Электронная подпись и стандарт ISO 27001: руководство на 2026 год

Электронная подпись стала основой процессов заключения контрактов B2B, но её юридическая и коммерческая ценность зависит от часто недооцениваемого предварительного условия: надёжности информационной системы, которая её поддерживает. Именно здесь вступает в действие стандарт ISO/IEC 27001, международный справочник по управлению безопасностью информации. В 2026 году, когда кибератаки на платформы электронной подписи растут в числе и регламент eIDAS 2.0 ужесточает требования к поставщикам услуг доверия, вопрос о сертификации ISO 27001 перестал быть роскошью для крупных корпораций: он становится стандартным критерием выбора для любого развёртывания электронной подписи в компании.

Данная статья анализирует синергию между ISO 27001 и электронной подписью, конкретные обязательства, которые она влечёт, риски несоответствия, и этапы получения или оценки сертификации у вашего SaaS-поставщика.

Что такое стандарт ISO 27001 и почему он имеет центральное значение для электронной подписи?

Опубликованный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC), стандарт ISO/IEC 27001:2022 (пересмотренная версия октября 2022 года) определяет требования для установления, внедрения, поддержания и постоянного совершенствования Системы управления информационной безопасностью (СМИБ). Он охватывает 93 контроля, распределённых по четырём тематикам: организационные контроли, контроли в отношении людей, физические контроли и технологические контроли.

Для электронной подписи этот стандарт имеет особую важность, поскольку он напрямую адресует три столпа безопасности информации:

• Конфиденциальность: защита подписанных документов от несанкционированного доступа
• Целостность: гарантия того, что документы не будут изменены после подписания
• Доступность: возможность получить доступ к доказательствам подписания в случае судебного разбирательства

Контроли ISO 27001, непосредственно применимые к электронной подписи

Из 93 контролей приложения A стандарта несколько применяются непосредственно к рабочим процессам подписания:

Контроль 5.14 – Передача информации: устанавливает формальные правила для защищённой передачи документов на подпись, в частности через зашифрованные протоколы (TLS 1.3 минимум).

Контроль 8.24 – Использование криптографии: требует документированной политики шифрования, охватывающей алгоритмы, используемые для создания и проверки электронных подписей. На практике это подразумевает использование алгоритмов, соответствующих рекомендациям ANSSI (RSA-3072 или ECDSA-256 минимум в 2026 году).

Контроль 8.12 – Предотвращение утечек данных (DLP): защищает личные данные, содержащиеся в подписанных документах, в прямом соответствии с обязательствами GDPR.

Контроль 5.18 – Права доступа: гарантирует, что только уполномоченные лица могут инициировать, подписывать или просматривать документ в платформе.

ISO 27001 в сравнении с другими сертификатами безопасности: какая дополнительность?

ISO 27001 – не единственный релевантный стандарт, но он является основой. Он дополняется:

• SOC 2 Type II (американский стандарт, часто требуемый компаниями, котирующимися на NYSE)
• ISO/IEC 27017 и 27018: расширения, специфичные для облачных технологий и защиты личных данных в облаке
• Квалификация eIDAS, выданная аккредитованными организмами (LSTI во Франции): обязательна для Квалифицированных поставщиков услуг доверия (QPSC)

Поставщик электронной подписи, сертифицированный ISO 27001 И квалифицированный по eIDAS, предлагает максимальный уровень гарантий, согласованный с тем, что описывает полное руководство по регламенту eIDAS 2.0.

Конкретные требования для SaaS-поставщиков электронной подписи

Выбор SaaS электронной подписи, сертифицированного ISO 27001, не означает, что ваша организация автоматически охвачена – но это существенно снижает уровень остаточного риска, который вы принимаете.

