СУИБ по ISO/IEC 27001:2022 — пошаговое внедрение, работа с рисками и прохождение сертификационного аудита
Утечка клиентских данных, атака на инфраструктуру, доступ бывшего сотрудника к корпоративным системам — каждый из этих сценариев способен нанести компании ущерб, несопоставимый со стоимостью его предотвращения. ISO/IEC 27001:2022 — международный стандарт, который переводит управление информационной безопасностью из режима реакции на инциденты в режим системной работы с рисками. Разберём, как выстроить эту систему, не утонув в бюрократии, и что реально проверяют аудиторы при сертификации.
СУИБ по ISO/IEC 27001:2022 — от оценки рисков до сертификационного аудита: практическое руководство
⚠ По актуальности версии стандарта
В октябре 2022 года ISO выпустил обновлённую версию стандарта — ISO/IEC 27001:2022. Переходный период для организаций с действующими сертификатами по версии 2013 года завершился 31 октября 2025 года. С ноября 2025 года сертификация проводится исключительно по версии 2022 года. Если ваш сертификат выдан по старой версии — он уже недействителен.
Что изменилось в версии 2022 года — ключевые отличия от ISO/IEC 27001:2013
Основной корпус требований стандарта (разделы 4–10) изменился незначительно. Главные изменения коснулись Приложения A — перечня мер информационной безопасности. Его полностью переработали на основе обновлённого ISO/IEC 27002:2022.
| Параметр | ISO/IEC 27001:2013 | ISO/IEC 27001:2022 |
|---|---|---|
| Количество мер в Приложении A | 114 мер в 14 разделах | 93 меры в 4 тематических блоках |
| Структура мер | Домены по функциональному принципу | 4 блока: организационные, кадровые, физические, технологические |
| Новые меры | — | 11 новых мер: разведка угроз, безопасность облачных сервисов, управление конфигурациями, маскирование данных, мониторинг физической безопасности и другие |
| Атрибуты мер | Отсутствуют | Каждая мера снабжена атрибутами: тип (превентивная/детективная/корректирующая), домен кибербезопасности, операционные возможности |
| Совместимость с HLS | Частичная | Полная совместимость с Harmonized Structure — упрощает интеграцию с ISO 9001, ISO 22301 |
Пошаговый план внедрения СУИБ: от нуля до готовности к аудиту
Типичная ошибка при внедрении — начинать с написания политик и процедур. На практике это приводит к созданию документов, которые не отражают реальные процессы компании и не выдерживают проверки аудиторами. Правильная последовательность выглядит иначе.
Определение области применения СУИБ
Первое решение — что именно входит в область СУИБ: вся организация, отдельные подразделения, конкретные информационные системы. Область влияет на всё: объём работ, стоимость сертификации, перечень активов и рисков. Чем точнее определена область — тем управляемее проект. Результат этапа фиксируется в документе «Область применения СУИБ».
Инвентаризация информационных активов
Нельзя защищать то, о существовании чего не знаешь. На этом этапе выявляются все информационные активы в области применения: данные, системы, оборудование, программное обеспечение, персонал, сервисы. Каждому активу назначается владелец. Стандарт требует именно документированного реестра активов.
Оценка рисков информационной безопасности
Ключевой этап, которому уделяют больше всего внимания аудиторы. Для каждого актива определяются угрозы и уязвимости, оцениваются вероятность реализации и возможный ущерб. Методологию оценки организация выбирает самостоятельно — стандарт её не предписывает, но требует воспроизводимости и документирования. Часто используют FAIR, OCTAVE или собственные матрицы рисков.
План обработки рисков и выбор мер из Приложения A
По итогам оценки каждый риск получает решение: принять, передать (страхование), избежать или обработать. Для рисков под обработку выбираются меры из Приложения A ISO/IEC 27001:2022. Все решения фиксируются в Плане обработки рисков (Risk Treatment Plan) и Заявлении о применимости (Statement of Applicability, SoA). SoA — один из ключевых документов при сертификации.
Разработка политик, процедур и внедрение мер
Только на этом этапе начинается написание документов — и только тех, которые действительно нужны для реализации выбранных мер. Стандарт требует документированной политики ИБ, процедур оценки и обработки рисков, ряда других документов. Остальные — по необходимости. Параллельно внедряются технические и организационные меры.
