Пробел в сертификации в корпоративных закупках
Закупка корпоративного SaaS развила последовательный фильтр квалификации: сертификация ISO 27001. Опрос 2025 года среди корпоративных CISO показал, что "отсутствие признанной сертификации безопасности" было #2 причиной для дисквалификации поставщиков SaaS, уступая только "недостаточной архитектуре шифрования".
Причина структурная. Корпоративные команды безопасности отвечают за проверку десятков и сотен поставщиков ежегодно. Проведение полного индивидуального аудита безопасности для каждого поставщика — это значительная нагрузка на команду безопасности. Сертификация ISO 27001 предоставляет краткий путь: независимый аудитор уже оценил систему управления информационной безопасностью поставщика по признанному стандарту с 93 контролями в 11 областях.
Для поставщиков без ISO 27001 каждая сделка с предприятием требует создания доказательной базы с нуля. Для поставщиков с ISO 27001 пакет доказательств уже существует и был независимо проверен.
Что на самом деле охватывает Приложение A ISO 27001:2022
Приложение A ISO 27001:2022 включает 93 контроля по четырем темам: организационные, человеческие, физические и технологические. Для инструментов конфиденциальности в облаке, на которых корпоративные команды закупок сосредоточены наиболее сильно, являются:
Криптографические контроли (Приложение A 8.24): Требует, чтобы организация определила правила использования криптографических контролей, включая управление ключами. Сертификация демонстрирует, что у поставщика есть задокументированная, проверенная политика по тому, как генерируются, хранятся, доступны и уничтожаются ключи шифрования.
Контроль доступа (Приложение A 8.2-8.5): Требует, чтобы доступ к информации был ограничен на основе принципа наименьших привилегий. Сертификация демонстрирует, что доступ сотрудников поставщика к данным клиентов контролируется и документируется.
Отношения с поставщиками (Приложение A 5.19-5.22): Требует, чтобы требования безопасности для отношений с поставщиками были задокументированы и контролировались. Это актуально для предприятий, чьи собственные клиенты требуют от них документирования безопасности их поставщиков.
Документ сертификации ISO 27001 не отвечает на каждый вопрос закупки — он устанавливает, что организационные и процессные контроли существуют. Сертификация сокращает объем индивидуальной оценки до вопросов, специфичных для архитектуры, которые стандарт не охватывает.
Вопрос архитектуры, на который стандарт не отвечает
Сертификация ISO 27001 отвечает на вопросы процессных и организационных контролей. Она не отвечает на основной архитектурный вопрос, который больше всего интересует регулируемые предприятия: "Может ли поставщик получить доступ к нашим данным?"
Поставщик с сертификацией ISO 27001 все еще может работать с ключами шифрования на стороне сервера. Сертификация подтверждает, что управление ключами соответствует задокументированной политике — но не гарантирует, что политика предотвращает доступ поставщика.
Архитектура нулевого знания отвечает на вопрос, который ISO 27001 оставляет открытым. Архитектура — вывод ключей на стороне клиента, отсутствие хранения ключей на стороне сервера, шифрование AES-256-GCM перед передачей — делает ответ на вопрос "может ли поставщик получить доступ к нашим данным?" однозначно отрицательным.
Влияние на закупки от сочетания ISO 27001 с архитектурой нулевого знания: ISO 27001 удовлетворяет организационным и процессным требованиям контроля, которые проверяют анкеты для закупок. Архитектура нулевого знания удовлетворяет требованиям доступа к данным, которые являются наивысшим приоритетом для регулируемых отраслей. Вместе они охватывают два основных критерия квалификации для одобрения облачного поставщика в здравоохранении, финансовых услугах и юридических рынках.
Сокращение времени на практике
Сроки оценки безопасности поставщиков в регулируемых отраслях обычно составляют от 3 до 6 месяцев без признанной сертификации. Оценка включает заполнение анкеты по безопасности, обзор документации, обзор технической архитектуры и часто звонок с командой безопасности.
С сертификацией ISO 27001 предприятия могут сократить фазу обзора документации — сертификат и сопутствующее Заявление о применимости предоставляют доказательства. С документацией архитектуры нулевого знания фаза обзора архитектуры разрешается быстро. Сроки оценки сокращаются до 3-6 недель для самых эффективных процессов закупок предприятий.
Для поставщиков, нацеленных на сделки с регулируемыми отраслями, расчет затрат и выгод от сертификации ISO 27001 прост: сертификация сокращает циклы продаж с месяцев до недель для каждой сделки с регулируемым предприятием. При размерах сделок с предприятиями сокращение времени приводит к значительному ускорению доходов.
Для предприятий, покупающих инструменты конфиденциальности, комбинация сертификаций предоставляет качественно иной риск-профиль: поставщик, который не может получить доступ к данным клиентов (нулевое знание) и который имеет независимо проверенные организационные контроли (ISO 27001), представляет собой самые сильные доступные доказательства обязательства по безопасности у облачного поставщика.
Источники: