Готовим систему менеджмента информационной безопасности к сертификации: активы, риски, меры защиты, заявление применимости и доказательства для аудита.
Сертификация ГОСТ Р ИСО/МЭК 27001-2021 нужна компаниям, которые хотят подтвердить системное управление информационной безопасностью, а не просто наличие антивируса, NDA и ответственного администратора. Стандарт проверяет, как организация определяет информационные активы, оценивает риски, выбирает меры защиты, контролирует доступы, работает с инцидентами и регулярно улучшает систему менеджмента информационной безопасности.
ГОСТ Р ИСО/МЭК 27001-2021 — российский национальный стандарт по СМИБ. Он полезен ИТ-компаниям, SaaS-сервисам, дата-центрам, операторам техподдержки, интеграторам, финансовым и медицинским подрядчикам, компаниям с персональными данными и коммерческой тайной. При этом сертификат сам по себе не заменяет выполнение 152-ФЗ, требования ФСТЭК, ФСБ или договорные меры защиты. Он показывает, что управление безопасностью встроено в процессы компании и подтверждается записями.
Сертификация ГОСТ Р ИСО/МЭК 27001-2021: что проверяют
Аудитор смотрит не папку с политиками, а связь между бизнесом, рисками и мерами защиты. Если компания хранит клиентские данные в облаке, должно быть понятно, кто отвечает за доступы, как проверяются подрядчики, где фиксируются инциденты, как меняются права при увольнении и почему выбранные меры достаточны. Формулировка “у нас всё закрыто” на аудите не работает.
| Блок | Что должно быть | Типичная проблема |
|---|---|---|
| Контекст и область СМИБ | Границы системы, активы, заинтересованные стороны | В область включили всю компанию, но управляют только ИТ-отделом |
| Оценка рисков | Методика, реестр рисков, критерии приемлемости | Риски написаны общими словами без владельцев и решений |
| Заявление применимости | Выбранные меры защиты и обоснование исключений | Меры скопированы из шаблона и не связаны с рисками |
| Записи и контроль | Аудиты, инциденты, доступы, обучение, корректирующие действия | Политики есть, доказательств работы системы нет |
Кому сертификат нужен в коммерческой работе
Чаще всего ГОСТ Р ИСО/МЭК 27001-2021 нужен поставщикам, которые обрабатывают данные заказчика или получают доступ к его инфраструктуре. Это разработка ПО, сопровождение информационных систем, облачные сервисы, аутсорсинг бухгалтерии и кадров, контакт-центры, интеграторы, хостинг, техническая поддержка, аналитические платформы. В тендерах сертификат снижает количество вопросов к поставщику: заказчик видит, что безопасность управляется не разовым приказом, а циклом оценки и контроля.
Внутри компании подготовка тоже даёт эффект. На проектах мы часто находим активы, которые “ничьи”: тестовые базы с реальными данными, старые учётные записи подрядчиков, доступы бывших сотрудников, резервные копии без владельца. Сертификация становится поводом убрать эти вещи до того, как их найдёт заказчик или проверяющий.
Когда сертификат не решает задачу
Если заказчику нужна аттестация информационной системы, лицензия ФСТЭК или ФСБ, сертифицированные средства криптографической защиты, модель угроз или пакет документов по персональным данным, один сертификат ISO 27001 не закроет требование. Он может быть частью общей системы, но не подменяет обязательные процедуры.
Ещё один нюанс — международные закупки. Российский ГОСТ Р ИСО/МЭК 27001-2021 и сертификат по нему надо сверять с формулировкой в тендере. Если заказчик прямо требует ISO/IEC 27001 в определённой версии и у определённого органа сертификации, это лучше проверить до оплаты работ, а не после получения документа.
Сроки и стоимость
В карточке услуги указана стоимость от 8000 рублей и срок 25-30 рабочих дней. Такой срок подходит, когда у компании уже есть базовые политики безопасности, администраторы, учёт доступов и понятная инфраструктура. Если СМИБ нужно строить с нуля, сначала проводится диагностика: какие данные защищаем, где они лежат, кто имеет доступ, какие подрядчики участвуют, какие требования есть в договорах.
| Ситуация | Что делаем | Ориентир |
|---|---|---|
| Политики есть, риски слабые | Обновляем методику, реестр рисков и заявление применимости | 20-25 рабочих дней |
| Есть ИБ-практики, нет СМИБ | Собираем систему, роли, записи и внутренний аудит | 25-30 рабочих дней |
| Требование пришло из тендера | Сверяем формулировку, область и орган сертификации | после диагностики |
Какие документы готовят
Обычно нужны область применения СМИБ, политика информационной безопасности, методика оценки рисков, реестр активов, реестр рисков, план обработки рисков, заявление применимости, правила управления доступом, порядок реагирования на инциденты, требования к подрядчикам, программа обучения, внутренний аудит и анализ со стороны руководства.
