Главное, что стоит понимать сразу: часть компаний до сих пор внедряет ISO/IEC 27001 «для галочки», под конкретный тендер, без реальной перестройки процессов. Сейчас это уже не работает: с ноября 2025 года сертификация идёт только по редакции 2022 года, а сама структура требований изменилась настолько, что формальный подход почти гарантированно даёт несоответствия на аудите. Если у вас небольшая компания без доступа к чувствительным данным, полноценная СУИБ, возможно, избыточна — но для операторов персональных данных, субъектов КИИ, финансовых организаций под надзором Банка России и для тех, кому сертификат нужен в тендерной документации, разбираемся, как выстроить систему управления информационной безопасностью без бюрократии и что реально спрашивают аудиторы.

93 контроля вместо 114: что изменилось в редакции 2022 года и почему старый сертификат уже недействителен

⚠ Дедлайн уже прошёл

Переходный период для сертификатов версии 2013 года завершился 31 октября 2025 года. Если у компании сертификат всё ещё числится по старой редакции, он аннулирован автоматически, без отдельного уведомления от органа по сертификации; проверять статус нужно самостоятельно.

Основной корпус требований стандарта, разделы 4–10, при пересмотре почти не тронули: контекст организации, лидерство, планирование, поддержка, функционирование, оценка результативности и улучшение остались по смыслу теми же. Изменилось Приложение A: перечень мер по информационной безопасности, полностью переработанное на основе обновлённого ISO/IEC 27002:2022.

Параметр ISO/IEC 27001:2013 ISO/IEC 27001:2022
Количество мер 114 мер в 14 доменах 93 меры в 4 темах
Разбивка по темам организационные (37), кадровые (8), физические (14), технологические (34)
Новые меры 11 мер, отсутствовавших в 2013 году
Атрибуты мер отсутствуют тип (превентивная/детективная/корректирующая), домен кибербезопасности, операционные возможности
Совместимость с HLS частичная полная: упрощает интеграцию с ISO 9001 и другими системами менеджмента

Разработчики намеренно не просто добавили новые пункты, а перестроили логику всего приложения: 82 контроля — это переработка и объединение прежних 114, и только 11 действительно новые. Их стоит знать поимённо, потому что именно на них аудиторы обращают повышенное внимание как на маркер, что компания внедряла актуальную редакцию, а не переписала документацию под старый список: A.5.7 (разведка угроз), A.5.23 (безопасность облачных сервисов), A.5.30 (готовность ИКТ к непрерывности бизнеса), A.7.4 (мониторинг физической безопасности), A.8.9 (управление конфигурациями), A.8.10 (удаление информации), A.8.11 (маскирование данных), A.8.12 (предотвращение утечек данных), A.8.16 (мониторинг деятельности), A.8.23 (веб-фильтрация), A.8.28 (безопасная разработка).

На практике чаще всего проседают именно A.5.23 и A.8.12: облачные сервисы уже используются, а формальной оценки рисков конкретно под облако нет, и утечки данных обнаруживаются не системой мониторинга, а постфактум, при жалобе клиента. Обе меры новые, и готовых шаблонов документов под них ещё не так много, компании часто недооценивают трудозатраты именно здесь.

Кому СУИБ нужна по существу, а не для тендерной галочки

Формально ISO/IEC 27001 в России добровольный, обязанности сертифицироваться по закону нет. Но добровольность стандарта не означает добровольность защиты информации: для ряда организаций требования к информационной безопасности всё равно закреплены законодательно, и СУИБ по ISO 27001 — это удобный, но не единственный способ их выполнить.

Для операторов персональных данных с 30 мая 2025 года действуют оборотные штрафы за повторную утечку: 1–3% годовой выручки коммерческой организации, а не абстрактная угроза. Первичное нарушение по ч.1 ст. 13.11 КоАП РФ обходится дешевле: 150 000–300 000 ₽ для организаций, 50 000–100 000 ₽ для должностных лиц. Но именно повторная утечка делает разговор с руководством предметным: не «давайте улучшим ИБ», а «вот конкретная сумма риска».

