В обзорах про ISO 27001 встречается конкретная цифра: «Роскомнадзор в 2024 году выписал штрафов на 180 млн рублей, компании с ISO 27001 штрафовали в 12 раз реже» — без ссылки на официальную статистику ведомства, а рядом — построчный список «Сбербанк, ВТБ, Альфа-Банк, Тинькофф, Яндекс, VK — обязательно» и кейс с ROI 18 438% от одного IT-интегратора. Разбираем честно, что такое ISO 27001, зачем он реально нужен и что по-настоящему изменилось в законодательстве о персональных данных в 2025 году, без выдуманной статистики и списков по брендам.

Что такое ISO 27001 на самом деле

ISO/IEC 27001 — международный стандарт системы менеджмента информационной безопасности (СМИБ): требования к тому, как организация выявляет риски для своих данных и систем, выбирает меры защиты и системно их поддерживает. В основе — классическая триада информационной безопасности: конфиденциальность (доступ только у тех, кому положено), целостность (данные не искажены и не подменены) и доступность (система и данные работают, когда нужны). Стандарт не диктует конкретные технические средства защиты, он требует системного подхода: оценки рисков, выбора адекватных мер, документирования и регулярной проверки того, что меры реально работают, а не существуют только на бумаге.

Зачем ISO 27001 реально нужен — без выдуманных процентов

Честные, неквантифицированные причины обращения за сертификацией: конкретный заказчик (банк, госорган, крупная IT-компания) указал ISO 27001 как условие сотрудничества или тендера; компания хочет системно снизить риск утечки данных клиентов и партнёров через регулярный аудит уязвимостей, а не разовые проверки после инцидента; бизнес работает с облачными провайдерами и подрядчиками, которым передаются чувствительные данные, и нужна формальная система контроля этой цепочки; готовится экспорт услуг в юрисдикции с собственными требованиями к защите данных (например, GDPR в ЕС). Ни одна из этих причин не переводится в фиксированный процент вроде «доступ к 95% банковских тендеров»: конкретное требование зависит от заказчика и отрасли.

Что реально изменилось в законодательстве о персональных данных в 2025 году

Это самая существенная и проверяемая причина уделить теме внимание именно сейчас. С 30 мая 2025 года в России действуют новые штрафы по ст. 13.11 КоАП РФ за нарушения в области персональных данных: первичное нарушение для организаций — 150 000–300 000 ₽ (раньше суммы были заметно ниже), а за повторную утечку персональных данных введены оборотные штрафы — 1–3% годовой выручки компании (для банков — процент от собственных средств), с расчётным минимумом 20–25 млн ₽ и максимумом 500 млн ₽. Отдельно штрафуется неуведомление Роскомнадзора об утечке: до 1–3 млн ₽ для юрлиц. Это реальное и значительное ужесточение, а не выдуманная статистика, и оно на порядок весомее любых процентов из маркетинговых статей.

Важная честная оговорка: ISO 27001 не заменяет и не гарантирует автоматического соответствия 152-ФЗ «О персональных данных». Закон о персональных данных требует конкретных организационных и технических мер защиты, а в ряде случаев — использования сертифицированных ФСТЭК или ФСБ средств защиты информации. ISO 27001 даёт системный подход к управлению информационной безопасностью в целом, который облегчает выполнение этих требований, но сам по себе не является формальным подтверждением соответствия 152-ФЗ.

Честные штрафы по 152-ФЗ — таблица без выдуманных цифр

НарушениеРазмер для организаций
Первичное нарушение (ст. 13.11 ч.1 КоАП)150 000–300 000 ₽
Повторная утечка персональных данных1–3% годовой выручки, минимум 20–25 млн ₽, максимум 500 млн ₽
Неуведомление Роскомнадзора об утечке1–3 млн ₽

Эти цифры действуют с 30 мая 2025 года и проверяемы по официальному тексту КоАП РФ — в отличие от расплывчатой «статистики штрафов Роскомнадзора» без указания источника, которая встречается в маркетинговых статьях.

Осторожно: чему не стоит верить в статьях про ISO 27001

Кроме статистики штрафов без ссылки на источник, в этой теме встречается фабрикация с прямой ложной привязкой к реальным компаниям: построчный список требований банков и IT-гигантов к подрядчикам, без ссылки на официальный документ этих компаний. Реальные требования к конкретному поставщику услуг прописаны во внутренней документации закупки самой компании, а не в едином своде для маркетинговых статей. Отдельно встречаются кейсы вида «IT-интегратор получил ISO 27001 за 320 тысяч рублей и заключил контракт на 18 млн, ROI 18 438%» — такой расчёт берёт один удачный контракт и не учитывает совокупные затраты бизнеса на участие во всех тендерах, включая проигранные. Главное при оценке необходимости ISO 27001 — опираться на проверяемые вещи: реальный размер штрафов по КоАП, конкретное требование конкретного заказчика, реестр аккредитованных органов, а не на чужую статистику без источника. Начать стоит с консультации: специалисты центра «Реестр Гарант» помогут честно оценить, какие риски информационной безопасности актуальны именно для вашей компании и что нужно для их закрытия.

Вопросы и ответы

Правда ли, что конкретные банки публикуют единый список требований ISO 27001 к подрядчикам?

Нет: конкретные требования к поставщику прописываются во внутренней документации закупки самого банка, а не в общедоступном своде для маркетинговых статей других компаний.

Что реально изменилось в штрафах за утечку персональных данных в 2025 году?

С 30 мая 2025 года первичное нарушение для организаций по ст. 13.11 КоАП стоит 150 000–300 000 ₽, а за повторную утечку введены оборотные штрафы 1–3% годовой выручки с минимумом 20–25 млн ₽ и максимумом 500 млн ₽.

Гарантирует ли ISO 27001 соответствие закону 152-ФЗ о персональных данных?

Нет: 152-ФЗ требует конкретных организационных и технических мер, в ряде случаев — сертифицированных ФСТЭК/ФСБ средств защиты. ISO 27001 даёт системный подход к информационной безопасности, который облегчает выполнение этих требований, но формально их не заменяет.

Можно ли верить статистике вида «Роскомнадзор оштрафовал на 180 млн рублей, сертифицированные компании реже»?

Без прямой ссылки на официальную статистику Роскомнадзора такую цифру стоит считать недостоверной. Проверяемый факт: это сами суммы штрафов по КоАП, а не статистика их применения к сертифицированным и несертифицированным компаниям.

Можно ли доверять кейсам с ROI в тысячи процентов от сертификации ISO 27001?

Нет: такие расчёты обычно строятся на одном удачном контракте и не учитывают совокупные затраты бизнеса, это не честная методика подсчёта окупаемости.

Кому ISO 27001 нужен в первую очередь?

IT-компаниям и разработчикам ПО, финтеху, компаниям, работающим с персональными данными в больших объёмах, и тем, кому конкретный заказчик уже указал сертификат как условие сотрудничества.

Источники