Компании, которые начинают внедрение СУИБ, часто сталкиваются с двумя похожими обозначениями: ISO/IEC 27001 и ISO/IEC 27002. Из-за этого возникает закономерный вопрос: это два разных стандарта, два этапа внедрения или просто разные названия одного и того же документа?
Путаница понятна. Оба стандарта относятся к информационной безопасности, оба используются в проектах по внедрению системы управления информационной безопасностью, и оба регулярно упоминаются в контексте аудита ISO 27001 и сертификации ISO 27001. Но их назначение разное.
Разобраться в этой разнице важно не только специалистам по ИБ, но и руководителям, внутренним аудиторам, ИТ-директорам и всем, кто участвует во внедрении ISO 27001 на практике. От правильного понимания зависит и структура документов, и логика оценки рисков информационной безопасности, и то, насколько зрелой будет СУИБ.
Что такое ISO 27001 и ISO 27002 простыми словами
Если объяснять максимально просто, ISO 27001 отвечает на вопрос “что должно быть в системе управления информационной безопасностью”, а ISO 27002 — на вопрос “как можно реализовать меры защиты информации на практике”.
ISO/IEC 27001 — это стандарт с требованиями к СУИБ. Именно он используется для сертификации. Если компания хочет пройти внешний аудит и получить сертификат, проверять будут соответствие требованиям ISO 27001.
ISO/IEC 27002 — это не стандарт для сертификации, а практическое руководство. Он помогает понять смысл контролей и выбрать подходящие меры защиты информации с учетом рисков, процессов и особенностей бизнеса.
Иными словами:
ISO 27001 — это требования к системе;
ISO 27002 — это рекомендации по применению контролей.
Это ключевое различие. Одна из самых частых ошибок — воспринимать ISO 27002 как обязательный чек-лист, который нужно внедрить полностью. На практике это неверно.
Зачем компании нужны оба стандарта
Для бизнеса разница между ISO 27001 и ISO 27002 не теоретическая, а вполне практическая.
ISO 27001 нужен, чтобы выстроить управляемую систему: определить контекст, роли, ответственность, политику информационной безопасности, подход к рискам, порядок внутреннего аудита, улучшения и управления инцидентами информационной безопасности.
ISO 27002 нужен, чтобы не ограничиться общими формулировками и понять, как именно могут выглядеть меры защиты в реальной компании. Он особенно полезен, когда нужно решить вопросы доступа, резервного копирования, логирования, управления поставщиками, работы с удаленными сотрудниками, облачными сервисами и другими практическими аспектами.
Проще говоря, ISO 27001 задает каркас, а ISO 27002 помогает наполнить этот каркас рабочим содержанием.
Как ISO 27002 связано с ISO/IEC 27001 и СУИБ
Связь между этими стандартами особенно хорошо видна в логике приложения A ISO 27001 и документа Statement of Applicability, или SoA.
В ISO 27001 организация должна:
провести оценку рисков информационной безопасности;
определить меры обработки рисков;
выбрать применимые контроли;
обосновать, какие контроли применяются, а какие нет.
Именно здесь на практике помогает ISO 27002. Он дает пояснения к контролям и помогает понять, как их трактовать и внедрять без формального подхода.
Например, если компания включила в SoA контроль, связанный с управлением доступом, одного названия контроля недостаточно. Нужно понять, какие процессы реально должны стоять за этим: кто выдает доступ, кто его утверждает, как пересматриваются права, как закрываются доступы при увольнении, как контролируются подрядчики.
Вот здесь ISO 27002 особенно полезен: он переводит контроль из короткой формулировки в практическую логику применения.
Что важно учитывать на практике
На практике ISO 27001 и ISO 27002 работают не как взаимозаменяемые документы, а как связка.
Правильная логика обычно выглядит так:
Компания определяет границы СУИБ и требования заинтересованных сторон.
Проводит оценку рисков информационной безопасности.
Определяет, какие риски нужно снижать.
Выбирает меры защиты информации.
Фиксирует выбор в Statement of Applicability.
Реализует процессы, роли, документы и контроль выполнения.
Если пропустить этап оценки рисков и сразу перейти к “внедрению контролей из ISO 27002”, система почти всегда получается формальной. Контроли появляются, но непонятно, почему именно они выбраны, какие риски они закрывают и насколько они соразмерны бизнесу.
Зрелый подход — когда ISO 27002 используют как практический инструмент после анализа рисков, а не вместо него.
Типовые ошибки и слабые места
Одна из самых распространенных ошибок — считать, что ISO 27001 — это “про документы”, а ISO 27002 — “про ИТ-настройки”. На самом деле оба стандарта шире.
СУИБ — это не только техническая защита. Это еще и процессы, сотрудники, поставщики, обучение, распределение ответственности, управление изменениями и реакция на инциденты.
Еще одна типовая ошибка — пытаться внедрить все контроли подряд. Такой подход перегружает систему, создает лишнюю бюрократию и часто не дает реального эффекта для информационной безопасности компании.
Также компании нередко:
не связывают SoA с реальными рисками;
используют шаблонные формулировки без адаптации к бизнесу;
путают обязательные требования ISO 27001 с рекомендациями ISO 27002;
описывают контроли на бумаге, но не встраивают их в процессы;
недооценивают роль руководства и владельцев процессов.
Что проверяют на аудите ISO 27001
Во время аудита ISO 27001 аудитора обычно интересует не то, читала ли компания ISO 27002, а то, насколько обоснованно и последовательно построена ее СУИБ.
На что смотрят в первую очередь:
есть ли понятная логика оценки рисков;
соответствуют ли выбранные меры характеру рисков;
связан ли Statement of Applicability с реальной практикой;
понимают ли сотрудники свои обязанности;
работают ли процессы управления доступом, инцидентами, изменениями и поставщиками;
поддерживается ли система в актуальном состоянии.
Если организация использовала ISO 27002 осмысленно, это обычно видно. Контроли не выглядят случайными, документы не оторваны от практики, а система управления информационной безопасностью воспринимается как рабочая, а не формальная.
Практические рекомендации
Если вы только начинаете внедрение ISO 27001, полезно придерживаться простой логики.
Сначала выстройте основу СУИБ: область действия, политика информационной безопасности, роли, методику оценки рисков, цели и ключевые процессы.
Затем используйте ISO 27002 как рабочее руководство при выборе и детализации контролей. Особенно это полезно при разработке SoA, регламентов доступа, правил работы с активами, поставщиками, инцидентами и облачными сервисами.
Также стоит проверить три вопроса:
понимает ли компания, какие контроли действительно нужны именно ей;
можно ли связать каждый значимый контроль с конкретным риском;
выполняются ли эти меры в реальной работе, а не только в документах.
Итоги
Разница между ISO 27001 и ISO 27002 принципиальна, но на практике они дополняют друг друга.
ISO 27001 — это стандарт с требованиями к СУИБ, на соответствие которому проводится сертификация ISO 27001. ISO 27002 — это руководство, которое помогает правильно выбирать и применять меры защиты информации.
Если говорить совсем кратко: ISO 27001 задает правила игры, а ISO 27002 помогает играть в них грамотно.
Для бизнеса это означает следующее: строить СУИБ только по общим требованиям ISO 27001 без практической проработки контролей часто недостаточно. Но и использовать ISO 27002 без риск-ориентированной логики ISO 27001 тоже ошибка. Зрелый подход появляется тогда, когда компания использует оба стандарта в связке: один — как основу системы, второй — как практический инструмент ее наполнения и развития.