Информационная безопасность и комплексное управление ИТ в медицинской организации: стандарты, интеграция и стратегия развития
Информационная безопасность и комплексное управление ИТ в медицинской организации: стандарты, интегрированный подход и стратегия развития
Медицинская информация — одна из наиболее чувствительных категорий данных о человеке. Она затрагивает здоровье, личную жизнь и финансовую историю пациента одновременно. При этом российские МО работают в условиях нарастающего регуляторного давления: требования к защите персональных данных ужесточились, обязательства по ЕГИСЗ расширились, законодательство о КИИ претерпело существенные изменения с 1 сентября 2025 года. Параллельно растут угрозы — здравоохранение стабильно входит в число наиболее атакуемых отраслей.
Главное, что должен вынести читатель: этот материал даёт руководству и специалистам МО системное понимание нормативной среды, международных стандартов и практики их применения, а также показывает, как управление ИБ и ИТ-инфраструктурой встраивается в общую систему менеджмента качества медицинской организации.
📌 Для кого этот материал
Для четырёх ключевых групп. Высшему руководству — чтобы понять управленческую и правовую значимость темы и принять осознанные решения о стратегии. ИТ-службам — чтобы видеть место технических решений в нормативном и управленческом контексте. Руководителям подразделений — чтобы понимать, как требования ИБ касаются их процессов. Службам качества — чтобы встроить управление информационной безопасностью в существующую СМК и ВКК.
⚠️ О достоверности
Все нормативные ссылки и факты о стандартах проверены по официальным источникам: мы сверяли тексты федеральных законов, поднимали нормативные акты ФСТЭК, ФСБ и Минздрава, читали официальный сайт ISO. Данные актуальны на начало 2026 года. Там, где приводится авторская интерпретация практики, это явно обозначено.
Часть 1. Российская нормативная база: обязательный контур ИБ для МО
Информационная безопасность медицинской организации в России регулируется несколькими взаимосвязанными блоками законодательства. Понимание их логики важнее, чем механическое перечисление реквизитов.
1.1. Три уровня обязательных требований
Уровень 1: Защита персональных данных
Медицинские данные — специальная категория персональных данных (ст. 10 152-ФЗ). Это наиболее жёстко регулируемая категория. Любая МО, обрабатывающая сведения о состоянии здоровья пациентов, является оператором персональных данных и несёт весь объём обязательств по 152-ФЗ. Постановление Правительства № 1119 устанавливает, что ИСПДн, обрабатывающие медицинские данные, должны обеспечивать не ниже 3-го уровня защищённости. Приказ ФСТЭК № 21 определяет конкретные организационные и технические меры защиты для таких систем. Приказ ФСБ № 378 устанавливает требования к криптографической защите информации. Актуализация: с 30 мая 2025 года действуют оборотные штрафы за повторную утечку персональных данных — для организаций это 1–3% годовой выручки (ст. 13.11 КоАП РФ), что кардинально меняет цену ошибки в этом контуре.
Уровень 2: Требования ЕГИСЗ
МО, подключённые к ЕГИСЗ (а к ней обязаны подключиться все МО, в том числе частные), должны выполнять требования ИБ, установленные для ГИС субъекта РФ. Нормативная база: 323-ФЗ (ст. 91.1), Постановление Правительства № 555, Приказ ФСТЭК № 17. Способ подключения к ЕГИСЗ (через РМИС региона, через аттестованного облачного оператора или напрямую) определяет объём требований, которые ложатся непосредственно на МО. При подключении через РМИС часть ответственности несёт оператор системы; при прямом подключении — в полном объёме МО.
Уровень 3: КИИ (критическая информационная инфраструктура)
187-ФЗ «О безопасности КИИ» прямо относит здравоохранение к сферам КИИ. Это означает, что любая МО, имеющая в своём владении информационные системы, функционирующие в сфере здравоохранения, является субъектом КИИ. С 1 сентября 2025 года вступили в силу обновлённые требования (Госдума приняла законопроект в третьем чтении 25 марта 2025 года, президент подписал его как Федеральный закон № 58-ФЗ от 7 апреля 2025 года). Для значимых объектов КИИ действуют требования Приказа ФСТЭК № 239. Ключевое изменение: отраслевой перечень типовых объектов КИИ для здравоохранения утверждён распоряжением Правительства РФ от 26 февраля 2026 года № 360-р — из почти 400 позиций общего перечня 12 относятся непосредственно к сфере здравоохранения (МИС, РМИС, ГИСЗ субъектов РФ, системы управления медоборудованием).