Сфера действия сертификации: что нужно проверить

При оценке поставщика три вопроса критичны:

1. Охватывает ли сфера действия сертификации услугу электронной подписи? Издатель может быть сертифицирован ISO 27001 по своей деятельности по разработке программного обеспечения, без включения платформы электронной подписи в сфере действия. Требуйте официальный сертификат и проверяйте Заявление об применимости (Statement of Applicability).

1. Актуальна ли сертификация? ISO 27001 требует ежегодных проверочных аудитов и повторной сертификации каждые три года. Истёкший сертификат аннулирует любые гарантии.

1. Какой орган сертификации? Во Франции органы, аккредитованные COFRAC (Bureau Veritas, SGS, BSI Group, LRQA…), выдают признанные сертификаты. Собственное заявление о соответствии не имеет никакой юридической силы.

Управление инцидентами и непрерывность деятельности

ISO 27001 требует План непрерывности деятельности (BCP) и План восстановления деятельности (DRP), задокументированные и протестированные. Для платформы электронной подписи это конкретно означает:

• RTO (Recovery Time Objective) менее 4 часов для production-сред
• RPO (Recovery Point Objective) менее 1 часа, исключающий любую потерю данных подписей
• Протестированные процедуры восстановления как минимум дважды в год
• Процедура уведомления об инцидентах безопасности в соответствии со статьёй 33 GDPR (максимум 72 часа)

Эти требования соответствуют требованиям директивы NIS2, трансформированной во французское право законом № 2024-449 от 21 мая 2024 года, который налагает на критически важные и важные субъекты обязательства по отчётности об инцидентах и усиленные меры кибербезопасности.

Как сертификация ISO 27001 усиливает доказательственную ценность электронной подписи

Момент, часто неизвестный юристам и закупочным менеджерам: юридическая прочность квалифицированной электронной подписи зависит отчасти от технической цепи доверия, которая её поддерживает. Документ, подписанный на платформе, безопасность которой нарушена, может видеть оспариваемой его доказательственную ценность в суде.

Целостность данных как основание правомерности

Статья 1366 Французского гражданского кодекса устанавливает, что электронная подпись имеет силу рукописной подписи «при условии, что автор надлежащим образом может быть идентифицирован и что она установлена и сохранена в условиях, которые гарантируют её целостность». Это условие целостности – это именно то, на чём сосредоточена ISO 27001.

В случае судебного разбирательства поставщик, сертифицированный ISO 27001, сможет предоставить:

• Неизменяемые логи аудита, доказывающие историю доступов
• Отчёты об аудите сертификации, подтверждающие наличие необходимых контролей
• Политику управления криптографическими ключами, соответствующую приложению A

Эти элементы составляют совокупность доказательств, которая существенно укрепляет позицию стороны, ссылающейся на действительность подписи. Для получения дополнительной информации о юридической ценности различных уровней подписи см. наш сравнение решений электронной подписи.

Хранение доказательств и сроки сохранения

ISO 27001 в сочетании со стандартом NF Z42-020 (цифровой сейф) и рекомендациями ETSI EN 319 162 (квалифицированная услуга электронного архивирования) позволяет определить политику хранения, гарантирующую доказательственную ценность подписей на длительные периоды – до 30 лет для определённых коммерческих контрактов.

Контроль 8.10 – Удаление информации стандарта ISO 27001 кроме того требует документированные процедуры для безопасного уничтожения данных в конце их жизненного цикла, в соответствии с правом на забвение в GDPR (статья 17).

Как оценить и потребовать соответствие ISO 27001 от вашего поставщика электронной подписи

В рамках процесса закупок или продления контракта SaaS вот четырёхэтапный протокол оценки.

Этап 1: Запросить и проверить официальный сертификат

Требуйте сертификат ISO/IEC 27001:2022 (а не версию 2013, которая устарела с октября 2025 года) вместе с самым последним отчётом об аудите наблюдения. Проверьте срок действия в реестре органа сертификации.

