Безопасность 21 апреля 2026 г. · Milan Cák · 9 min čítania

ISO 27001 для МСБ: что это значит и когда окупается

ISO 27001 для малого и среднего бизнеса: когда обязательна, как проходит аудит, что это даёт клиенту. Опыт сертификации AMCEF.

Súčasť série: Безопасность и compliance в облачных ERP 2026: комплексное руководство для МСБ

ISO/IEC 27001 — международный стандарт для системы управления информационной безопасностью (ISMS). Для малого и среднего бизнеса он формально не обязателен, однако в 2026 году становится де-факто необходимым при B2B-контрактах с крупными клиентами, в государственных закупках и в секторах, регулируемых NIS2. Сертификация занимает 4–9 месяцев и стоит 8 000–25 000 EUR для компании среднего размера, но открывает доступ к тендерам на сотни тысяч и миллионы EUR в год.

Эта статья является частью серии о безопасности и compliance в облачных ERP. Она объясняет, что ISO 27001 реально означает для МСБ, как мы получили его в группе AMCEF (учредитель Modulario) и какие преимущества это даёт нашим клиентам.

Что такое ISO 27001 простыми словами

ISO 27001 — это не «просто бумажка», как порой считают компании со стороны. Это система управления информационной безопасностью, охватывающая три уровня:

Политики и процессы — как вы принимаете сотрудников, как работаете с паролями, как реагируете на инцидент, как списываете старый ноутбук.
Технические меры — шифрование, MFA, мониторинг, сегрегация сетей, резервное копирование.
Управление рисками — регулярный анализ активов, угроз и уязвимостей с планами их снижения.

Стандарт определяет 114 контролей в Приложении A, разделённых на 14 областей (от организации безопасности до управления инцидентами и compliance). Аудитор проверяет, есть ли для каждого применимого контроля доказательство — политика, запись, лог, скриншот, учебный материал.

Ключевые понятия, которые вам встретятся

ISMS (Information Security Management System) — система в целом.
SoA (Statement of Applicability) — документ, где вы указываете, какие из 114 контролей Приложения A применяете и почему.
Анализ рисков — формальный процесс идентификации активов, угроз, уязвимостей и расчёта риска.
Наблюдательный аудит (Surveillance audit) — ежегодная контрольная проверка после сертификации.
Ресертификация — полный аудит каждые 3 года.

Когда ISO 27001 обязателен или необходим для МСБ

По законодательству: почти никогда напрямую, часто косвенно

ISO 27001 не является всеобщим требованием ни одной директивы ЕС. Однако он становится косвенно необходимым в следующих ситуациях:

Субъекты, регулируемые NIS2 — директива требует «надлежащих мер», а ISO 27001 де-факто признаётся доказательством их соответствия. Без него проверки становятся значительно сложнее.
Субъекты, регулируемые DORA — для ИКТ-провайдеров третьих сторон финансовых институтов сертификация практически обязательна.
Государственный сектор и стратегические отрасли — национальные законы о кибербезопасности в ЕС ссылаются на ISO/IEC 27001/27002 как на референсный стандарт.

По рынку: всё чаще

В 2026 году ISO 27001 встречается как условие допуска в следующих контекстах:

Контекст	Частота требования	Стоимость отсутствия
Тендер у крупной промышленной компании	Высокая	Исключение из закупки
Поставщик для банка / страховой компании	Высокая	Дисквалификация
Государственная закупка свыше 200 тыс. EUR	Средняя–высокая	Дополнительные баллы или исключение
Контракт с государственным учреждением	Высокая	Расширенная документация
SaaS для EU enterprise-клиентов	Средняя	Затяжной vendor due diligence
Киберстрахование	Средняя	Более высокая страховая ставка

Пример из практики: компания AMCEF (группа, в которую входит Modulario) получила ISO 27001 в 2024 году прежде всего потому, что 5 из 10 крупнейших потенциальных клиентов требовали сертификацию как условие для RFP.

Как проходит сертификация: хронология и затраты

Фаза 1: Подготовка (2–4 месяца)

Gap-анализ — где мы находимся сегодня vs. где должны быть. Как правило, 2–3 дня внешний консультант или внутренний менеджер проекта.
Определение scope ISMS — вся компания или только одно подразделение/продукт? Для МСБ рекомендуем начинать со всей компании (проще поддерживать, дешевле в долгосрочной перспективе).
Политики и процедуры — как правило, 25–35 документов: политика безопасности, политика доступа, классификация данных, план реагирования на инциденты, BCP, политика поставщиков и т.д.
Анализ рисков — реестр активов (серверы, приложения, данные, люди, поставщики), моделирование угроз, план обработки рисков.
Внедрение контролей — технических (MFA, мониторинг, шифрование, backup) и организационных (обучение, кодекс поведения, onboarding поставщиков).

Фаза 2: Внутренний аудит и management review (1 месяц)

Перед внешним аудитом необходимо доказать, что система работает не менее 3 месяцев. Это означает:

Как минимум один цикл внутреннего аудита с находками и корректирующими действиями.
Management review (протокол совещания, на котором обсуждается эффективность ISMS).
Активные логи, записи об инцидентах, записи об обучении.

Фаза 3: Сертификационный аудит (1–2 месяца)

Внешний сертификационный орган (BSI, Bureau Veritas, SGS, TÜV SÜD, LRQA, DEKRA и др.) проводит двухступенчатый аудит:

Stage 1: Document review. Аудитор приходит на 1–2 дня и проверяет наличие всех документов.
Stage 2: Implementation audit. Аудитор 2–5 дней (в зависимости от размера компании) проверяет, реализуется ли то, что написано в документах. Проводит интервью с сотрудниками, проверяет логи, выборочное тестирование.

Если вы проходите без «major non-conformity», получаете сертификат, действительный 3 года, с обязательными ежегодными наблюдательными аудитами.

Затраты

Для МСБ с 20–80 сотрудниками:

Статья	Диапазон цен
Gap-анализ + консультация	3 000–8 000 EUR
Внутренняя реализация (частичная ставка 1 человека на 4–6 мес.)	6 000–15 000 EUR (зарплата)
Сертификационный аудит (Stage 1 + Stage 2)	4 000–10 000 EUR
Наблюдательный аудит / год	1 500–3 500 EUR
Ресертификация / 3 года	4 000–8 000 EUR
Итого первый год	8 000–25 000 EUR

Наш опыт: ISO 27001 в AMCEF и Modulario

Группа AMCEF (учредитель Modulario) прошла сертификацию ISO 27001 в 2024 году. Вот реальные уроки, которые стоит передать:

Что нам помогло

Cloud-native архитектура с самого начала. Modulario работает на инфраструктуре ЕС с нативным шифрованием, MFA, журналом аудита и решениями для резервного копирования. Это означало, что значительная часть технических контролей была выполнена by-default. Для компаний с on-premise legacy-системами сертификация значительно сложнее.
Выделенный человек. У нас был один человек, для которого ISMS был основной ответственностью (не побочной задачей) в течение 4 месяцев.
Внешний консультант для gap-анализа и Stage 0. Инвестиция в 5 000 EUR сэкономила 2 месяца поиска решений.

Что нас удивило

Объём документации. В итоге у нас было ~30 политик и ~50 процедур. Изобретать велосипед не нужно — существуют шаблоны, которые адаптируются.
Нагрузка по обучению. Каждый сотрудник должен пройти как минимум 2-часовое обучение + ежегодный refresh. Для компании из 50 человек это 100 часов в год.
Управление поставщиками. Каждый SaaS-поставщик должен быть оценён и зафиксирован. Excel-таблица растёт быстро.

Что бы мы сделали иначе

Начали бы отслеживать инциденты раньше. Аудитору нужны были записи за 3 месяца; мы начали систематически их собирать только за 2 месяца до Stage 2. Очень плотно по срокам.
Более последовательная классификация данных. Потратили лишнее время на «переписывание» классификации с public/internal на 4-уровневую модель.

Что наша сертификация даёт клиенту Modulario

Клиент Modulario, выбирая нас, автоматически наследует значительную часть мер безопасности, не выстраивая их самостоятельно:

Исключительно EU-хостинг (Франкфурт, Прага) с сертифицированными дата-центрами.
Шифрование at rest и in transit — AES-256, TLS 1.3.
Журнал аудита в каждом модуле — совместимый с GDPR, NIS2 и внутренним аудитом клиента.
Role-based access control с настраиваемыми правами на уровне атрибута через модуль Сотрудники.
Поддержка 2FA / SSO (TOTP, WebAuthn, SAML, OIDC).
Backup и план DR с определёнными RTO < 8 ч и RPO < 1 ч.
Процесс реагирования на инциденты с SLA на уведомление < 24 ч.
Стандартизированный DPA согласно ст. 28 GDPR.
Публичный список суб-обработчиков с процессом pre-approval.