| Нормативный акт | Регулятор | Ключевые требования для МО |
|---|---|---|
| 152-ФЗ «О персональных данных» | Роскомнадзор | Обеспечение защиты ПДн пациентов и персонала; уведомление об утечках; соответствие уровню защищённости |
| ПП РФ № 1119 | Правительство РФ | Классификация ИСПДн и определение уровня защищённости: для медицинских данных — не ниже УЗ-3 |
| Приказ ФСТЭК № 21 | ФСТЭК России | Организационные и технические меры защиты в ИСПДн: управление доступом, аудит, антивирусная защита, защита от НСД, обнаружение вторжений и другие |
| Приказ ФСБ № 378 | ФСБ России | Требования к использованию криптографических средств защиты информации при обработке ПДн |
| 149-ФЗ «Об информации, информационных технологиях и о защите информации» | Минцифры / ФСТЭК | Общая рамка для защиты информации в ГИС; для МО, взаимодействующих с ЕГИСЗ, — применяются требования к защите ГИС |
| Приказ ФСТЭК № 17 | ФСТЭК России | Требования по защите информации, содержащейся в ГИС; применяется к ГИСЗ субъектов РФ, с которыми взаимодействует МО |
| 187-ФЗ «О безопасности КИИ» (ред. от 01.09.2025) | ФСТЭК России, ФСБ России | Обязанность категорирования объектов КИИ; для значимых объектов — создание системы защиты по Приказу ФСТЭК № 239; переход на отечественное ПО |
| Приказ ФСТЭК № 239 | ФСТЭК России | Требования по обеспечению безопасности значимых объектов КИИ; четыре блока мер: организационные, технические, поддерживающие, оценочные |
| Приказ Минздрава № 911н | Минздрав России | Требования к МИС и порядку взаимодействия с ЕГИСЗ; смежный с ИБ документ в части обеспечения целостности и достоверности медицинских данных |
📎 Практический вывод по нормативной базе
Большинство МО одновременно являются операторами ПДн, участниками ЕГИСЗ и субъектами КИИ. Это означает пересечение трёх регуляторных контуров с разными регуляторами (Роскомнадзор, ФСТЭК, ФСБ), разными системами проверок и разными последствиями за нарушения. Выстраивать ИБ «под один закон» — методологически неверно. Нужна единая система, охватывающая все три контура и управляемая из одной точки.
Часть 2. Международные стандарты: добровольный контур с управленческой ценностью
Российская нормативная база определяет минимальные обязательные требования — «нижнюю границу» соответствия. Международные стандарты ИБ помогают выстроить систему управления, а не просто «закрыть» регуляторные требования. Разница существенная: соответствие требованиям можно сымитировать документами; система управления — работает или не работает.
| Стандарт | Назначение | Применимость к МО |
|---|---|---|
| ИСО/МЭК 27001:2022 «СМИБ. Требования» | Первый сертифицируемый международный стандарт на систему менеджмента информационной безопасности. Третье издание опубликовано 25 октября 2022 года. Построен по единой структуре стандартов ИСО на системы менеджмента (Harmonized Structure — так она официально называется с 2021 года; как ИСО 9001, ИСО 14001), что обеспечивает интеграцию с другими системами менеджмента. Охватывает 93 меры безопасности в 4 тематических блоках | Универсальный стандарт для любой организации, обрабатывающей чувствительную информацию. Для МО — базовая рамка для управления ИБ, интегрируемая с СМК по ИСО 9001 и ИСО 7101:2023 |
| ИСО/МЭК 27002:2022 «Меры обеспечения информационной безопасности» | Практическое руководство по выбору и реализации мер ИБ. Сопутствующий документ к ИСО/МЭК 27001. Содержит детальные рекомендации по каждому из 93 контролей | Практический инструмент для ИТ-служб и специалистов ИБ: что именно делать для выполнения каждого требования |
| ИСО 27799:2025 «Информационная безопасность в здравоохранении» | Отраслевое руководство по применению ИСО/МЭК 27002 в здравоохранении. Третье издание отменяет и заменяет версию 2016 года (а также смежный ИСО/TS 14441:2013), приведено в соответствие со структурой ИСО/МЭК 27002:2022. Технологически нейтральный документ, охват расширен на программное обеспечение медицинских изделий. Вместе с ИСО/МЭК 27002 формирует полное описание требований к ИБ в здравоохранении: первый отвечает «что», второй — «как» | Специализированная «медицинская линза» для ИСО/МЭК 27001/27002. Учитывает специфику здравоохранения: конфиденциальность медицинских записей, клиническая целостность данных, непрерывность доступа при угрозах жизни пациента, телемедицина, медицинские изображения |
