Документ, над которым работает технический подкомитет SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии», заменит ныне действующую редакцию ISO/IEC 27005:2018.
В России стандарт адаптирован как ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» на основе старой редакции ISO/IEC 27005:2008 (см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=169502 ).
Познакомиться с текстом проекта и принять участие в его обсуждении (до 1 января 2022 года, при условии регистрации на сайте) сейчас можно на сайте Британского института стандартов (см. рис.) по адресу https://standardsdevelopment.bsigroup.com/projects/2020-00316#/section
Во вводной части документа отмечается следующее:
«Настоящий документ содержит:
- Рекомендации по реализации требований к рискам информационной безопасности, установленных в стандарте ISO/IEC 27001:2013 (в России с 1 января 2022 года вступает в силу ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» - Н.Х.);
- Ключевые ссылки на стандарты семейства ISO/IEC 27000, в поддержку деятельности по менеджменту рисков информационной безопасности;
- Рекомендации по действиям, направленным на смягчение рисков, связанных с информационной безопасностью (см. ISO/IEC 27001:2013, пп. 6.1 и 8);
- Рекомендации по внедрение указаний по менеджменту рисков из стандарта ISO 31000 в контексте информационной безопасности.
Настоящий документ содержит подробные рекомендации по менеджменту рисков и дополняет рекомендации из стандарта ISO/IEC 27003 (в России адаптирован как ГОСТ Р ИСО/МЭК 27003-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230306 – Н.Х.).
Предполагаемая целевая аудитория данного документа включает:
- Организации, которые намереваются создать и внедрить систему менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001:2013;
- Лиц, которые осуществляют или вовлечены в менеджмент рисков информационной безопасности (например, специалистов по СМИБ, владельцев рисков и другие заинтересованные стороны);
- Организации, которые намереваются улучшить свой процесс менеджмента рисков информационной безопасности.
- Выполнять требования стандарта ISO/IEC 27001:2013 в отношении действий по устранению рисков информационной безопасности; а также
- Выполнять действия по менеджменту рисков информационной безопасности, в частности, проводить оценку и обработку рисков информационной безопасности.
Данный документ применим в любых организациях, вне зависимости от их типа, размера или сектора.»
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Структура настоящего документа
5. Менеджмент риска информационной безопасности
6. Определение условий деятельности (контекста)
7. Процесс оценки рисков информационной безопасности
8. Процесс обработки рисков информационной безопасности
9. Выполнение процессов
10. Использование взаимосвязанных процессов системы менеджмента информационной безопасности (СМИБ)
Приложение A: Методы, поддерживающие процесс оценки риска – Примеры
Библиография
Источники: сайт ИСО / сайт BSI
https://www.iso.org/standard/80585.html
https://www.iso.org/obp/ui/#!iso:std:80585:en
https://standardsdevelopment.bsigroup.com/projects/2020-00316#/section
Комментариев нет:
Отправить комментарий