Субъектам критической информационной инфраструктуры (КИИ) в этом году тоже стоит свериться с изменившимся периметром: Федеральный закон №58-ФЗ от 7 апреля 2025 года, вступивший в силу 1 сентября 2025 года, обновил 187-ФЗ и, в частности, исключил индивидуальных предпринимателей из числа субъектов КИИ. Финансовым организациям под надзором Банка России сертификат ISO 27001 не заменяет обязательную оценку соответствия ГОСТ Р 57580.2 — это отдельная, параллельная процедура, а не альтернатива.

Отдельно стоят компании, которым сертификат нужен не по закону, а по требованию контрагента: крупные заказчики в B2B-сегменте всё чаще включают подтверждение уровня ИБ в тендерную документацию, и здесь ISO 27001 работает как стандартный, узнаваемый ответ на такой запрос.

Пошаговый план: от области применения до плана обработки рисков

Типичная ошибка при внедрении — начинать с написания политик. На практике это создаёт документы, оторванные от реальных процессов компании, которые не выдерживают проверки аудитором. Правильная последовательность обратная: сначала понять, что и как защищать, потом описывать это на бумаге.

1

Определение области применения СУИБ

Первое решение — что входит в область: вся организация, отдельные подразделения или конкретные информационные системы. Область определяет объём работ, стоимость сертификации и перечень активов и рисков. Результат фиксируется документом «Область применения СУИБ».

2

Инвентаризация информационных активов

Команда проходит по всей области применения и фиксирует данные, системы, оборудование, программное обеспечение, персонал и внешние сервисы с доступом к ним. Каждому активу назначается владелец. Стандарт требует именно документированного реестра, а не устного понимания «у нас всё под контролем».

3

Оценка рисков информационной безопасности

Ключевой этап, которому аудиторы уделяют больше всего внимания. Для каждого актива определяются угрозы и уязвимости, оцениваются вероятность и возможный ущерб. Методологию организация выбирает сама: стандарт не предписывает ни FAIR, ни OCTAVE, ни собственную матрицу, но требует воспроизводимости и документирования результатов.

4

План обработки рисков и Заявление о применимости

Каждый риск получает решение: принять, передать через страхование, избежать или обработать. Для рисков под обработку выбираются меры из Приложения A. Решения фиксируются в Плане обработки рисков (Risk Treatment Plan) и Заявлении о применимости (Statement of Applicability, SoA): именно этот документ аудиторы читают внимательнее прочих.

Документы, внутренний аудит и подготовка к сертификационной проверке

Только после четырёх шагов выше начинается написание документов — и только тех, что действительно нужны для реализации выбранных мер. Стандарт требует документированной политики ИБ и процедур оценки/обработки рисков; остальное — по необходимости, а не по шаблону из интернета.

5

Внедрение мер и параллельная разработка процедур

Технические и организационные меры внедряются одновременно с написанием минимально необходимой документации. Обратный порядок (сначала толстый комплект документов, потом попытка подогнать под него реальность) почти всегда даёт разрыв, который ловит аудитор.

6

Внутренний аудит и анализ со стороны руководства

До сертификационного аудита организация обязана провести минимум один цикл внутреннего аудита СУИБ и зафиксировать анализ системы со стороны высшего руководства. Это не формальность для галочки: несоответствия, выявленные внутри, — это рабочая задача, а те же самые несоответствия, найденные внешним аудитором, означают задержку сертификации на недели или месяцы.

7

Сертификационный аудит: Этап 1 и Этап 2

Этап 1 — аудит документации: орган проверяет комплектность и содержание, в том числе SoA и Плана обработки рисков. Этап 2 — аудит на месте: проверка реального функционирования, интервью с персоналом, анализ записей. Между этапами обычно проходит от одной до четырёх недель. Это время стоит использовать для устранения замечаний Этапа 1, а не как паузу.

По опыту сопровождения таких проектов, самый частый разрыв в графике возникает не на оценке рисков, а на этапе между планом обработки рисков и реальным внедрением мер: план готов, SoA подписан, а конкретная техническая мера (например, A.8.12, предотвращение утечек) откладывается на «потом» до тех пор, пока аудитор Этапа 2 прямо не спросит доказательства.

Как разговаривать с руководством на языке бизнес-рисков

Одна из главных причин провала проектов внедрения СУИБ — отсутствие реальной поддержки топ-менеджмента. Причина почти всегда одна: специалисты по ИБ говорят о технических уязвимостях и CVE-идентификаторах, а руководство мыслит категориями выручки, репутации и регуляторных штрафов. Стандарт прямо требует вовлечённости высшего руководства: без неё не пройти сертификацию формально, да и СУИБ без неё не работает по факту.