Внутренний аудит и анализ со стороны руководства
До сертификационного аудита организация обязана провести как минимум один цикл внутреннего аудита СУИБ и зафиксировать анализ системы со стороны высшего руководства. Это не формальность — аудиторы смотрят на эти документы очень внимательно.
Сертификационный аудит (Этап 1 + Этап 2)
Сертификация проходит в два этапа. Этап 1 — аудит документации: орган проверяет комплектность и содержание СУИБ-документов, в том числе SoA и Plan обработки рисков. Этап 2 — аудит на месте: проверка реального функционирования системы, интервью с персоналом, анализ записей. Между этапами обычно 1–4 недели.
Как разговаривать с руководством на языке бизнес-рисков
Одна из самых распространённых проблем при внедрении СУИБ — отсутствие поддержки со стороны топ-менеджмента. Причина почти всегда одна: специалисты по ИБ говорят о технических уязвимостях и CVE-идентификаторах, а руководство думает категориями выручки, репутации и регуляторных рисков. ISO/IEC 27001 прямо требует вовлечённости высшего руководства — без неё сертификацию не пройти.
Финансовые последствия
Переводите технические риски в денежный эквивалент. Не «уязвимость в веб-приложении», а «вероятный ущерб от утечки клиентской базы — X млн руб. штрафов по 152-ФЗ плюс потеря Y% клиентов»
Регуляторные требования
Для многих отраслей ИБ-требования закреплены законодательно: 152-ФЗ, приказы ФСТЭК, требования ЦБ РФ для финансовых организаций. Сертификат ISO 27001 помогает демонстрировать выполнение части этих требований
Конкурентное преимущество
Крупные заказчики, особенно в B2B-сегменте, всё чаще требуют подтверждения уровня ИБ от поставщиков. Сертификат ISO 27001 — стандартный ответ на этот запрос в тендерной документации
Страхование рисков
Наличие СУИБ и сертификата ISO 27001 снижает стоимость киберстрахования и является аргументом при урегулировании страховых случаев
На что реально обращают внимание аудиторы при сертификации
По опыту сопровождения сертификационных аудитов, есть несколько зон, которые генерируют большинство несоответствий — и которые при этом часто недооценивают при подготовке.
Заявление о применимости (SoA)
Аудиторы проверяют не только наличие SoA, но и логику обоснований. Почему та или иная мера из Приложения A исключена? Если обоснование неубедительно или противоречит результатам оценки рисков — несоответствие гарантировано.
Связь рисков и мер
Аудиторы проверяют сквозную связь: риск → решение об обработке → конкретная мера → свидетельство реализации. Если цепочка рвётся хоть в одном месте — это несоответствие. Особенно часто разрыв возникает между документом и реальной практикой.
Осведомлённость персонала
Аудиторы разговаривают не только с ИБ-специалистами, но и с рядовыми сотрудниками. Стандарт требует, чтобы весь персонал понимал политику ИБ и свои обязанности. Сотрудник, не знающий, что делать при подозрительном письме — живое несоответствие.
Измерение эффективности
Раздел 9.1 требует оценки результативности СУИБ через измеримые показатели. Многие организации формально включают этот раздел в документацию, но не имеют реальных данных измерений — это типичное несоответствие второй стадии аудита.
💡 Практический совет по подготовке к аудиту
Проведите внутренний аудит по схеме, максимально приближенной к сертификационному: разделите аудиторов и аудируемых, используйте официальные чек-листы ISO/IEC 27001:2022. Несоответствия, выявленные внутри — это рабочая задача. Несоответствия, выявленные внешним аудитором — это задержка сертификации.
Сроки и стоимость — ориентиры для планирования
| Размер организации | Ориентировочный срок внедрения | Консалтинговое сопровождение | Сертификационный аудит |
|---|---|---|---|
| Малый бизнес (до 50 сотрудников) | 4–8 месяцев | от 200 000 до 500 000 руб. | от 150 000 до 300 000 руб. |
| Средний бизнес (50–300 сотрудников) | 8–14 месяцев | от 500 000 до 1 200 000 руб. | от 300 000 до 600 000 руб. |
| Крупная организация (300+ сотрудников) | 12–24 месяца | от 1 200 000 руб. | от 600 000 руб. |
Цифры ориентировочные. Стоимость консалтинга зависит от текущего уровня зрелости ИБ в организации, сложности инфраструктуры и объёма области применения СУИБ. Стоимость аудита — от выбранного органа по сертификации и его тарифной политики. Запросите точный расчёт у наших специалистов — бесплатно.