| ИСО/МЭК 27005:2022 «Управление рисками ИБ» | Обновлено в 2022 году. Методология оценки и обработки рисков ИБ, основанная на ИСО 31000. Описывает процесс идентификации активов, угроз, уязвимостей и оценки вероятности и последствий реализации рисков | Методологическая основа для формирования Реестра рисков ИБ МО; обязательна для корректного выполнения требований ИСО/МЭК 27001 |
| ИСО/МЭК 27701:2019 «Расширение СМИБ для управления конфиденциальностью» | Расширение ИСО/МЭК 27001/27002 для управления персональными данными и конфиденциальностью. Учитывает требования GDPR и аналогичных регуляций | Полезен МО для системного управления защитой ПДн пациентов в рамках СМИБ, не создавая отдельной структуры |
📎 Логика применения стандартов
ИСО/МЭК 27001:2022 — сертифицируемый стандарт на систему управления. ИСО/МЭК 27002:2022 — практическое руководство по реализации мер. ИСО 27799:2025 — отраслевая адаптация 27002 для здравоохранения. ИСО/МЭК 27005:2022 — методология оценки рисков. Применяются совместно: 27001 задаёт структуру, 27002 и 27799 — конкретные меры, 27005 — процесс управления рисками. Российские требования (152-ФЗ, КИИ) и международные стандарты не противоречат, а дополняют друг друга — при правильной архитектуре системы. Здесь есть нюанс, о котором часто забывают: национальный ГОСТ Р ИСО/МЭК 27001-2021 (приказ Росстандарта № 1653-ст) идентичен международной редакции 2013 года, а не 2022-й — при выборе схемы сертификации в России это стоит уточнять отдельно, до подписания договора с органом по сертификации.
Часть 3. Специфика ИБ в здравоохранении: почему стандартный подход недостаточен
Здравоохранение — не «просто ещё одна отрасль» для целей информационной безопасности. У него есть несколько принципиальных особенностей, которые определяют как характер угроз, так и требования к мерам защиты.
Недоступность данных = угроза жизни
В большинстве отраслей недоступность данных — это операционный или финансовый ущерб. В здравоохранении отсутствие доступа к истории болезни, результатам анализов или назначениям может привести к ошибке в лечении. ИСО 27799:2025 явно указывает: в здравоохранении доступность данных имеет критическое значение, и меры ИБ не должны блокировать экстренный доступ к клинической информации даже при инциденте безопасности.
Медицинские данные — высокоценная цель
По данным исследований российских компаний в области ИБ, в структуре похищенных данных при атаках на здравоохранение персональные данные пациентов и медицинская информация занимают лидирующие позиции. Медицинская запись на чёрном рынке стоит существенно дороже, чем данные банковской карты — в ней содержатся идентифицирующие данные, история заболеваний, страховые сведения. Это устойчиво привлекает злоумышленников.
Сложная инфраструктура с медицинскими устройствами
Парк техники МО выходит далеко за пределы компьютеров и серверов: сюда входят МРТ-аппараты с сетевыми интерфейсами, инфузионные помпы, мониторы пациентов, системы PACS, медицинские изделия с ИИ. Многие из них работают на устаревших ОС, имеют фиксированный жизненный цикл без возможности обновления. Управление безопасностью таких устройств принципиально отличается от управления корпоративными ИС.
Персонал не является ИБ-специалистами
Медицинский персонал — профессионалы в клинической области, но не в информационной безопасности. При этом именно они являются основными пользователями систем, обрабатывающих медицинские данные. Баланс между удобством работы и требованиями ИБ — критическая управленческая задача: слишком жёсткие ограничения снижают эффективность медицинской помощи, слишком мягкие — создают уязвимости.