💰
Финансовые последствия

Не «уязвимость в веб-приложении», а конкретная сумма: повторная утечка персональных данных — это 1–3% годовой выручки по оборотному штрафу, действующему с 30 мая 2025 года, плюс, как правило, отток части клиентов.

⚖️
Регуляторные требования

152-ФЗ, обновлённый 187-ФЗ о КИИ, требования Банка России по ГОСТ Р 57580 для финансовых организаций — сертификат ISO 27001 не заменяет эти обязательные процедуры, но выстроенная СУИБ заметно упрощает их выполнение.

🏆
Конкурентное преимущество

Крупные заказчики в B2B всё чаще требуют подтверждения уровня ИБ от поставщиков напрямую в тендерной документации, и без сертификата заявка рискует не пройти квалификационный отбор.

🛡
Страхование рисков

Действующая СУИБ и сертификат снижают стоимость киберстрахования и служат аргументом при урегулировании страховых случаев — хотя само страхование в России, в отличие от части зарубежных юрисдикций, законом не предписано.

На что реально смотрят аудиторы: разрывы, которые чаще всего ловят

По опыту сопровождения сертификационных аудитов, есть несколько зон, генерирующих большинство несоответствий, и их обычно недооценивают именно потому, что формально документы на месте.

📄

Заявление о применимости

Аудиторы проверяют не факт наличия SoA, а логику обоснований: почему конкретная мера из Приложения A исключена. Слабое или противоречащее оценке рисков обоснование почти гарантированно даёт несоответствие.

🔍

Связь рисков и мер

Проверяется сквозная цепочка: риск → решение об обработке → конкретная мера → свидетельство реализации. Разрыв чаще всего возникает между документом и реальной практикой, а не в самом тексте политики.

👥

Осведомлённость персонала

Аудиторы разговаривают не только с ИБ-специалистами, но и с рядовыми сотрудниками. Стандарт требует, чтобы весь персонал понимал политику и свои обязанности; сотрудник, не знающий, что делать при подозрительном письме, — живое несоответствие на месте.

📊

Измерение результативности

Раздел 9.1 требует оценки результативности СУИБ измеримыми показателями. Многие организации формально описывают этот раздел, но без реальных данных измерений; это типичное несоответствие именно второго этапа аудита, а не первого.

Здесь есть нюанс, который редко проговаривают вслух: оценка «убедительности» обоснования в SoA — вещь субъективная, и разные аудиторы одного и того же органа иногда трактуют её по-разному. Формальных числовых критериев «достаточности» обоснования стандарт не даёт — это скорее профессиональное суждение аудитора, чем расчёт по формуле, и готовиться стоит не к идеальной формулировке, а к тому, что обоснование придётся защищать вживую.

💡 Практический совет по подготовке

Проведите внутренний аудит по схеме, максимально приближенной к сертификационному: разделите аудиторов и аудируемых, используйте официальные чек-листы ISO/IEC 27001:2022. Несоответствия, найденные внутри, — это рабочая задача; найденные внешним аудитором означают задержку сертификации.

Подзаконка, ГОСТ Р и почему сертификат не заменяет обязательные требования

Закон и международный стандарт задают «что» нужно делать; на практике важнее «как» это соотносится с обязательными требованиями, которые никуда не делись. Приказ ФСТЭК России №117 от 11 апреля 2025 года (вступает в силу с 1 марта 2026 года и заменяет прежний приказ №17 для аттестации государственных информационных систем) и приказ №239 для значимых объектов КИИ не ссылаются на ISO/IEC 27001 или 27002 ни в одном пункте. Это не пробел, а осознанное разделение: аттестация ГИС и оценка значимого объекта КИИ — это самостоятельные обязательные процедуры, которые сертификат ISO 27001 не подменяет и не упрощает формально, хотя выстроенные под ISO процессы управления рисками реально облегчают подготовку к ним.

То же самое верно для финансового сектора: ГОСТ Р 57580.1 — это самостоятельная разработка профильного технического комитета Банка России, а не перевод ISO 27001, и обязательная оценка соответствия по ГОСТ Р 57580.2 сертификатом ISO 27001 не заменяется.

