Новый стандарт по менеджменту риска информационной безопасности
В декабре 2011 г. принят новый стандарт ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности (ISO/IEC 27005:2008 Information technology – Security techniques – Information security risk management (IDT)).
Стандарт является развитием BS7799-3 и гармоничен с серией стандартов 27000, а именно: с ГОСТ Р ИСО/МЭК 27001-2006 и ГОСТ Р ИСО/МЭК 17799-2005.
Стандарт придерживается процессного подхода к управлению рисками (по аналогии с ISO 9000), в нем даются описания оценки риска, включая анализа риска, обработки риска, информативности (коммуникации) процесса управления, мониторинга и переоценки риска, также приводятся примеры табличной оценки и ранжирования рисков информационной безопасности.
Стандарт пришел на смену ГОСТ Р ИСО/МЭК ТО 13335-3-2007 и ГОСТ Р ИСО/МЭК ТО 13335-4-2007.
Из последних принятых стандартов в области информационой безопасности и технической защиты информации можно еще назвать:
- ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения
- ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции
- ГОСТ Р ИСО/МЭК 21827-2010 Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса
С прошлогодней подборкой национальных и ведомственных стандартов РФ по безопасности информации можно ознакомиться на нашем блоге: Российские стандарты по информационной безопасности.
Еще, из области оценки риска, на наш взгляд, очень интересный стандарт ISO/IEC 31010:2009 Risk management — Risk assessment techniques (Менеджмент рисков. Методы оценки рисков).
В стандарте можно ознакомиться с такми методами, как: «мозговой штурм», структурированные опросы, метод Дельфи, контрольные листы, PHA, HAZOP, HACCP, оценка экологического риска, SWIFT, анализ сценариев, BIA, RCA, FMEA/FMECA, анализ дерева неисправностей (FTA), анализ дерева событий (ETA), причинно-следственный анализ, анализ причинно—следственных связей, анализ уровней надежности средств защиты (LOPA), анализ дерева решений, HRA, анализ диаграммы «галстук—бабочка», RCM, анализ паразитности (SA) или анализ паразитных цепей (SCА), анализ цепей Маркова (ТМО), метод Монте-Карло, Байесова статистика и сети Байеса, FN-кривые, индексы риска, матрица последствий и вероятностей, CBA, многокритериальный анализ решений!
Драфт-перевод ISO/IEC 31010 белорусских коллег можно заценить здесь: http://tnpa.by/tnpa/TnpaFiles/pdf/stb_ISO_IEC_31010_txt.pdf.
Можно добавить, что о необходимости нового стандарта по менеджменту рисками информационой безопасности мы еще писали когда-то, нас услышали:
См. Журнал «Проблемы анализа риска» и будете счатливы:
http://www.dex.ru/PAR_information_resource/PAR_journal/archive/
По теме непрерывности бизнеса (BS 25999) еще можно добавить:
ГОСТ Р 53647.4-2011 Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности
ГОСТ Р 53647.3-2010 Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению
ГОСТ Р 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования
ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство
НАССР и безопасность не разделимы. Но причем здесь ИСО 27000 ??
Также как менеджмент и метод.