Вопросы и ответы — из реальной практики
Частые вопросы по ISO/IEC 27001:2022
Обязателен ли ISO 27001 по российскому законодательству?
Сам по себе — нет, стандарт добровольный. Однако для ряда организаций (операторы персональных данных, субъекты КИИ, финансовые организации под надзором ЦБ) законодательство предъявляет требования к ИБ, для выполнения которых СУИБ по ISO 27001 является удобным и признанным инструментом. Сертификат также принимается как подтверждение выполнения ряда требований при проверках ФСТЭК и Роскомнадзора.
Можно ли внедрить СУИБ своими силами без консультантов?
Теоретически да. На практике организации без опыта работы со стандартом тратят значительно больше времени, нередко создают документацию, не выдерживающую аудита, и проходят сертификацию со второй-третьей попытки. Консалтинг окупается за счёт экономии времени и снижения риска несоответствий на аудите.
Что такое надзорные аудиты и как часто они проводятся?
После получения сертификата орган по сертификации проводит надзорные аудиты — как правило, ежегодно. Ресертификация (полный повторный аудит) — раз в три года. Надзорные аудиты проверяют, что СУИБ продолжает функционировать, а не «ожила» только к моменту сертификации.
Как ISO 27001 соотносится с ГОСТ Р ИСО/МЭК 27001-2021?
ГОСТ Р ИСО/МЭК 27001-2021 — это российская национальная версия стандарта ISO/IEC 27001:2013. Обратите внимание: ГОСТ основан на версии 2013 года, тогда как международный стандарт уже обновлён до версии 2022 года. Для международно признанной сертификации нужно работать по ISO/IEC 27001:2022 и выбирать орган с международной аккредитацией.
Как Реестр Гарант помогает с внедрением СУИБ и сертификацией
🔍 GAP-анализ и оценка рисков
Проведём обследование текущего состояния ИБ в организации, сравним с требованиями ISO/IEC 27001:2022, сформируем реестр активов и проведём оценку рисков по выбранной методологии.
- Инвентаризация информационных активов
- Оценка угроз и уязвимостей
- Формирование реестра рисков
- Дорожная карта внедрения СУИБ
📄 Разработка документации СУИБ
Подготовим полный комплект документов: Политику ИБ, SoA, Plan обработки рисков, процедуры внутреннего аудита и управления инцидентами — под реальные процессы вашей организации.
- Политика информационной безопасности
- Заявление о применимости (SoA)
- Процедуры и регламенты
- Формы записей для аудита
🎯 Подготовка к сертификации и сопровождение аудита
Проведём предсертификационный внутренний аудит, подготовим персонал к интервью с аудиторами и будем рядом на каждом этапе сертификационной проверки.
- Внутренний аудит по методологии ISO 27001
- Подготовка персонала к аудиту
- Сопровождение этапов 1 и 2
- Работа с несоответствиями по итогам аудита
📞 Бесплатная консультация
Расскажем, с чего начать именно в вашем случае: какова реальная трудоёмкость проекта, сколько это займёт времени и что можно сделать своими силами, а где нужна внешняя экспертиза.
- Оценка текущего уровня зрелости ИБ
- Определение области применения СУИБ
- Расчёт стоимости и сроков
- Ответы на конкретные вопросы
Готовы начать внедрение СУИБ или подготовиться к сертификации?
Свяжитесь с нами — разберём вашу ситуацию, оценим текущий уровень ИБ и составим реалистичный план. Первая консультация бесплатна и ни к чему не обязывает.
Связаться с экспертами Реестр Гарант
📱 Телефон / WhatsApp / Telegram: +7 920-898-17-18
📧 Email: reestrgarant@mail.ru
Работаем с организациями по всей России. Консультируем онлайн и по телефону — в удобном для вас формате.
Международная сертификация, экспорт, ISO