем разрывы. Дальше проектируем СМИБ под вашу деятельность, а не по универсальному шаблону.

Больше всего времени занимает разработка документов. Готовим политику и цели информационной безопасности, распределяем роли и ответственность, описываем методику и отчёт по оценке рисков, собираем реестр активов и Перечень применимости (Statement of Applicability, SoA). Сюда же входят процедуры управления инцидентами, доступом, изменениями, резервным копированием, поставщиками и непрерывностью бизнеса.

После документов обучаем сотрудников и проводим внутренний аудит, затем анализ со стороны руководства и корректирующие действия. На финале сопровождаем внешний аудит: помогаем выбрать орган по сертификации и проходим проверку вместе с вами.

Работаем дистанционно по всей России, с выездом при необходимости. С вашей стороны достаточно небольшой проектной команды. На выходе вы получаете готовность к внешнему аудиту, устранённые несоответствия, полный пакет документированных процедур и обоснованную рекомендацию по выбору органа по сертификации.

Хотите понять объём и сроки именно для вашей компании? Получите план работ и смету. Звоните: +7 920-898-17-18.

Что такое ISO/IEC 27001: коротко о главном

Стандарт описывает требования к системе менеджмента информационной безопасности, то есть к набору взаимосвязанных процессов, которые защищают данные от утечки, искажения и недоступности. В центре подхода стоит управление рисками: вы определяете, что и от чего защищаете, оцениваете угрозы и выбираете меры под реальный риск-профиль.

Структура стандарта повторяет логику любой системы менеджмента: контекст организации и заинтересованные стороны, лидерство, планирование, поддержка, операционная деятельность, оценка результативности и улучшение. Документированная информация и записи подтверждают, что процессы не на словах, а работают. Контрольные меры собраны в Приложении А (Annex A), а их подробное описание даёт смежный стандарт ISO/IEC 27002.

Зачем нужен Перечень применимости (SoA)? В этом документе вы фиксируете, какие меры из Приложения А применяете, какие нет и почему. Без него аудитор не сможет проверить логику вашего выбора, и появятся несоответствия.

На аудите проверяют соответствие обязательным требованиям стандарта, достаточность и применимость выбранных мер, проведённый внутренний аудит и анализ руководства, а главное, доказательства того, что процессы выполняются. Аудитор смотрит записи, журналы, протоколы, а не только тексты политик.

Три ловушки встречаются чаще всего:

• Миф об обязательности. ISO 27001 добровольный; обязательны требования законов и регуляторов, а стандарт помогает закрывать их системно.
• «Набор политик» без живого риск-менеджмента. Документы есть, но оценка рисков и применимость мер не выстроены, и это частая причина замечаний на аудите.
• Подмена ISO/IEC 27001 отраслевыми регуляторными документами по защите информации. Это разные рамки, и смешивать их не стоит.

Версии стандарта и ГОСТ Р: что указывать в России

Действуют две редакции международного стандарта: 2013 и 2022 года. В версии 2022-го уточнили формулировки требований и переработали структуру контролей Приложения А под актуальное руководство по мерам. При переходе с 2013 на 2022 важно заново пройти оценку рисков, обновить SoA и связанные процедуры, иначе сертификат рискует отстать от текущей редакции.

ГОСТ Р ИСО/МЭК 27001-2021 адаптирует требования к СМИБ для России и применяется наряду с международной версией. Когда что указывать? Если вы ориентируетесь на зарубежных клиентов и международные тендеры, в договоре корректно фигурирует ISO/IEC 27001:2022. Для российских закупок и работы с госзаказчиками чаще уместен ГОСТ Р ИСО/МЭК 27001-2021.

Как выбрать, по чему сертифицироваться? Решение зависит от географии ваших клиентов, требований заказчиков и аккредитаций конкретного органа по сертификации. Чем международная сертификация отличается от российской и как не ошибиться с выбором органа, мы разобрали в отдельном материале: международная сертификация ISO и её отличия от российской.

Отраслевые сценарии внедрения СМИБ

ИТ-аутсорс и разработчики ПО

Фокус на защите исходного кода и репозиториев, управлении доступами и уязвимостями, безопасных практиках разработки (DevSecOps) и контроле поставщиков. Сертификат подтверждает зрелость процессов корпоративным заказчикам, которые включают ISO/IEC 27001 в требования к подрядчикам. Для ИТ-продуктов часто добавляется оценка по схеме Common Criteria (ISO/IEC 15408), если заказчику нужна сертификация самого продукта, а не только системы менеджмента.

Финтех и платёжные сервисы

СМИБ связывают с антифрод-процессами и требованиями контрагентов, согласуют с регуляторными рамками по защите информации. Здесь критичны управление инцидентами, контроль доступа и криптографическая защита, а доказательная база нужна и банкам-партнёрам, и проверяющим.

E-commerce и логистика

На первом плане защита персональных данных покупателей, управление инцидентами и непрерывность бизнеса: сбой склада или платёжного шлюза бьёт по выручке напрямую. Сертификат становится аргументом в переговорах с крупными контрагентами и маркетплейсами.

Дата-центры и облачные провайдеры

Ключевые задачи здесь: разграничение ответственности между провайдером и клиентом, физическая и логическая безопасность, мониторинг событий безопасности. Клиенты всё чаще запрашивают подтверждённую СМИБ ещё до подписания договора.

