BALTUM BUREAU
Annex A простыми словами: какие контроли выбирают чаще всего
Annex A в ISO/IEC 27001 — это не обязательный чек-лист на 93 пункта, а удобное меню мер безопасности, из которого компания выбирает то, что реально снижает её риски. Если перевести на бытовой язык: у вас не обязаны стоять все замки и сигнализации мира — важно поставить те, что защищают именно ваш дом и ваши ценности.
В версии стандарта ISO/IEC 27001:2022 логика стала ещё практичнее: контроли сгруппированы по темам, а выбор объясняется через оценку рисков и применимость. Кстати, рядом часто вспоминают связку Annex A и B: Annex A — список возможных контролей, а Annex B помогает понять соответствие/соотнесение с другими рамками и подходами (полезно при сопоставлениях и аудитах).
Что такое Annex A и как им пользоваться
Annex A — это каталог типичных контролей информационной безопасности: организационных, кадровых, физических и технических. Компания не обязана внедрять их все — она должна:
  1. оценить риски (что может пойти не так и насколько это критично);
  2. выбрать релевантные меры;
  3. зафиксировать выбор в Заявлении о применимости (SoA) — почему контроль применим или почему нет.
Именно поэтому Annex A контроль в Узбекистане часто означает одно: «какие меры обычно ждут аудиторы и партнёры, и с чего начать, чтобы пройти проверку без лишней бюрократии».
Если вы хотите освежить базовую логику стандарта и терминов, удобно начать с обзорной страницы: ISO 27001: что это и как работает.
Почему одни контроли выбирают чаще других
На практике популярность контролей объясняется просто: они одновременно снижают самые частые риски и быстро дают эффект. Бизнесу важно не только соответствие на бумаге, но и реальные улучшения: меньше инцидентов, понятные правила доступа, контроль подрядчиков, стабильные бэкапы.
Ниже — меры, которые компании в Узбекистане чаще всего включают в SoA (и которые логично ожидают клиенты/партнёры при работе с данными и сервисами).
Топ контролей Annex A, которые внедряют чаще всего
Обычно стартуют с «гигиены безопасности» — вещей, без которых любая система напоминает офис без замков и журнала посетителей. Чаще всего в приоритете такие направления:
  • Управление доступом: принцип минимальных привилегий, регулярный пересмотр прав, разделение ролей.
  • Многофакторная аутентификация (MFA) для почты, удалённого доступа, админ-учёток — быстрый способ «снять» массу рисков.
  • Инвентаризация активов (что у нас есть: ноутбуки, серверы, облака, ПО, базы) и назначение владельцев — чтобы защищать не «что-то», а конкретные активы.
  • Классификация информации (коммерческая тайна, персональные данные, общие данные) и правила обращения с ней.
  • Резервное копирование и восстановление: не только делать бэкапы, но и проверять восстановление (иначе это как запасное колесо, которое никогда не доставали из багажника).
  • Журналирование и мониторинг событий: минимальный набор логов, уведомления о подозрительной активности, базовые сценарии реагирования.
  • Управление уязвимостями: регулярные обновления, сканирование, приоритизация «дырок» по критичности.
  • Управление инцидентами: кто что делает при утечке/взломе, как фиксируем, как уведомляем, как предотвращаем повторение.
  • Обучение и осведомлённость сотрудников: фишинг, пароли, работа с данными — один короткий курс часто снижает риск сильнее, чем «десять документов».
  • Безопасность поставщиков: требования к подрядчикам, доступы, NDA, минимальные проверки, условия в договорах.
Важно помнить: внедрение — это не поставили галочки. Хороший Annex A превращается в понятные правила и привычки команды: кто согласует доступ, как храним договоры, где лежат бэкапы, что делать при подозрительном письме.
Annex обновленные cтандарты для производителей: на что делают акцент
Для производственных и инженерных компаний (включая тех, у кого есть АСУ ТП/OT-среда) Annex A часто подсвечивает отдельные зоны риска. Annex: обновленные cтандарты для производителей — обычно про то, что бизнесу нужно защитить не только офисные ноутбуки, но и непрерывность процессов, техдокументацию, цепочку поставок и доступ подрядчиков.
Что чаще всего выбирают производители и интеграторы:
  • разграничение доступа к техсистемам и админ-учёткам;
  • контроль удалённого доступа (VPN, MFA, журналы, временные доступы);
  • резервирование критичных данных и конфигураций;
  • требования к подрядчикам, обслуживающим оборудование;
  • управление изменениями (чтобы маленькая правка не стала большим простоем).
Как понять, какие контроли нужны именно вам
Самый безопасный путь — не копировать чужой SoA, а связать контроли с вашими рисками: какие данные вы храните, какие сервисы критичны, где точки входа (почта, удалёнка, подрядчики, облака), какие требования у клиентов и регуляторов.
Если хотите пройти этот путь быстрее — BALTUM BUREAU помогает провести оценку рисков, подготовить SoA и внедрить выбранные меры без перегруза документами:
Консалтинг ISO 27001 в Ташкенте.
Нужна помощь с SoA и подбором контролей Annex A?
Если вы хотите понять, какие меры дадут максимум эффекта именно вашему бизнесу (и как это корректно показать аудитору), оставьте запрос через форму обратной связи:
https://iso27001.uz/contact
Вы получите понятный план: какие контроли внедрять в первую очередь, что можно отложить, и как оформить это так, чтобы ISO 27001 работал на бизнес, а не только для сертификата.


Поделиться в социальных сетях

KOMPANIYA HAQIDA

Baltum Byuro ISO standartlari bo'yicha sertifikatsiya va o'quv yechimlarini taqdim etishga ixtisoslashgan. Asosiy ofislari Buyuk Britaniya, Estoniya va AQShda joylashgan. Bizning xizmatlar doiramiz boshqaruv tizimlarini baholash, kiberxavfsizlik xizmatlari va turli sohalar bo'yicha sertifikatsiyalarni o'z ichiga oladi (masalan, tibbiy, ta'lim, oziq-ovqat sohalari).
SERTIFIKATSIYA

Baltum Byuro kompaniyasi quyidagi standartlar bo'yicha sertifikatsiya taqdim etadi:
ISO 9001, ISO 14001,
ISO 50001, ISO 45001,
ISO 22301, ISO 37001,
IATF 16949, ISO 41001,
ISO/IEC 27701, GDPR,
ISO/IEC 20000-1, ISO 17100, HIPAA, PCI DSS, SOC 2,
ISO 22301:2019,
ISO/TR 23244:2020,
ISO/TR 23576:2020, ISO 37301, ISO 18788, ISO/IEC 27035, ISO/IEC 27033, ISO 31000,
ISO 42001.
O'QISH

Kompaniyaning auditorlari joyiga tashrif buyurib hamda onlayn formatda korporativ treninglar o'tkazadilar.

ALOQA MA'LUMOTLARI


Asosiy ofis: 7 Bell Yard, London, England, WC2A 2JR, Buyuk Britaniya

E-mail: info@baltumburoo.com


O'zbekistondagi vakolatxona:

100128, Toshkent, Labzak ko'chasi, 64А

Telegram / WhatsApp:

+998 91 017 39 76

E-mail: info@bcert.org


Qozog'istondagi vakolatxona: 020000, Astana, Anet Baba ko'chasi 9/1B

E-mail: info@iso27001.kz

Telefon: +7 776 300 0222


Qo'shimcha ofislar:

Tojikiston, Moldaviya, Qirg'iziston, Gruziya, Armaniston

E-mail: info@iso27001.kz