Отдельная путаница касается российского аналога самого стандарта. ГОСТ Р ИСО/МЭК 27001-2021 (приказ Росстандарта №1653-ст от 30.11.2021) по содержанию идентичен международной редакции 2013 года, а не 2022-й: расхождение на целую редакцию, о котором молчат многие обзорные статьи. Официально подтверждённого проекта нового ГОСТа, гармонизированного с редакцией 2022 года, на середину 2026 года не найдено; встречающиеся в рунете упоминания «ГОСТ Р ИСО/МЭК 27001-2023» не подтверждаются ни одной карточкой документа в реестре Росстандарта, это, судя по всему, недостоверная информация, растиражированная маркетинговыми статьями.

Судебной или административной практики, где сертификат ISO/IEC 27001 был бы прямым предметом спора, обнаружить не удалось. Честнее признать, что она пока не сформирована, чем придумывать несуществующий прецедент. Есть смежная практика ФАС о незаконных требованиях добровольной сертификации в закупочной документации, но во всех найденных делах фигурируют другие стандарты (ISO 9001, ISO 14001, ISO 22000), не ISO 27001.

Для международного признания сертификата имеет значение аккредитация самого органа по сертификации. Единственный государственный орган аккредитации в России, Росаккредитация (реестр pub.fsa.gov.ru/ral), её статус на стороне признания органов сертификации систем менеджмента несколько лет был спорным, но 22 октября 2025 года на установочном заседании новой объединённой структуры GLOBAC (Global Accreditation Cooperation Incorporated, объединившей с 1 января 2026 года прежние IAF и ILAC) Росаккредитация принята полноправным членом. На практике многие российские органы по сертификации СМИБ параллельно держат и российскую, и зарубежную аккредитацию — выбор конкретного органа стоит уточнять под нужный рынок, внутренний или экспортный, а не полагаться на общее правило «любая аккредитация одинаково хороша».

Если сертификация СМИБ по ISO 27001 — только часть более широкой ИБ-стратегии, а компании отдельно нужна оценка конкретного ИТ-продукта или программно-аппаратного средства, это уже другая процедура: Common Criteria по ISO/IEC 15408 оценивает безопасность самого продукта, а не систему менеджмента организации. Путать эти две вещи в тендерной документации не стоит.

Сроки и стоимость: ориентиры для планирования

Размер организации Срок внедрения Консалтинговое сопровождение Сертификационный аудит
Малый бизнес (до 50 сотрудников) 4–8 месяцев 200 000–500 000 ₽ 150 000–300 000 ₽
Средний бизнес (50–300 сотрудников) 8–14 месяцев 500 000–1 200 000 ₽ 300 000–600 000 ₽
Крупная организация (от 300 сотрудников) 12–24 месяца от 1 200 000 ₽ от 600 000 ₽

Цифры ориентировочные: единого прайс-листа на сертификацию СМИБ не существует ни у одного органа, расчёт всегда индивидуальный. Стоимость консалтинга зависит от текущего уровня зрелости ИБ, сложности инфраструктуры и объёма области применения; стоимость аудита — от выбранного органа и его тарифной политики. Начать разумнее с бесплатной консультации и GAP-анализа: это дешевле, чем закладывать бюджет вслепую под усреднённые цифры из таблицы выше.

Вопросы и ответы

Обязателен ли ISO 27001 по российскому законодательству?

Сам по себе нет, стандарт добровольный. Но для операторов персональных данных, субъектов КИИ и финансовых организаций под надзором Банка России требования к защите информации закреплены отдельными нормами — 152-ФЗ с оборотными штрафами с 30.05.2025, обновлённым 187-ФЗ о КИИ (58-ФЗ от 07.04.2025) и ГОСТ Р 57580 для финансового сектора. Ни один из этих обязательных документов не ссылается на ISO 27001 напрямую и не признаёт сертификат заменой собственной процедуры: СУИБ облегчает их выполнение методологически, но юридически не подменяет.

Можно ли внедрить СУИБ своими силами, без консультантов?

Теоретически да. На практике организации без опыта работы со стандартом чаще создают документацию, не выдерживающую аудита, и проходят сертификацию со второй-третьей попытки, а это дороже по времени и деньгам, чем консалтинг с самого начала.