Этап 2: Проанализировать Заявление об применимости (SoA)

Statement of Applicability перечисляет выбранные и исключённые контроли с обоснованием. Любой контроль, исключённый без документированного обоснования, представляет остаточный риск для оценки в рамках вашего анализа рисков поставщика.

Этап 3: Интегрировать требования в контракт

Ваш контракт с поставщиком должен содержать:

• Положение о поддержании сертификации с обязательством уведомления при её приостановлении
• Право на аудит или доступ к ежегодным отчётам об аудите третьей стороной
• SLA по безопасности, согласованные с BCP/DRP поставщика
• Положение об ответственности в случае инцидента безопасности, влияющего на целостность подписей

Этап 4: Провести собственный анализ рисков

Даже сертифицированный поставщик не покрывает ваши внутренние риски. ISO 27001 требует от вашей организации анализ рисков (пункт 6.1.2), охватывающий в частности:

• Управление доступом сотрудников к платформе электронной подписи
• Повышение осведомлённости об атаках фишинга, нацеленных на рабочие процессы подписания
• Политику управления делегированиями подписей

Этот подход естественным образом встраивается в общую политику управления электронной подписью для HR и юридических команд, где объёмы обрабатываемых документов подвергают значительным операционным рискам.

Применимое правовое регулирование электронной подписи и ISO 27001

Соответствие системы электронной подписи основано на наслоении нормативных требований, которые каждой компании B2B необходимо понимать.

Гражданский кодекс, статьи 1366 и 1367: Статья 1366 устанавливает эквивалентность электронной и рукописной подписи при условии идентификации автора и гарантии целостности. Статья 1367 определяет электронную подпись как «использование надёжного процесса идентификации, гарантирующего его связь с документом, к которому она относится».

Регламент eIDAS № 910/2014 и eIDAS 2.0 (Регламент ЕС 2024/1183): Применяется во всех государствах-членах ЕС, он различает три уровня подписей (простая, усовершенствованная, квалифицированная) и требует от Квалифицированных поставщиков услуг доверия (QPSC) проведения проверок соответствия аккредитованными организмами. Пересмотр eIDAS 2.0, начавший постепенное применение с мая 2024 года, ужесточает требования надзора и вводит европейский кошелёк цифровой идентичности (EUDIW).

Регламент GDPR № 2016/679: Личные данные в подписанных документах (идентичность подписавшего, IP-адрес, временная метка) составляют персональные данные. Ответственный за обработку должен обеспечить их защиту (статья 5), уведомить о нарушениях в течение 72 часов (статья 33) и внедрить защиту по умолчанию (статья 25). ISO 27001 обеспечивает техническую основу для соответствия.

Директива NIS2 (Директива ЕС 2022/2555), трансформированная во французское право законом № 2024-449 от 21 мая 2024 года: Критически важные и важные субъекты – среди них многие B2B-участники – должны внедрить пропорциональные меры кибербезопасности, включая управление рисками, связанными с поставщиками (статья 21). Поставщик электронной подписи без сертификации ISO 27001 может представлять риск третьей стороны в соответствии с NIS2.

Стандарты ETSI: Серия ETSI EN 319 100 определяет технические требования для квалифицированных электронных подписей (EN 319 132 для XAdES, EN 319 122 для CAdES, EN 319 142 для PAdES). Эти технические стандарты предполагают инфраструктуру безопасности, соответствующую стандартам ISO 27001.

Справочник ANSSI: Во Франции Национальное агентство по безопасности информационных систем публикует рекомендации по криптографическим алгоритмам (справочник RGS – Référentiel Général de Sécurité), реализация которых облегчается благодаря СМИБ, сертифицированной по ISO 27001. Квалификация eIDAS поставщиков во Франции рассматривается ANSSI как национальный органом надзора.

Отсутствие сертификации ISO 27001 у поставщика электронной подписи подвергает компанию-клиента рискам оспаривания доказательственной ценности подписанных документов, штрафам по GDPR (до 4 % мирового дохода или 20 млн EUR) и нарушениям соответствия NIS2.

