Риски информационной безопасности угрожают вашему бизнесу? Обновленный и улучшенный стандарт ISO/IEC 27005 повышает уровень защиты
Международный стандарт ISO/IEC 27005:2011, предоставляющий руководству и специалистам ИТ департаментов методологию по внедрению подхода к управлению рисков с целью поддержки систем управления информационной безопасности (СУИБ), опубликован.
Риски информационной безопасности представляют значительную угрозу для бизнеса вследствие возможности финансовых потерь или убытков, утраты важных сетевых сервисов, а также потери деловой репутации и лояльности клиентов. Управление рисками является одним из ключевых элементов предотвращения компьютерного мошенничества, идентификации краж, повреждения Web-сайтов, потери персональных данных и многих других инцидентов информационной безопасности. При отсутствии надлежащей методологии управления рисками, организации подвержены всевозможным компьютерным угрозам.
Новый международный стандарт ISO/IEC 27005:2011, Информационные технологии – Методы обеспечения безопасности – Управление рисками информационной безопасности, может помочь различным организациям в повышении уровня управления рисками информационной безопасности.
Новый стандарт описывает процесс управления рисками информационной безопасности и соответствующие действия и соответствует общим принципам, перечисленным в стандарте ISO/IEC 27001:2005, Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасности – Требования.
Тэд Хэмфри, Руководитель рабочей группы разработчиков ISO/IEC, комментирует: “ISO/IEC 27005:2011 представляет собой важный стандарт для желающих эффективно управлять своими рисками и, особенно, соответствовать требованиям известного стандарта по системам управления информационной безопасности ISO/IEC 27001. Управление рисками является критичным для надлежащего корпоративного управления, и данный стандарт помогает организациям в части рекомендаций “зачем, что и как” в области управления рисками информационной безопасности в контексте достижения целей корпоративных управления.”
В настоящей второй редакции стандарта, описанная в ISO/IEC 27005 методология подверглась пересмотру и обновлению с целью учета содержания следующих документов в области управления рисками:
- ISO 31000:2009, Управление рисками – Принципы и руководства
- ISO/IEC 31010:2009, Управление рисками – Методы оценки рисков
- ISO Guide73:2009, Управление рисками – Терминология
Стандарт разработан с учетом максимального соответствия ISO 31000:2009 с целью содействия организациям, желающим управлять рисками информационной безопасности в рамках общего подхода к управлению другими рисками.
ISO/IEC 27005:2011 нацелен также на помощь во внедрении стандарта в области систем управления информационной безопасности ISO/IEC 27001, который основывается на риск-ориентированном подходе. Знание основных положений, моделей, процессов и терминологии, описанных в ISO/IEC 27001 и ISO/IEC 27002: 2005, Информационные технологии – Методы обеспечения безопасности – Свод норм и правил в области управления информационной безопасности management, является важным для полного понимания настоящего международного стандарта. В соответствии со стандартом процесс управления рисками информационной безопасности состоит из:
- Определения области
- Оценки рисков
- Обработки рисков
- Принятии рисков
- Передачи информации о рисках
- Мониторинга и анализа рисков.
В то же время, ISO/IEC 27005:2011 не предоставляет какой любо конкретной методологии по управлению рисками информационной безопасности, а только общий подход. В компетенции самой организации определение конкретного подхода к управлению рисками в зависимости, например, от области применения СУИБ, специфики управления рисками или отрасли.
ISO/IEC 27005:2011, Информационные технологии – Методы обеспечения безопасности – Управление рисками информационной безопасности, разработан объединенным техническим комитетом ISO/IEC JTC 1, Информационные технологии, подкомитет SC 27, Методы обеспечения ИТ безопасности. Стоимость стандарта - 168 Швейцарских франков, приобретение возможно через национальные органы ISO (см. список с контактами), через ISO Store.