Зачем ИТ-компании сертификат ISO 27001 в 2025 году: защита от утечек и требования банков

В 2025 году сертификат ISO 27001 стал базовым пропуском на рынок корпоративного ИТ: банки, страховые компании и госструктуры отсекают подрядчиков без подтверждённой системы управления информационной безопасностью. Разбираем, что стоит за этим требованием и как его выполнить.

Сколько стоит и как долго длится сертификация ISO 27001

Один из самых частых вопросов при обращении в «Астелс» — сколько времени и денег занимает получение сертификата ISO 27001. Ответ зависит от стартового уровня зрелости СУИБ компании.

Типовые сроки и стоимость

Инсайт из практики: компании, которые начинают проект с GAP-анализа (анализа разрывов между текущим состоянием и требованиями ISO 27001), в среднем тратят на 20–30% меньше на внедрение. GAP-анализ позволяет сфокусироваться на реальных пробелах, а не переписывать всё с нуля. О методологии анализа разрывов применительно к другим системам менеджмента читайте: Переход с ISO 9001:2015 на ISO 9001:2026: GAP Analysis.

ISO 27001 и 152-ФЗ: как стандарт закрывает требования по персональным данным

Федеральный закон № 152-ФЗ «О персональных данных» и ISO/IEC 27001:2022 — не конкуренты, а взаимодополняющие документы. Для ИТ-компаний, обрабатывающих ПДн по поручению заказчиков, это важно понимать.

Матрица соответствия: ISO 27001 ↔ 152-ФЗ

Важный нюанс: ISO 27001 не заменяет требования ФСТЭК России к аттестации ИСПДн (информационных систем персональных данных). Для государственных контрактов по-прежнему может потребоваться аттестация по приказу ФСТЭК № 17. Однако наличие ISO 27001 существенно сокращает объём подготовительной работы.

Подготовка к сертификационному аудиту: чек-лист для CISO

Сертификационный аудит ISO 27001 проходит в два этапа. Первый — документарный (проверка политик, процедур, реестра рисков). Второй — проверка соответствия на месте. Вот практический чек-лист для CISO, ответственного за подготовку.

За 3 месяца до аудита

• Завершить оценку рисков ИБ по всем активам (включая облачные)
• Разработать и утвердить план обработки рисков (Risk Treatment Plan)
• Провести внутренний аудит СУИБ — минимум один раз до сертификационного
• Провести анализ СУИБ со стороны руководства — оформить протокол

За 1 месяц до аудита

• Проверить полноту реестра информационных активов
• Убедиться, что все 93 меры Приложения А задокументированы в SoA (Декларации о применимости)
• Проверить наличие записей о прохождении обучения по ИБ для всего персонала
• Убедиться, что последние инциденты ИБ задокументированы и проанализированы
• Проверить конфигурации систем: патч-менеджмент, логирование, резервное копирование

За 1 неделю до аудита

• Провести брифинг с ключевыми сотрудниками: системным администратором, HR, юристом
• Подготовить папку документов аудитора: политики, процедуры, реестры, протоколы
• Убедиться, что DLP-система (если внедрена) активна и логи доступны
• Протестировать доступ к системе управления инцидентами

Типичные ошибки при внедрении СУИБ и как их избежать

По опыту «Астелс» в сопровождении более 150 проектов по ИБ-сертификации, вот ТОП-8 ошибок, которые срывают первый сертификационный аудит:

1. Реестр активов составлен формально — без классификации по критичности и без учёта облачных ресурсов. Аудитор всегда проверяет: покрывает ли реестр реальную инфраструктуру?
2. Оценка рисков без методологии — «мы оценили всё как средний риск» без описания метода и критериев. Аудитор потребует обоснования каждой оценки.
3. SoA заполнен по шаблону без обоснования — исключения из Приложения А должны быть обоснованы. Если мера не применима — объясните почему.
4. Политика ИБ не доведена до персонала — на вопрос аудитора «Знаете ли вы политику ИБ компании?» сотрудники отвечают «нет». Это критичное несоответствие.
5. Внутренний аудит не проводился — ISO 27001 требует минимум одного внутреннего аудита перед сертификационным. Документальное подтверждение обязательно.
6. Нет записей о реагировании на инциденты — даже если инцидентов «не было», должен быть журнал с нулевыми записями или объяснение.
7. Пароли и доступы не соответствуют политике — аудитор может попросить продемонстрировать, что правила парольной политики реально применяются в Active Directory.
8. Управление поставщиками не задокументировано — в версии 2022 года требования к безопасности цепочки поставок усилены. Договоры с ИТ-подрядчиками должны включать требования ИБ.

О типичных ошибках внедрения систем менеджмента в целом читайте в статье Типичные ошибки при внедрении ИСО 9001 — большинство закономерностей универсальны для любой системы.

Итог

В 2025 году ISO 27001 для ИТ-компании — это не «иметь хорошо», а «не иметь плохо». Рост утечек данных на 34%, требования 95% банков ТОП-20 и усиление ответственности по 152-ФЗ создали рыночный порог: без сертификата крупный B2B-рынок закрывается.

Хорошая новость: при правильно выстроенном проекте внедрения ИТ-компания до 50 сотрудников может получить сертификат за 3–5 месяцев и начать выигрывать банковские тендеры уже в следующем квартале. Главное — не откладывать.

Специалисты «Астелс» проводят бесплатный GAP-анализ: покажем, насколько ваша компания готова к ISO 27001, и составим реалистичный план внедрения.

Нужна сертификация ISO 27001 для ИТ-компании? Позвоните нам: 8(800) 70-70-144 — консультация бесплатна. Работаем по всей России, 60+ городов.