ISO/IEC 27005
ISO /IEC 27005 — міжнародний стандарт інформаційної безпеки, який в Україні має назву ДСТУ ISO/IEC 27005:2015 Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки (ISO/IEC 27005:2011, IDT), прийнято 18 грудня 2015 року, вступив в дію з початку 2017 року.[1]
Цей стандарт забезпечує рекомендації для менеджменту ризиків інформаційної безпеки, які включають інформацію і менеджмент ризиків безпеки технологій телекомунікації.
Методи, описані в цьому стандарті, відповідають загальним поняттям, моделям і процесам, зазначеним в ISO / IEC 27001. Ці рекомендації призначені, щоб допомогти реалізувати достатню інформаційну безпеку, засновану на підході менеджменту ризиками.
Для закінченого розуміння цього стандарту важливо знайомство з поняттями, моделями, процесами і термінологією, описаної в ISO/IEC 27001 та ISO/IEC 27002.
Цей міжнародний стандарт є придатним до всіх типів організацій (наприклад, комерційні підприємства, урядові агентства, некомерційні організації), які мають намір здійснювати менеджмент ризиками, які ставлять під загрозу інформаційну безпеку організації.
Зміст стандарту
Стандарт не вказує, не рекомендує або навіть не називає конкретного методу управління ризиками. Проте це означає постійний процес, що складається з структурованої послідовності дій, деякі з яких ітеративні:
- Встановити контекст управління ризиками (наприклад, обсяг, зобов'язання щодо дотримання, підходи / методи, що підлягають використанню, а також відповідні політики та критерії, такі як толерантність або апетит до ризику організації)
- Високоякісно або якісно оцінити (тобто ідентифікувати, аналізувати та оцінювати) відповідні інформаційні ризики, беручи до уваги інформаційні активи, загрози, існуючі контролі та вразливі місця, щоб визначити вірогідність сценаріїв інцидентів або інцидентів, а також очікувані комерційні наслідки, якщо вони мали місце, визначити «рівень ризику»
- Використовувати (наприклад, змінювати елементи інформаційної безпеки), зберігати (приймати), уникати та / або поділяти (з третіми сторонами) ризики відповідно, використовуючи ці «рівні ризику» для визначення їх пріоритету.
- Моніторте та переглядайте ризики, ризикові методи лікування, зобов'язання та критерії на постійній основі, виявляючи та відповідаючи на відповідні суттєві зміни.