СТ РК ISO/IEC 27005-2022 «Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности»

СТ РК ISO/IEC 27005-2022

Информационные технологии
Методы обеспечения безопасности
Менеджмент риска информационной безопасности

(ISO/IEC 27005:2018, Information technology. Security techniques.

Information security risk management, IDT)

Содержание

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Структура настоящего стандарта

5. Предпосылки создания стандарта

6. Обзор процесса менеджмента рисков информационной безопасности

7. Установление контекста

8. Оценка рисков информационной безопасности

9. Обработка рисков информационной безопасности

10. Принятие риска информационной безопасности

11. Обмен информацией относительно риска информационной безопасности

12. Мониторинг и пересмотр риска информационной безопасности

Приложение А (информационное) Определение области применения и границ процесса менеджмента рисков информационной безопасности

Приложение В (информационное) Идентификация и определение ценности активов, определение стоимости воздействия

Приложение С (информационное) Примеры типичных угроз

Приложение D (информационное) Уязвимости и методы для оценки уязвимости

Приложение Е (информационное) Подходы в оценке рисков информационной безопасности

Приложение F (информационное) Ограничения для снижения риска

Библиография

1. Область применения

Настоящий стандарт содержит рекомендации по управлению рисками информационной безопасности.

Настоящий стандарт поддерживает общие концепции, определенные в ISO/IEC 27001, и предназначен для содействия адекватного обеспечения информационной безопасности на основе подхода, связанного с менеджментом риска.

Знание концепций, моделей, процессов и терминологии, изложенных в ISO/IEC 27001 и ISO/IEC 27002, важно для понимания настоящего стандарта.

Настоящий стандарт применим для организаций всех типов (например, коммерческих предприятий, государственных учреждений, некоммерческих организаций), планирующих осуществлять менеджмент рисков, которые могут скомпрометировать информационную безопасность организации.

2. Нормативные ссылки

Для применения настоящего стандарта необходим следующий документ по стандартизации. Для датированных ссылок применяют только указанное издание ссылочного документа, для недатированных ссылок применяют последнее издание ссылочного документа (включая все его изменения).

ISO/IEC 27000:2018 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь (Information technology - Security techniques - Information security management systems - Overview and vocabulary)

3. Термины и определения

В настоящем стандарте применяются термины и определения по ISO/IEC 27000.

4. Структура настоящего стандарта

Настоящий стандарт содержит описание процесса менеджмента риска информационной безопасности и связанных с ним видов деятельности.

Предпосылки создания стандарта приведены в разделе 5.