Присоединяйтесь!
Зарегистрированных пользователей портала: 507 684. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕНЕДЖМЕНТ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 27005-2010" (утв. Приказом Росстандарта от 30.11.2010 N 632-ст)

Дата документа30.11.2010
Статус документаДействует
МеткиПриказ · Гост · Стандарт · Гост р · Исо/мэк

    

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Менеджмент риска информационной безопасности

Information technology. Security techniques. Information security risk management

ГОСТ Р ИСО/МЭК 27005-2010

ОКС 35.040

Дата введения 2011-12-01

 
    Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".
 

 
    1. ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл"), Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") на основе собственного аутентичного перевода международного стандарта, указанного в пункте 4.
    2. ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии.
    3. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. N 632-ст.
    4. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27005:2008 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (ISO/IEC 27005:2008 "Information technology - Security techniques - Information security risk management").
    Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.6).
    При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА.
    5. ВЗАМЕН ГОСТ Р ИСО/МЭК ТО 13335-3-2007 и ГОСТ Р ИСО/МЭК ТО 13335-4-2007.
    Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.
 

 
    Настоящий стандарт представляет руководство по менеджменту риска информационной безопасности (ИБ) в организации, поддерживая, в частности, требования к системе менеджмента информационной безопасности (СМИБ) в соответствии с ИСО/МЭК 27001. Однако настоящий стандарт не предоставляет какой-либо конкретной методологии по менеджменту риска информационной безопасности. Выбор подхода к менеджменту риска осуществляется организацией и зависит, например, от области применения СМИБ, контекста менеджмента риска или сферы деятельности. Ряд существующих методологий может использоваться в рамках структуры, описанной в настоящем стандарте для реализации требований СМИБ.
    Настоящий стандарт предназначен для руководителей и персонала, занимающегося в организации вопросами менеджмента риска информационной безопасности, а также, при необходимости, для внешних сторон, имеющих отношение к этому виду деятельности.
 

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Структура национального стандарта

5. Предпосылки создания стандарта

6. Обзор процесса менеджмента риска информационной безопасности

Таблица 1

Соотношение системы менеджмента информационной безопасности и процесса менеджмента риска информационной безопасности

Процесс СМИБ Процесс менеджмента риска ИБ
Планирование Установление контекста
Оценка риска
Планирование обработки риска
Принятие риска
Осуществление Реализация плана обработки риска
Проверка Проведение непрерывного мониторинга и переоценки рисков
Действие Поддержка и усовершенствование процесса менеджмента риска ИБ

7. Установление контекста

7.1. Общие положения

7.2. Основные критерии

Ведется подготовка документа. Ожидайте