Новый стандарт по менеджменту риска информационной безопасности

4 комментария

В декабре 2011 г. принят новый стандарт ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности (ISO/IEC 27005:2008 Information technology – Security techniques – Information security risk management (IDT)). 

Стандарт является развитием BS7799-3 и гармоничен с серией стандартов 27000, а именно: с ГОСТ Р ИСО/МЭК 27001-2006 и ГОСТ Р ИСО/МЭК 17799-2005.

Стандарт придерживается процессного подхода к управлению рисками (по аналогии с ISO 9000), в нем даются описания оценки риска, включая анализа риска, обработки риска, информативности (коммуникации) процесса управления, мониторинга и переоценки риска, также приводятся примеры табличной оценки и ранжирования рисков информационной безопасности.

Стандарт пришел на смену ГОСТ Р ИСО/МЭК ТО 13335-3-2007 и ГОСТ Р ИСО/МЭК ТО 13335-4-2007.

 

Из последних принятых стандартов в области информационой безопасности и технической защиты информации можно еще назвать:

  •  ГОСТ Р ИСО/МЭК 27004-2011   Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения
  •  ГОСТ Р ИСО/МЭК 27033-1-2011   Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции
  •   ГОСТ Р ИСО/МЭК 21827-2010   Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса 
      

 С прошлогодней подборкой национальных и ведомственных стандартов РФ по безопасности информации можно ознакомиться на нашем блоге: Российские стандарты по информационной безопасности.

Еще, из области оценки риска, на наш взгляд, очень интересный стандарт ISO/IEC 31010:2009 Risk management — Risk assessment techniques (Менеджмент рисков. Методы оценки рисков).

В стандарте можно ознакомиться с такми методами, как: «мозговой штурм», структурированные опросы, метод Дельфи, контрольные листы, PHA, HAZOP, HACCP, оценка экологического риска, SWIFT, анализ сценариев, BIA, RCA, FMEA/FMECA, анализ дерева неисправностей (FTA), анализ дерева событий (ETA), причинно-следственный анализ, анализ причинноследственных связей, анализ уровней надежности средств защиты (LOPA), анализ дерева решений, HRA, анализ диаграммы «галстукбабочка», RCM, анализ паразитности (SA) или анализ паразитных цепей (SCА), анализ цепей Маркова (ТМО), метод Монте-Карло, Байесова статистика и сети Байеса, FN-кривые, индексы риска, матрица последствий и вероятностей, CBA, многокритериальный анализ решений! 

Драфт-перевод ISO/IEC 31010 белорусских коллег можно заценить здесь: http://tnpa.by/tnpa/TnpaFiles/pdf/stb_ISO_IEC_31010_txt.pdf

Можно добавить, что о необходимости нового стандарта по менеджменту рисками информационой безопасности мы еще писали когда-то, нас услышали:

Марков А.С., Цирлов В.Л. Управление рисками — нормативный вакуум информационной безопасности // Открытые системы. СУБД. 2007. № 8. С. 63-67. 

 

 

 

Possibly Related Posts:


Эксперт сообщества Алексей Марков

Канд.техн.наук, ст.науч.сотр., CISSP, SBCI, доцент каф. ИБ МГТУ им.Н.Э.Баумана

Рубрика: Cтандарты, информационная безопасность. Метки: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , . Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

4 Отзывов на «Новый стандарт по менеджменту риска информационной безопасности»


  1. Смирнов А

    См. Журнал «Проблемы анализа риска» и будете счатливы:
    http://www.dex.ru/PAR_information_resource/PAR_journal/archive/

  2. Алексей Марков

    По теме непрерывности бизнеса (BS 25999) еще можно добавить:
    ГОСТ Р 53647.4-2011 Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности
    ГОСТ Р 53647.3-2010 Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению
    ГОСТ Р 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования
    ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство

  3. Нина

    НАССР и безопасность не разделимы. Но причем здесь ИСО 27000 ??

  4. Алексей Марков

    Также как менеджмент и метод.