Госсекторные подрядчики

Важно корректно сформулировать требования в техническом задании и обосновать применимость ГОСТ Р, аккуратно связав СМИБ с внутренними требованиями по защите информации. Ошибка в формулировке стандарта в ТЗ оборачивается спорами на этапе приёмки.

Как мы работаем: этапы внедрения

1. Первая консультация: уточняем цели, область СМИБ и требования клиентов или тендеров.
2. Обследование и gap-анализ по ISO/IEC 27001, план-график работ и зоны ответственности.
3. Проектирование СМИБ: политика, роли, цели, риск-менеджмент и реестр активов.
4. Документы и процессы: Перечень применимости, регламенты, обучение сотрудников.
5. Внутренний аудит и анализ со стороны руководства, затем корректирующие действия.
6. Предаудит, выбор аккредитованного органа и сопровождение внешнего аудита.
7. Поддержка после выдачи сертификата: мониторинг, улучшение, подготовка к надзорным аудитам.

Сколько это занимает по времени? Зависит от размера компании и зрелости процессов: где-то хватает нескольких недель на доработку, где-то нужен полноценный проект внедрения. Точные сроки называем после gap-анализа, когда видим реальный объём.

Получите дорожную карту внедрения ISO 27001 под вашу область. Звоните: +7 920-898-17-18.

Пример из практики

Клиент из сферы ИТ-аутсорса готовился к тендеру, где заказчик требовал ISO/IEC 27001. Политики информационной безопасности в компании были, но единой методики оценки рисков и Перечня применимости не хватало, а реестр активов вёлся фрагментарно.

Что сделали по шагам: провели gap-анализ, определили область СМИБ, собрали реестр активов, настроили методику оценки рисков и процедуру управления изменениями, подготовили SoA, обучили сотрудников и провели внутренний аудит. Затем помогли выбрать аккредитованный орган и сопроводили внешний аудит. Компания прошла проверку с минимальными замечаниями, получила сертификат и была допущена к тендеру.

Какие документы понадобились:

• Политика и цели информационной безопасности, распределение ролей и ответственности.
• Методика оценки рисков, реестр активов, отчёт по рискам и план их обработки.
• Перечень применимости (Statement of Applicability, SoA).
• Регламенты управления доступом, инцидентами, резервным копированием, поставщиками и непрерывностью.
• Протоколы обучения, отчёты внутреннего аудита и анализа со стороны руководства.

От чего зависит стоимость и сроки

Стартовая цена сопровождения по исо мэк 27001 начинается от 10 900 ₽. Итоговая стоимость считается под конкретную задачу, потому что объём работ у компании на 15 человек и у холдинга с несколькими площадками отличается в разы. Ниже перечислены факторы, которые влияют на цену и срок.

Рассчитать стоимость и сроки под вашу область СМИБ можно после короткого брифа. Звоните: +7 920-898-17-18.

Частые вопросы

Для чего вам нужен сертификат ISO?

Чаще всего сертификат нужен для участия в тендерах, выполнения требований корпоративных клиентов и инвесторов, а также для снижения регуляторных и операционных рисков. ISO/IEC 27001 подтверждает, что у вас выстроена система управления информационной безопасностью, а не собран набор политик.

У вас есть сертификация ИСО?

Мы сопровождаем внедрение СМИБ и подготовку к аудиту, помогаем выбрать аккредитованный орган по сертификации и ведём вас до получения сертификата по ISO/IEC 27001 или ГОСТ Р ИСО/МЭК 27001-2021. Сам сертификат выдаёт орган, а не консультант.

Что вы можете оформить?

Полный комплекс работ по ISO/IEC 27001: gap-анализ, документацию, обучение, внутренний аудит, предаудит и сопровождение внешнего аудита. По запросу подключаем смежные стандарты систем менеджмента, если их требуют ваши заказчики.

Это официально?

Да. Сертификат выдаёт аккредитованный орган по сертификации, аккредитацию которого подтверждает Росаккредитация. Мы готовим вас на всех этапах, чтобы вы подтвердили соответствие требованиям стандарта у выбранного органа.

Нужен ли мне ISO 27001 в России, если у нас уже есть регламенты по 152-ФЗ?

Внутренние регламенты закрывают обязательные требования закона о персональных данных. ISO/IEC 27001 выстраивает систему управления: риск-менеджмент, роли, метрики и постоянное улучшение. Это повышает зрелость процессов и упрощает доказательства для клиентов и аудиторов.

Какой стандарт указывать: ISO/IEC 27001:2013 или 2022, и как быть с ГОСТ Р?

Для международных клиентов корректно указывать ISO/IEC 27001:2022 как актуальную редакцию. Для российских закупок часто применяют ГОСТ Р ИСО/МЭК 27001-2021. Мы подскажем формулировку под вашу задачу и оформим документы в нужной версии.

Готовы перейти к внедрению ISO/IEC 27001? Реестр Гарант работает с 2015 года, проводит сертификацию через аккредитованные органы и испытательные лаборатории и сопровождает проект до результата по договору, с поддержкой после выдачи сертификата. Получите бесплатную консультацию и дорожную карту под вашу область СМИБ. Звоните: +7 920-898-17-18.