Отдельное внимание уделяется доказательствам. Для аудита нужны не только утверждённые документы, но и записи: заявки на доступ, журналы инцидентов, результаты проверки прав, протоколы обучения, отчёты по внутреннему аудиту, корректирующие действия. Без таких записей СМИБ выглядит как набор файлов, а не как работающая система.
Частые ошибки
Первая ошибка — выбирать меры защиты до оценки рисков. В итоге компания внедряет то, что проще купить, а не то, что снижает реальные риски. Вторая — копировать заявление применимости из чужого проекта. Аудитор быстро видит меры, которые не относятся к инфраструктуре клиента. Третья — забывать про поставщиков: облако, разработчиков, подрядную поддержку, сервисы рассылок и аналитики. Если они получают доступ к данным, их нужно учитывать.
Кейс из практики
К нам пришла SaaS-компания, у которой крупный заказчик запросил подтверждение СМИБ перед продлением договора. Документы по безопасности были, но жили отдельно: политика в одной папке, доступы в админке, инциденты в чате, подрядчики в договорах без требований к ИБ. На вопрос “какие активы самые критичные” разные руководители давали разные ответы.
Мы начали с карты активов и потоков данных. После этого обновили методику рисков, составили заявление применимости, настроили простую проверку доступов и оформили порядок работы с инцидентами. Самым неприятным открытием для клиента стали старые тестовые аккаунты с доступом к данным. Их закрыли ещё до аудита, и это было важнее любой красивой политики.
Как работает «Реестр Гарант»
Мы сначала выясняем, зачем нужен сертификат: тендер, договор с заказчиком, внутренний аудит, подготовка к проверке или выход на новый рынок. Затем смотрим инфраструктуру, данные, договоры, подрядчиков и уже существующие документы. После диагностики готовим недостающие материалы, помогаем собрать записи и пройти сертификационный аудит без лишней теории.
Для оценки по ГОСТ Р ИСО/МЭК 27001-2021 можно связаться с «Реестр Гарант» по телефону +7 920-898-17-18, написать в WhatsApp или Telegram, либо отправить вводные на reestrgarant@mail.ru. В первом сообщении лучше указать сферу деятельности, требования заказчика, число сотрудников с доступом к данным и есть ли уже документы по ИБ.
Частые вопросы
ГОСТ Р ИСО/МЭК 27001-2021 обязателен по закону?
Нет, это добровольная сертификация системы менеджмента информационной безопасности. Обязательной она становится через договор, тендер, внутренний стандарт холдинга или требование заказчика.
Сертификат заменяет документы по персональным данным?
Нет. Он подтверждает наличие системы управления информационной безопасностью, но документы по персональным данным, модель угроз, локальные акты и технические меры нужно проверять отдельно.
Можно ли сертифицировать только один сервис?
Да, если область применения описана корректно. Часто сертифицируют конкретный SaaS, услугу техподдержки, дата-центр, процесс разработки или подразделение, работающее с данными заказчика.
Что такое заявление применимости?
Это документ, где компания показывает, какие меры защиты выбраны, почему они применимы или исключены, и как они связаны с рисками. На аудите его смотрят очень внимательно.
Требования и условия
- определить область применения системы менеджмента информационной безопасности;
- провести оценку рисков и подготовить план обработки рисков;
- сформировать заявление применимости и обосновать выбранные меры защиты;
- собрать записи по доступам, инцидентам, обучению, внутреннему аудиту и корректирующим действиям.
Необходимые документы
- карточка компании и описание сертифицируемой области;
- реестр активов, схема данных, перечень систем и подрядчиков;
- политика ИБ, методика рисков, реестр рисков, заявление применимости;
- записи по доступам, инцидентам, обучению, внутренним аудитам и анализу руководства.