Практические сценарии: ISO 27001 и электронная подпись в действии

Сценарий 1 — Адвокатская контора по корпоративному праву из 25 человек

Контора, специализирующаяся на слияниях и поглощениях, ежегодно обрабатывает более 600 документов, требующих усовершенствованной или квалифицированной электронной подписи (NDA, протоколы о намерениях, акты уступки). После внутреннего аудита, выявившего пробелы в отслеживании доступов к платформе электронной подписи, контора решает принимать только поставщиков, сертифицированных по ISO/IEC 27001:2022 с периметром, явно охватывающим услугу подписания.

Результат: после миграции на сертифицированную платформу контора отмечает снижение на 40 % времени, затрачиваемого на проверки безопасности при проведении тендеров клиентов, и может предоставить отчёты об аудите сертификации в течение 48 часов при запросах от своих клиентов-крупных компаний. Среднее время утверждения контракта снижается с 3,2 дня до 1,4 дня.

Сценарий 2 — Промышленное предприятие, обрабатывающее 1 500 договоров поставщиков в год

Промышленная МСП, являющаяся поставщиком первого уровня производителя автомобилей, должна продемонстрировать своему заказчику, что вся её цепь электронной подписи (заказы на закупку, рамочные контракты, дополнительные соглашения) соответствует требованиям ISO 27001, предусмотренным в справочнике по закупкам группы. МСП проводит картирование рисков своих поставщиков в соответствии с пунктом 6.1.2 стандарта и выявляет, что её предыдущий SaaS-поставщик не имеет действительной сертификации.

После миграции на сертифицированное решение и внедрения внутренней СМИБ МСП получает необходимую квалификацию поставщика и закрепляет четырёхлетний рамочный контракт. Стоимость сертификации (примерно 15 000–25 000 EUR для МСП такого размера в зависимости от консалтинговых кабинетов) окупается менее чем за шесть месяцев с учётом объёма защищённых контрактов.

Сценарий 3 — Больничный комплекс примерно на 1 200 коек

В здравоохранении учреждения лечения подлежат усиленным требованиям: обработка данных о здоровье (специальная категория согласно статье 9 GDPR), сертификация HDS (Хранилище данных здравоохранения) и теперь квалификация NIS2 как критически важного субъекта. Больничный комплекс развёртывает электронную подпись для своих трудовых договоров, соглашений о клинических исследованиях и государственных закупок (примерно 900 документов/месяц).

Выбрав поставщика, сочетающего сертификацию ISO 27001, сертификацию HDS и квалификацию QPSC eIDAS, учреждение снижает воздействие рисков несоответствия GDPR на 60 % по оценке своего DPO и получает архивирование с гарантированной доказательственной ценностью на 30 лет для юридически значимых медицинских документов. Средний срок подписания договоров клинических исследований сокращается с 12 дней до 3,5 дней, высвобождая значительные ресурсы для административных команд.

Заключение

В 2026 году сертификация ISO/IEC 27001:2022 больше не является просто маркетинговым аргументом для поставщиков электронной подписи: она представляет собой незаменимую техническую и правовую основу для гарантирования целостности подписанных документов, соответствия GDPR и NIS2, а также доказательственной ценности договорных обязательств. Для B2B-компаний требование этой сертификации от SaaS-поставщика стало обязательством надлежащей осмотрительности, наравне с проверкой квалификации eIDAS.

Certyneo сертифицирована по ISO/IEC 27001:2022 с периметром, охватывающим полноту своей платформы электронной подписи. Наши команды могут помочь вам оценить вашу текущую соответствие и внедрить защищённый рабочий процесс подписания, адаптированный к вашим объёмам и сектору. Запросите бесплатную демонстрацию на Certyneo или изучите наши тарифы, чтобы найти формулу, подходящую вашей организации.