СТ РК ISO/IEC 27005-2013
Информационные технологии
Методы обеспечения безопасности
Менеджмент риска информационной безопасности
(ISO/IEC 27005:2011, IDT)
Взамен введен СТ РК ISO/IEC 27005-2022
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Структура настоящего стандарта
5. Вводная информация
6. Обзор процесса менеджмента рисков информационной безопасности
7. Установление контекста
8. Оценка рисков информационной безопасности
9. Обработка рисков информационной безопасности
10. Принятие рисков информационной безопасности
11. Обмен информацией и консультирование по рискам информационной безопасности
12. Мониторинг и пересмотр рисков информационной безопасности
Приложение А (справочное). Определение области применения и границ процесса менеджмента рисков информационной безопасности
Приложение В (справочное). Идентификация и определение ценности активов и оценка воздействия
Приложение С. Примеры типичных угроз
Приложение D. Уязвимости и методы оценки уязвимости
Приложение Е. Подходы к оценке рисков информационной безопасности
Приложение F (справочное). Ограничения, относящиеся к корректировке рисков
Приложение G (справочное). Различия в определениях, установленных в ISO/IEC 27005:2008 и ISO/IEC 27005:2011
Приложение Д.А (информационное). Сведения о соответствии национальных стандартов ссылочным международным стандартам (международным документам)
Библиография
Введение
Настоящий стандарт содержит руководящие указания по менеджменту рисков информационной безопасности в организации, поддерживающие, в частности, требования системы менеджмента информационной безопасности (СМИБ) согласно ISO/IEC 27001. Однако указанный стандарт не содержит какого-либо конкретного метода для менеджмента рисков информационной безопасности. Определение подхода к менеджменту рисков осуществляется организацией в зависимости, например, от области применения СМИБ, контекста менеджмента риска или области деятельности. В рамках структуры, описанной в настоящем стандарте, для внедрения требований СМИБ может использоваться ряд существующих методологий.
Настоящий стандарт предназначен для руководителей и сотрудников, занимающихся в организации вопросами менеджмента рисков информационной безопасности, а также, при необходимости, для внешних сторон, поддерживающих такие виды деятельности.
1. Область применения
Настоящий стандарт содержит руководящие указания по менеджменту рисков информационной безопасности.
Настоящий стандарт поддерживает общие концепции, установленные в ISO/IEC 27001, и предназначен для содействия в удовлетворительном внедрении информационной безопасности на основе подхода, связанного с менеджментом рисков.
Знание концепций, моделей, процессов и терминологии, описанных в ISO/IEC 27001 и ISO/IEC 27002, важно для полного понимания настоящего стандарта.