Часть 4. Интегрированная система управления: ИБ, качество и ВКК в единой логике
Российские МО традиционно воспринимают ИБ и управление качеством как два независимых направления деятельности: первое — «для ИТ-службы», второе — «для службы качества». Это ошибочная организационная модель, которая ведёт к дублированию работ, конфликту требований и образованию зон ответственности, за которые никто не отвечает.
Международные стандарты, построенные по единой Harmonized Structure, изначально разработаны с расчётом на интеграцию. ИСО 9001 (СМК), ИСО/МЭК 27001 (СМИБ), ИСО 7101:2023 (СМК медицинских организаций), ИСО/МЭК 42001:2023 (управление ИИ) — все используют единый управленческий цикл PDCA, единую структуру разделов и единый подход к управлению рисками. Тот же принцип лежит в основе оценки цифровой зрелости по ИСО/МЭК 38503 и EFQM — это ещё один инструмент для того же интегрированного взгляда, но со стороны управления ИТ в целом, а не только ИБ. Это не случайность: ИСО целенаправленно выстраивает семейство стандартов как интегрируемую систему.
| Элемент системы | ИСО/МЭК 27001 (СМИБ) | ИСО 7101:2023 (СМК МО) | Приказ № 785н (ВКК) |
|---|---|---|---|
| Управление рисками | Оценка рисков ИБ (угрозы, уязвимости, активы) | Управление рисками для безопасности пациентов | Выявление нежелательных событий, управление инцидентами |
| Управление доступом | Контроль доступа к информационным системам (мера A.5–A.8) | Управление доступом к медицинской информации с позиций качества помощи | Не регулирует напрямую, но инциденты доступа — предмет ВКК |
| Инциденты | Управление инцидентами ИБ: фиксация, расследование, устранение | Управление нежелательными событиями; сообщение о нежелательных событиях как элемент безопасности пациентов | Комиссия по разбору нежелательных событий; CAPA |
| Документация | Политика ИБ, Реестр рисков, Заявление о применимости, процедуры | Документированные процессы жизненного цикла медицинских услуг | Регламенты и журналы ВКК, план внутренних аудитов |
| Внутренний аудит | Аудит СМИБ по ИСО/МЭК 27007 | Внутренний аудит СМК | Плановые и внеплановые проверки ВКК |
| Анализ со стороны руководства | Обязательный элемент СМИБ; результаты — решения об улучшении | Анализ со стороны высшего руководства по СМК | Отчёты ВКК руководству МО |
Практический вывод: значительная часть управленческой работы по ИБ, качеству и ВКК пересекается по содержанию. Построение трёх независимых систем с тремя независимыми наборами документов и тремя независимыми аудитами — это избыточные затраты. Интегрированная система менеджмента (ИСМ), охватывающая ИБ, качество и ВКК в едином управленческом цикле, даёт значительный эффект: единый реестр рисков, единый цикл внутреннего аудита, единый анализ со стороны руководства.
Часть 5. Разработка ИТ-стратегии медицинской организации: от аудита к программе действий
ИТ-стратегия МО — это не список закупаемых систем. Это управленческий документ, который описывает, как информационные технологии и управление ИБ поддерживают стратегические цели МО, выполнение нормативных требований и обеспечение качества медицинской помощи. Разработка стратегии начинается с аудита текущего состояния.
Алгоритм разработки ИТ-стратегии
Аудит текущего состояния ИТ и ИБ
Первый шаг — понять, где организация находится сейчас. Аудит охватывает пять направлений. Во-первых, инвентаризация ИТ-активов: все системы, сети, устройства, включая медицинское оборудование с сетевыми интерфейсами. Во-вторых, оценка соответствия нормативным требованиям: чек-лист по 152-ФЗ, ЕГИСЗ, 187-ФЗ. В-третьих, инвентаризация угроз: актуальные угрозы для конкретного типа МО (программы-вымогатели, утечки ПДн, атаки на веб-интерфейсы МИС). В-четвёртых, оценка уровня зрелости процессов ИБ: есть ли политика ИБ, работает ли она, понимает ли её персонал. В-пятых, выявление критических зависимостей: от каких ИТ-систем зависит оказание медицинской помощи в режиме реального времени.
