ИСО и МЭК: Опубликован новый стандарт ISO/IEC 27554:2024 «Применение стандарта ISO 31000 для оценки риска, связанного с идентификационными профилями»

В июле 2024 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации нового стандарта ISO/IEC 27554:2024 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Применение стандарта ISO 31000 для оценки риска, связанного с идентификационными профилями» (Information security, cybersecurity and privacy protection — Application of ISO 31000 for assessment of identity-related risk) объёмом 26 страниц, см. https://www.iso.org/standard/71672.html и https://www.iso.org/obp/ui/en/#!iso:std:71672:en .

Стандарт разработан подкомитетом SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединенного технического комитета ИСО/МЭК JTC1 «Информационные технологии» (Information technology).

Мой комментарий: Здесь упоминается стандарт ISO 31000:2018 «Менеджмент риска - Руководство» (Risk management – Guidelines, https://www.iso.org/standard/65694.html ) , который в России адаптирован как ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=226783 , а также мой пост http://rusrim.blogspot.com/2020/03/31000-2019.html  

В аннотации на стандарт отмечается:

«В данном документе, представляющем собой расширение стандарта ISO 31000:2018, содержатся рекомендации по рискам, связанным с идентификационными профилями (identity). В частности, в нём используется описанный в ISO 31000 процесс для того, чтобы дать рекомендации пользователям по установлению контекста и оценке риска, включая предоставление сценариев риска для процессов и реализаций, которые подвержены риску, связанному с идентификационными профилями.

Данный документ применим к оценке риска для процессов и услуг, которые полагаются на идентификацию или связаны с ней. Данный документ не затрагивает аспекты риска, связанные с общими вопросами доставки, технологий или безопасности.»

Содержание документа следующее:

Предисловие
Введение
1. Область определения
2. Нормативные ссылки
3. Термины и определения
4. Принципы
5. Концептуальная структура
6. Процесс
7. Установление контекста, связанного с идентификацией
8. Оценка рисков, связанных с идентификацией
9. Выявление рисков, связанных с идентификацией
10. Анализ рисков, связанных с идентификацией
11. Оценка рисков, связанных с идентификацией
12. Обработка рисков, связанных с идентификацией
Приложение A: Стандарты, относящиеся к оценке рисков управления идентификационными профилями
Приложение B: Оценка воздействия рисков
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/71672.html
https://www.iso.org/obp/ui/en/#!iso:std:71672:en