О подготовке этого документа я уже рассказывала здесь: http://rusrim.blogspot.com/2022/01/isoiec-27005.html
Документ подготовлен техническим подкомитетом SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии». Он заменил ранее действовавшую редакцию ISO/IEC 27005:2018.
В России стандарт адаптирован как ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» на основе старой редакции ISO/IEC 27005:2008 (см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=169502 ).
Во вводной части документа отмечается следующее:
«Настоящий документ содержит:
- Рекомендации по реализации требований к рискам информационной безопасности, установленных в стандарте ISO/IEC 27001:2013 (в России с 1 января 2022 года вступил в силу ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», https://protect.gost.ru/v.aspx?control=8&baseC=6&page=0&id=231601 - Н.Х.);
- Ключевые ссылки на стандарты, разработанные техническим подкомитетом ИСО/МЭК JTC1/SC27, способствующие деятельности по менеджменту рисков информационной безопасности;
- Рекомендации по действиям, направленным на смягчение рисков, связанных с информационной безопасностью (см. ISO/IEC 27001:2022, пп. 6.1 и 8);
- Рекомендации по внедрение указаний по менеджменту рисков из стандарта ISO 31000 в контексте информационной безопасности.
Мой комментарий: Здесь упоминается стандарт ISO 31000:2018 «Менеджмент риска - Руководство» (Risk management – Guidelines), который в России адаптирован как ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=226783
Настоящий документ содержит подробные рекомендации по менеджменту рисков и дополняет рекомендации из стандарта ISO/IEC 27003 (в России адаптирован как ГОСТ Р ИСО/МЭК 27003-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230306 – Н.Х.).
Предполагаемая целевая аудитория данного документа включает:
- организации, которые намереваются создать и внедрить систему менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001;
- лиц, которые осуществляют или вовлечены в менеджмент рисков информационной безопасности (например, специалистов по СМИБ, владельцев рисков и другие заинтересованные стороны);
- организации, которые намереваются улучшить свой процесс менеджмента рисков информационной безопасности.
... Настоящий документ содержит рекомендации, помогающие организациям:
- выполнять требования стандарта ISO/IEC 27001 в отношении действий по устранению рисков информационной безопасности; а также
- выполнять действия по менеджменту рисков информационной безопасности, в частности, проводить оценку и обработку рисков информационной безопасности.
Данный документ применим в любых организациях, вне зависимости от их типа, размера или сектора.»
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Структура настоящего документа
5. Менеджмент риска информационной безопасности
6. Определение условий деятельности (контекста)
7. Процесс оценки рисков информационной безопасности
8. Процесс обработки рисков информационной безопасности
9. Выполнение процессов
10. Использование взаимосвязанных процессов системы менеджмента информационной безопасности (СМИБ)
Приложение A: Примеры методов, поддерживающих процесс оценки риска
Библиография
Источники: сайт ИСО
https://www.iso.org/standard/80585.html
https://www.iso.org/obp/ui/#!iso:std:80585:en
Комментариев нет:
Отправить комментарий