Оценка рисков: информационные активы и угрозы МО
На основе результатов аудита проводится оценка рисков по методологии ИСО/МЭК 27005:2022 (или аналогичной) с учётом отраслевой специфики ИСО 27799:2025. Для каждого значимого актива (МИС, ПАКС, ЛИС, ЕГИСЗ-интеграция, медицинские устройства) определяются угрозы, уязвимости, вероятность реализации и возможный ущерб — как для ИБ, так и для безопасности пациентов.
Критически важный принцип здравоохранения, сформулированный в ИСО 27799:2025: меры ИБ должны быть откалиброваны с учётом последствий для клинической деятельности. Полная блокировка доступа к МИС в случае инцидента может быть опаснее самого инцидента.
Разработка политики ИБ и Заявления о применимости
Политика ИБ — фундаментальный управленческий документ, который закрепляет цели, принципы и обязательства МО в области информационной безопасности. Заявление о применимости (Statement of Applicability, SoA) — документ, в котором для каждого из 93 контролей ИСО/МЭК 27001:2022 обосновывается включение или исключение и описан способ реализации. Эти документы одновременно выполняют нормативную функцию (демонстрация выполнения требований регуляторам) и управленческую (фиксация принятых решений в области ИБ).
Определение целевой архитектуры ИТ и ИБ
На основе результатов аудита и оценки рисков определяется целевое состояние ИТ-инфраструктуры и системы защиты информации. Для государственных МО здесь принципиально важен вопрос импортозамещения: с 2025 года требования к переходу на отечественное ПО на объектах КИИ существенно ужесточились. Переход требует планирования: замена МИС, смена операционных систем, миграция с иностранных СУБД — сложные, длительные и дорогостоящие проекты. При выборе конкретных технических решений для значимых объектов КИИ стоит опираться и на критерии оценки безопасности ИТ по ИСО/МЭК 15408 (Common Criteria) — это отдельная система оценки конкретных программно-технических средств, а не организации в целом.
Разработка программы мероприятий с приоритетами и бюджетом
Стратегия без программы мероприятий — декларация о намерениях. Программа строится по трём горизонтам: краткосрочные мероприятия (до 6 месяцев) — устранение критических уязвимостей, выполнение обязательных нормативных требований; среднесрочные (6–18 месяцев) — выстраивание системы управления ИБ, обучение персонала, модернизация ключевых систем; долгосрочные (18+ месяцев) — импортозамещение, построение интегрированной системы менеджмента, возможная сертификация по ИСО/МЭК 27001.
Согласование стратегии с руководством и встраивание в СМК
ИТ-стратегия должна быть утверждена высшим руководством МО — это не технический документ, а управленческий. Требования ИСО/МЭК 27001:2022 и 187-ФЗ прямо предусматривают демонстрацию лидерства со стороны высшего руководства в вопросах ИБ. Без этого стратегия останется документом ИТ-службы без реального влияния на деятельность МО.
Типичные разрывы: что выявляет аудит ИБ в МО
На основе практики работы с медицинскими организациями можно выделить несколько паттернов, которые встречаются систематически. Это обобщённые наблюдения.
Документы без системы
Политика ИБ и инструкции пользователей есть, но они разработаны под проверку и не используются в реальной работе. Персонал не знает о них. Отсутствует механизм ознакомления и контроля исполнения.
Проблема привилегированного доступа
Права администратора у слишком широкого круга сотрудников. Общие учётные записи для нескольких пользователей. Отсутствие процедуры отзыва доступа при увольнении. Это стабильно выявляемая уязвимость в МО независимо от размера.
Резервное копирование без проверки
Резервные копии создаются, но их восстановление не тестируется. При атаке программы-вымогателя выясняется, что резервные копии либо устарели, либо повреждены, либо зашифрованы вместе с основными данными.
Неуправляемые личные устройства
Медицинский персонал использует личные смартфоны для работы с МИС, просмотра медицинских изображений, мессенджеров с данными пациентов. Политика использования личных устройств (BYOD) отсутствует или не выполняется.
Вопросы и ответы
Обязана ли частная МО выполнять требования 187-ФЗ о КИИ?
Да, если она является российским юридическим лицом, которому принадлежат информационные системы, функционирующие в сфере здравоохранения — а это условие выполняется для любой МО с лицензией и собственной МИС. При этом требования зависят от результата категорирования: если объектам КИИ не присвоена категория значимости, объём требований минимальный. Значимые объекты КИИ (категории 1, 2 или 3) подпадают под полный объём требований Приказа ФСТЭК № 239. Первый шаг — провести категорирование.
