Где и как получить сертификат ISO 27001

Основой ISO 27001 является управление рисками: идентификация активов, угроз и уязвимостей, оценка вероятностей и воздействий, определение уровня риска, его обработка (избежание, снижение, передача, принятие) с учетом риск-аппетита. Для доказуемости требуются актуальные артефакты: политика ИБ, методика оценки и обработки рисков, заявление применимости (SoA), реестры активов и рисков, процедуры и записи по инцидентам и непрерывности (BCP/DRP). Эти документы обеспечивают прослеживаемость решений и выбор контролей, что критично на аудите.

Приложение A ISO 27001 связывается с ISO/IEC 27002:2022 и содержит обновленные домены и контролы, сгруппированные по темам (организационные, человеческие, физические, технологические) с современными требованиями к облаку, криптографии, журналированию, управлению уязвимостями и угрозной разведке.

ИСУБ легко интегрируется с ISO 9001 (качество), ISO/IEC 20000-1 (ИТ‑сервис-менеджмент), ISO 22301 (непрерывность), что позволяет выстроить единую систему менеджмента, а также с практиками DevSecOps и облачными моделями: маппинг контролей к CI/CD, IaC, секрет-менеджменту и модели разделения ответственности в облаке.

Процедура внедрения и сертификации:

Получить сертификат ISO 27001 можно после проведенного аудита в аккредитованном центр сертификации Роспромтест. Мониторинг и улучшение закрепляются через KPI/KRI, внутренние аудиты и анализ со стороны руководства с принятием корректирующих действий. Подготовка к внедрению и сертификации включает gap-анализ к требованиям ISO 27001 и Приложению A, дорожную карту закрытия разрывов, обучение и повышение осведомленности, пилотные запуски процессов/контролей. Такой подход ускоряет прохождение стадий внешнего аудита и обеспечивает устойчивую, измеримую и бизнес-ориентированную ИСУБ.

Процесс сертификации: этапы, сроки, стоимость

Сертификация ISO/IEC 27001 — это внешнее подтверждение того, что ваша СМИБ (ISMS) управляет рисками ИБ системно и измеримо. Начните с выбора органа по сертификации: проверяйте аккредитацию (например, UKAS, ANAB, DAkkS; соответствие ISO/IEC 17021-1), опыт в вашей отрасли, компетенции аудиторов, язык и географию, прозрачность расчета человеко-дней и отсутствие конфликта интересов (сертификация ≠ консалтинг). Аудит проходит в два этапа: Stage 1 (документационный) — оценка готовности, области действия (scope), методики оценки рисков, применимости контролей (SoA); Stage 2 (операционный) — проверка практического выполнения контролей, выборки записей и интервью.

Сертификат выдают после закрытия несоответствий в согласованный срок (обычно 30–90 дней). После сертификации проводятся наблюдательные аудиты ежегодно (Год 1 и Год 2) для поддержания соответствия и эффективности, а полная ресертификация — каждые 3 года.

Сроки проекта зависят от масштаба и зрелости: малый бизнес — 2–4 месяца до Stage 1 и еще 1–2 до Stage 2; средний — 4–6+ месяцев; крупный и мультисайтовый — 6–12+ месяцев.

Стоимость формируется из человеко-дней (зависят от размера, сложности, числа площадок, облаков и аутсорсинга), статуса аккредитации, поездок и валюты. Оптимизация бюджета: корректно сузить scope, объединить стандарты (например, с ISO 9001/22301) и аудит площадок, использовать гибридный формат (remote/onsite), провести внутренний pre-audit, заранее подготовить матрицу доказательств.

Отдельно учитывайте поставщиков и аутсорсинг: проводите due diligence, закрепляйте требования ИБ в договорах и SLA/DPA, выстраивайте мониторинг и периодические проверки.

Практический чек-лист подготовки и частые ошибки:

• Уточните и задокументируйте область действия (scope): не включайте лишние активы и площадки, но не упускайте критические потоки данных.
• Проведите оценку рисков с трассируемыми критериями и результатами; типичная ошибка — формальный реестр без связи с контролями и планом обработки рисков.
• Сформируйте SoA не «для галочки»: обоснуйте применимость/неприменимость каждого контроля и отразите статус внедрения.
• Подготовьте доказательства выполнения контролей: политики, регламенты, журналы событий, отчеты уязвимостей, результаты обучений, записи тестов восстановления, отчеты по инцидентам; избегайте «тепличных» артефактов, которые не отражают реальную практику.
• Управление поставщиками: due diligence до заключения договора, договорные меры (SLA, KPI, права аудита, требования к инцидентам и субпроцессорам), постоянный мониторинг и периодический пересмотр рисков.
• Запланируйте pre-audit/диагностику и отработайте выборки: определите, какие подразделения, периоды и типы записей покажете аудитору, заранее проверьте полноту и непрерывность журналов.
• Синхронизируйте внутренние аудиты и анализ со стороны руководства до Stage 1; обеспечьте доступность «владельцев» процессов на Stage 2.
• Для мультисайтов — используйте модель выборочного охвата площадок и унификацию процессов, чтобы снизить количество человеко-дней и упростить доказательства.