ISO/IEC 27005:2011 и ГОСТ Р ИСО/МЭК 27005–2010 управление рисками ИБ
Поможем в ✍️ написании учебной работы
Поможем с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой

Стандарт ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management» (Информационная технология. Методы и средства обеспечения безопасности. Управление рисками ИБ) [3] содержит общее руководство по управлению рисками ИБ, которое может быть использовано в различных типах организаций – коммерческих, некоммерческих, государственных. ISO/IEC 27005:2011 предназначен для организации адекватного бизнес-потребностям ОИБ на основе риск-ориентированного подхода. Для правильного применения этого стандарта необходимо знание концепций, моделей, процессов терминологии, введенных в ISO/IEC 27001 и 27002.

В ISO/IEC 27005:2011 развиты основные идеи, ранее представленные в уже недействующих в настоящее время стандартах ISO/IEC 13335–3:1998 и 13335–4:2000, посвященных управлению безопасностью информационных и телекоммуникационных технологий (ИТТ). Вторая редакция стандарта ISO/IEC 27005 гармонизирована с ISO/IEC 27000:2009. Также он опирается на следующие стандарты управления рисками, перечисленные в его библиографическом списке: ISO Guide 73:2009 (словарь из более чем 50 терминов в области управления рисками; на основе его более ранней редакции был создан ГОСТ Р 51897–2002 «Менеджмент риска. Термины и определения» [9]), ISO 16085, AS/NZS 4360 и NIST SP 800–30. Кроме этого были предприняты определенные усилия по его адаптации в соответствии с принятыми в 2009 г. стандартами ISO 31000:2009 (Управление рисками. Принципы и руководящие указания) и ISO 31010:2009 (Управление рисками. Методики оценки рисков).

Считается, что ISO/IEC 27005:2011 был разработан на основе британского стандарта BS 7799–3:2006 «Information security management systems. Guidelines for information security risk management» (Системы менеджмента ИБ. Руководство по управлению рисками ИБ), определяющего процессы оценки и управления рисками как составные элементы системы управления организации, при этом используя процессную модель PDCA.

С декабря 2011 г. в России введен в действие ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», идентичный ISO/IEC 27005:2011 и заменяющий ГОСТ Р ИСО/МЭК ТО 13335–3–2007 «Информационная технология. Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий» и ГОСТ Р ИСО/МЭК ТО 13335–4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Выбор защитных мер».

В целом ГОСТ Р ИСО/МЭК 27005–2010 носит описательный характер не содержит какой-либо конкретной методологии и даже не называет конкретные методы управления рисками ИБ, хотя и устанавливает структурированный, систематический и строгий метод анализа рисков ИБ посредством создания плана их обработки. Стандарт позволяет применяющей его организации самостоятельно учесть различные аспекты СУИБ, идентифицировать уровни своих рисков, определить критерии для принятия риска, идентифицировать приемлемые риски и т. д. Организация сама должна выбрать из имеющихся свой подход к управлению рисками ИБ, зависящий, например, от целей использования СУИБ, области ее действия, содержания процесса управления рисками ИБ и сферы своей деятельности.

ГОСТ Р ИСО/МЭК 27005–2010 состоит из следующих основных разделов:

1) обзор процесса управления рисками ИБ как непрерывного процесса;

2) установление контекста управления рисками ИБ;

3) оценка рисков ИБ (общее описание оценки рисков ИБ, анализ рисков ИБ, включая идентификацию, оценивание значительности и вычисление рисков ИБ);

4) обработка рисков ИБ (общее описание обработки рисков, снижение, сохранение, избежание и передача рисков);

5) принятие рисков ИБ;

6) коммуникация (обмен информацией) рисков ИБ;

7) мониторинг и пересмотр рисков ИБ.

В приложениях к стандарту содержится ряд сведений информативного характера: определение целей и границ процесса управления рисками ИБ, определение и оценка активов и воздействия на них, примеры типичных угроз ИБ, уязвимости и методы их оценки, подходы к оценке рисков ИБ, ограничения для снижения рисков.

В стандарте риск ИБ определяется как потенциальная возможность то-го, что установленная угроза воспользуется уязвимостью актива или группы активов и тем самым нанесет ущерб организации. Измеряется риск ИБ как сочетание последствий, вытекающих из возникновения нежелательного события, и вероятности возникновения этих событий. Указывается, что процесс анализа рисков ИБ требует выполнения следующих действий: определения информационных активов, которые подвержены рискам, потенциальных угроз ИБ и их источников, потенциальных уязвимостей и потенциальных последствий при реализации рисков ИБ. Упоминаются как качественные, так и количественные методы оценки рисков ИБ, но никакому из них не отдается предпочтение. Но отмечается, что процесс оценки рисков ИБ сильно зависит от исходных данных и поэтому может быть итеративным, если полученные результаты будут признаны неудовлетворительными. Также наглядно представлен весь процесс управления рисками ИБ и более детально рассмотрены оценка рисков ИБ, обработка рисков ИБ и остаточные риски ИБ.

ГОСТ Р ИСО/МЭК 27005-2010 предназначен для руководителей сотрудников организации, занимающихся управлением рисками ИБ, на сотрудников внешних организаций, задействованных в данной деятельности.

 

Дата: 2018-12-28, просмотров: 519.