Что такое надзорные аудиты и как часто они проводятся?

После получения сертификата орган по сертификации проводит надзорные аудиты, как правило, ежегодно; ресертификация проводится раз в три года. Надзорные аудиты проверяют, что СУИБ продолжает функционировать, а не «ожила» только к моменту первичной сертификации.

Как ISO 27001 соотносится с ГОСТ Р ИСО/МЭК 27001-2021?

ГОСТ Р ИСО/МЭК 27001-2021 идентичен международной версии 2013 года, а не действующей редакции 2022 года — расхождение на целую редакцию. Для международно признанной сертификации нужно работать по ISO/IEC 27001:2022 и выбирать орган с соответствующей аккредитацией; ГОСТ Р, гармонизированного с редакцией 2022 года, на середину 2026 года официально не существует: встречающиеся в рунете упоминания «версии 2023 года» ничем не подтверждены.

Планируется ли ГОСТ Р, гармонизированный с ISO/IEC 27001:2022?

Официально подтверждённого проекта или даты публикации на середину 2026 года не найдено. Компаниям, которым нужно международное признание уже сейчас, ориентироваться на отечественную гармонизацию не стоит: работать нужно напрямую по международному тексту ISO/IEC 27001:2022 через орган с международной аккредитацией.

Есть ли судебная практика по спорам вокруг сертификации ISO 27001?

Прямых прецедентов, где сертификат ISO/IEC 27001 был бы предметом спора, не обнаружено. Есть смежная практика ФАС о незаконных требованиях добровольной сертификации в закупочной документации, но она относится к другим стандартам (ISO 9001, ISO 14001, ISO 22000), а не к ISO 27001. Честнее говорить, что практика ещё не сформирована, чем ссылаться на несуществующие дела.

На что смотреть при выборе органа по сертификации, если нужно международное признание?

На аккредитацию самого органа: система, объединившая с 1 января 2026 года прежние IAF и ILAC в GLOBAC, служит ориентиром для органов, работающих на экспортное признание. Росаккредитация как национальный орган принята полноправным членом GLOBAC 22 октября 2025 года, поэтому выбор между российской и зарубежной аккредитацией сейчас определяется не формальным признанием как таковым, а тем, для какого рынка сбыта сертификат нужнее.

Что считается нарушением, если формально документы в порядке, а на практике процессы им не следуют?

Ровно тот разрыв, который чаще всего ловят аудиторы: связь риск → решение → мера → свидетельство должна быть сквозной. Наличие политики без реальных записей о её исполнении (журналов, протоколов обучения, отчётов о мониторинге) — типовое несоответствие, а не формальность, которую можно закрыть задним числом перед приездом аудитора.

Разбор подготовлен на основе актуального текста ISO/IEC 27001:2022, официальных данных о переходном периоде (до 31.10.2025), текстов приказов ФСТЭК №17/117/239 и практики сопровождения сертификационных аудитов. Актуально на середину 2026 года.

Ключевой вывод: сертификаты редакции 2013 года недействительны с 31 октября 2025 года, новое Приложение A — это 93 меры и 11 из них принципиально новые, а сертификат ISO 27001 не заменяет обязательные требования ФСТЭК и Банка России — это параллельные, а не взаимозаменяемые системы.

Источники

  • iso.org: официальная страница ISO/IEC 27001:2022, третье издание, октябрь 2022 года.
  • LRQA: сроки переходного периода на редакцию 2022 года, дедлайн 31 октября 2025 года.
  • docs.cntd.ru: полный текст приказа ФСТЭК №17 (аттестация ГИС) — проверка отсутствия ссылок на ISO/IEC 27001/27002.
  • BI.ZONE: замена приказа ФСТЭК №17 приказом №117 от 11.04.2025, вступление в силу с 1 марта 2026 года.
  • docs.cntd.ru: полный текст приказа ФСТЭК №239 (значимые объекты КИИ) — проверка отсутствия ссылок на международную серию 27000.
  • Комитет РСПП по техническому регулированию: принятие Росаккредитации полноправным членом GLOBAC, установочное заседание 22 октября 2025 года.
  • meganorm.ru: карточка ГОСТ Р ИСО/МЭК 27001-2021, приказ Росстандарта №1653-ст, идентичность международной редакции 2013 года.