ИСО и МЭК: Готовится новая редакция стандарта ISO/IEC 27005 «Руководство по менеджменту рисков и возможностей в области информационной безопасности»

В ноябре 2021 года сайт Международной организации по стандартизации сообщил о том, что идёт голосование по проекту международного стандарта ISO/IEC DIS 27005 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни – Руководство по менеджменту рисков и возможностей в области информационной безопасности» (Information security, cybersecurity and privacy protection — Guidance on managing information security risks), см. https://www.iso.org/standard/80585.html и https://www.iso.org/obp/ui/#!iso:std:80585:en .

Документ, подготовленный техническим подкомитетом SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии», заменил ныне действующую редакцию ISO/IEC 27005:2018.

Напомню, что в России адаптирована совсем старенькая редакция 2008 года как ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=169502 .

Во вводной части документа отмечается:

В настоящем документе содержатся рекомендации по следующим вопросам:

• реализация требований в отношении рисков информационной безопасности, установленных в стандарте ISO/IEC 27001;
  
  
• ссылки на ключевые документы в семействе стандартов ISO/IEC 27000, поддерживающие деятельность по менеджменту рисков информационной безопасности;
  
  
• действия, направленные на обработку рисков, связанных с информационной безопасностью (см. ISO/IEC 27001:2013, разделы 6.1 и 8);
  
  
• внедрение рекомендаций по менеджменту риска из стандарта ISO 31000 в контексте информационной безопасности.

Данный документ содержит подробные рекомендации по менеджменту риска и дополняет рекомендации из стандарта ISO/IEC 27003.

Целевая аудитория данного документа включает:

• организации, намеренные создать и внедрить систему менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001;
  
  
• лица, осуществляющие менеджмент риска информационной безопасности или участвуют в нём (например, специалисты по СМИБ, владельцы рисков и другие заинтересованные стороны);
  
  
• организации, намеревающиеся улучшить свои процессы менеджмента риска информационной безопасности.

Содержание стандарта следующее:

Предисловие
Вступление
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Структура настоящего документа
5. Менеджмент рисков информационной безопасности
6. Определение условий деловой деятельности (контекста)
7. Процесс оценки риска информационной безопасности.
8. Процесс обработки риска информационной безопасности.
9. Функционирование
10. Использование взаимосвязанных процессов системы менеджмента информационной безопасности (СМИБ)
Приложение A: Методы, поддерживающие процесс оценки риска - Примеры
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/80585.html
https://www.iso.org/obp/ui/#!iso:std:80585:en