Для клиента это означает, что при собственном аудите ISO 27001 или due diligence по NIS2 он может сослаться на Modulario как на сертифицированного провайдера, вместо того чтобы выстраивать собственную документацию для SaaS-слоя. Это экономит десятки страниц документации и недели работы.

Подробно наши меры безопасности описаны на странице Безопасность и в кейсе AMCEF.

Когда НЕ стоит инвестировать в ISO 27001

ISO 27001 — не универсальное лекарство. Инвестиция не окупается, если:

Вы компания из 2–8 человек без B2B-контрактов, требующих сертификации.
Ваши данные низкорискованные (публично доступная информация, нет персональных данных в большом объёме).
Вы не работаете в секторах, регулируемых NIS2/DORA.
В ближайшие 12 месяцев у вас нет планируемого тендера, где она требуется.

В таком случае разумнее:

Соблюдать GDPR compliance (20-пунктовый чеклист).
Выбрать ISO 27001 сертифицированного SaaS-провайдера для критических систем (ERP, CRM, email, хранилище файлов).
Иметь базовые технические меры (MFA, шифрование, backup, управление поставщиками) и документацию.

Если позже потребуется сертификация, у вас будут прочные основы и путь к ней будет короче.

Часто задаваемые вопросы

Сколько времени займёт получить ISO 27001 для компании из 30 человек? Реалистично 4–6 месяцев от решения до сертификата, если у компании cloud-native архитектура и выделенный человек. Для on-premise среды или без выделенного человека — скорее 9–12 месяцев.

Достаточно ли ISO 27001 или нужен ещё SOC 2? Для рынка EU B2B доминирует ISO 27001. SOC 2 — прежде всего для американского рынка и финансового сектора. Если вы нацелены на US-клиентов или являетесь SaaS-провайдером для fintech, оба сертификата повышают доверие. Для МСБ в ЕС приоритет — ISO 27001.

Что если я пройду аудит с minor non-conformity? Minor non-conformity (незначительное несоответствие) — это не основание для отказа в сертификате. Аудитор даст срок (как правило, 1–3 месяца) на корректирующие действия. Major non-conformity (существенное несоответствие) означает, что сертификат вы не получите, пока не исправите нарушение и не докажете его устранение.

Можно ли сертифицировать только одно подразделение компании? Да, scope ISMS определяете вы сами. Для cloud SaaS-продукта, например, мы сертифицируем только подразделение, которое его разрабатывает и эксплуатирует (engineering + ops + support), а не всю материнскую компанию. Это экономит время и деньги. Однако scope должен быть чётко обозначен и иметь смысл для клиента.

Milan Cák

Modulario

📚 Pillar článok

Безопасность и compliance в облачных ERP 2026: комплексное руководство для МСБ

Комплексное руководство по безопасности облачных ERP в ЕС на 2026 год — ISO 27001, GDPR, NIS2, DORA, аудит-лог, DPIA, CLOUD Act vs. европейская правовая база. Для МСБ.

Prečítať komplet →

Často kladené otázky

Сколько времени займёт получить ISO 27001 для компании из 30 человек?

Реалистично 4–6 месяцев от решения до сертификата, если у компании cloud-native архитектура и выделенный человек. Для on-premise среды или без выделенного человека — скорее 9–12 месяцев.

Достаточно ли ISO 27001 или нужен ещё SOC 2?

Для рынка EU B2B доминирует ISO 27001. SOC 2 — прежде всего для американского рынка и финансового сектора. Если вы нацелены на US-клиентов или являетесь SaaS-провайдером для fintech, оба сертификата повышают доверие. Для МСБ в ЕС приоритет — ISO 27001.

Что если я пройду аудит с minor non-conformity?

Minor non-conformity — это не основание для отказа в сертификате. Аудитор даст срок (как правило, 1–3 месяца) на корректирующие действия. Major non-conformity означает, что сертификат вы не получите, пока не исправите нарушение и не докажете его устранение.

Можно ли сертифицировать только одно подразделение компании?

Да, scope ISMS определяете вы сами. Для cloud SaaS-продукта, например, мы сертифицируем только подразделение, которое его разрабатывает и эксплуатирует (engineering + ops + support), а не всю материнскую компанию. Это экономит время и деньги. Scope должен быть чётко обозначен.