Что изменилось в 187-ФЗ с 1 сентября 2025 года?
Принятый в марте 2025 года и подписанный как Федеральный закон № 58-ФЗ (вступил в силу 01.09.2025) расширил полномочия государственных органов в части формирования отраслевых перечней типовых объектов КИИ. Для здравоохранения такой перечень уже утверждён распоряжением Правительства РФ от 26.02.2026 № 360-р (12 позиций из общего списка почти в 400). Усилены требования к переходу на отечественное ПО и аппаратные комплексы на значимых объектах КИИ. Общий порядок категорирования по-прежнему определяет постановление Правительства № 127, дополненное в ноябре 2025 года постановлением № 1762.
Нужна ли сертификация по ИСО/МЭК 27001 для МО в России?
Нет, она не является обязательной. Применение стандарта добровольное. Однако ИСО/МЭК 27001 даёт структуру, которая помогает системно выполнить обязательные российские требования (152-ФЗ, ФСТЭК, 187-ФЗ) без создания трёх независимых документных систем. Для частных МО сертификация может быть конкурентным преимуществом при работе со страховщиками, корпоративными клиентами и при участии в международных программах. Для государственных МО сертификация менее актуальна; важнее выстроить систему управления, соответствующую российским обязательным требованиям.
Как совместить требования по ИБ с требованиями ВКК и СМК?
Именно для этого нужна интегрированная система менеджмента. Практический первый шаг: при разработке очередного цикла документации ВКК включить в него управление инцидентами ИБ как особую категорию нежелательных событий. При разработке плана внутренних аудитов включить аудиты ИБ как отдельный раздел. При анализе со стороны руководства рассматривать результаты ИБ-мониторинга наряду с показателями качества медицинской помощи. Это даёт синергию без создания отдельных управленческих структур.
Как мы помогаем
🔍 Аудит ИБ и соответствия требованиям
Проводим комплексный аудит состояния ИБ МО: инвентаризация активов, проверка соответствия 152-ФЗ / ЕГИСЗ / 187-ФЗ, оценка рисков. Результат — матрица рисков и приоритизированный план мероприятий.
- Аудит по трём регуляторным контурам
- Оценка рисков ИБ по ИСО/МЭК 27005
- Приоритизация по критичности и срочности
📋 Разработка СМИБ
Разрабатываем систему менеджмента информационной безопасности на основе ИСО/МЭК 27001:2022 с учётом отраслевой специфики ИСО 27799:2025. Документация создаётся под реальную деятельность МО, а не под «проверку».
- Политика ИБ и Заявление о применимости
- Процедуры управления инцидентами и доступом
- Реестр рисков и программа мероприятий
🗺 Разработка ИТ-стратегии
Разрабатываем ИТ-стратегию МО, интегрированную с планом развития и требованиями нормативной базы. Стратегия включает план импортозамещения, дорожную карту развития ИТ-инфраструктуры и систему управления ИБ.
- Целевая архитектура ИТ и ИБ
- Трёхгоризонтная программа мероприятий
- Согласование с руководством МО
🔗 Интеграция СМИБ, СМК и ВКК
Помогаем встроить управление ИБ в существующую систему менеджмента МО — без создания параллельных структур. Работаем совместно со службами качества и ИТ-специалистами.
- Единый реестр рисков
- Интегрированный план аудитов
- Анализ со стороны руководства
Готовы системно разобраться с ИБ и ИТ-стратегией вашей МО?
Нормативные требования к ИБ в здравоохранении усложняются. Три регуляторных контура — 152-ФЗ, ЕГИСЗ, 187-ФЗ — требуют согласованного подхода. Первый шаг — аудит текущего состояния: он занимает несколько недель и даёт полную картину того, что нужно делать в первую очередь. Свяжитесь с нами — разберём вашу ситуацию бесплатно.
Связаться с экспертами
📱 Телефон / WhatsApp / Telegram: +7 920-898-17-18
📧 Email: reestrgarant@mail.ru
Работаем с медицинскими организациями по всей России. Консультируем онлайн и очно.
Международная сертификация, экспорт, ISO