Присоединяйтесь!
Зарегистрированных пользователей портала: 510 983. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕНЕДЖМЕНТ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 27005-2010" (утв. Приказом Росстандарта от 30.11.2010 N 632-ст)

Дата документа30.11.2010
Статус документаДействует
МеткиГост р (государственный стандарт)

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Структура национального стандарта

5. Предпосылки создания стандарта

6. Обзор процесса менеджмента риска информационной безопасности

7. Установление контекста

7.1. Общие положения

7.2. Основные критерии

Критерии оценки рисков
Критерии влияния
Критерии принятия риска

7.3. Область применения и границы

7.4. Организационная структура менеджмента риска информационной безопасности

8. Оценка риска информационной безопасности

8.1. Общее описание оценки риска информационной безопасности

8.2. Анализ риска

8.2.1. Идентификация риска
8.2.1.1. Введение в идентификацию риска
8.2.1.2. Определение активов
8.2.1.3. Определение угроз
8.2.1.4. Определение существующих мер и средств контроля и управления
8.2.1.5. Выявление уязвимостей
8.2.1.6. Определение последствий
8.2.2. Установление значения <*> риска
8.2.2.1. Методология установления значения риска
8.2.2.2. Оценка последствий
8.2.2.3. Оценка вероятности инцидента
8.2.2.4. Установление значений уровня рисков

8.3. Оценка риска

9. Обработка риска информационной безопасности

9.1. Общее описание обработки риска

9.2. Снижение риска

9.3. Сохранение риска

9.4. Предотвращение риска

9.5. Перенос риска

10. Принятие риска информационной безопасности

11. Коммуникация риска информационной безопасности

12. Мониторинг и переоценка риска информационной безопасности

12.1. Мониторинг и переоценка факторов риска

12.2. Мониторинг, анализ и улучшение менеджмента риска

ПРИЛОЖЕНИЯ

ПРИЛОЖЕНИЕ А. ОПРЕДЕЛЕНИЕ ОБЛАСТИ ПРИМЕНЕНИЯ И ГРАНИЦ ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

А.1. Анализ организации

А.2. Перечень ограничений, влияющих на организацию

А.3. Перечень законодательных и нормативных положений, имеющих отношение к деятельности организации

А.4. Перечень ограничений, влияющих на область применения

ПРИЛОЖЕНИЕ В. ОПРЕДЕЛЕНИЕ И УСТАНОВЛЕНИЕ ЦЕННОСТИ АКТИВОВ И ОЦЕНКА ВЛИЯНИЯ

В.1 Примеры определения активов

В.1.1. Определение основных активов
В.1.2. Перечень и описание вспомогательных активов

В.2. Установление ценности активов

Критерии
Сведение к общей основе
Шкала
Зависимости
Результат

В.3. Оценка влияния

ПРИЛОЖЕНИЕ С. ПРИМЕРЫ ТИПИЧНЫХ УГРОЗ

ПРИЛОЖЕНИЕ D. УЯЗВИМОСТИ И МЕТОДЫ ОЦЕНКИ УЯЗВИМОСТИ

D.1 Примеры уязвимостей

D.2. Методы оценки технических уязвимостей

ПРИЛОЖЕНИЕ Е. ПОДХОДЫ К ОЦЕНКЕ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Е.1. Высокоуровневая оценка риска информационной безопасности

Е.2. Детальная оценка риска информационной безопасности

Е.2.1. Пример 1 - Таблица с заранее определенными значениями
Е.2.2. Пример 2 - Ранжирование угроз посредством мер риска
Е.2.3. Пример 3 - Оценка ценности для вероятности рисков и их возможных последствий

ПРИЛОЖЕНИЕ F. ОГРАНИЧЕНИЯ, ОТНОСЯЩИЕСЯ К СНИЖЕНИЮ РИСКА

Временные ограничения

Финансовые ограничения

Технические ограничения

Операционные ограничения

Культурные ограничения

Этические ограничения

Ограничения, связанные с окружающей средой

Юридические ограничения

Простота использования

Кадровые ограничения

Ограничения, касающиеся интеграции новых и существующих мер и средств контроля и управления

ПРИЛОЖЕНИЕ ДА. СВЕДЕНИЯ О СООТВЕТСТВИИ ССЫЛОЧНЫХ МЕЖДУНАРОДНЫХ СТАНДАРТОВ ССЫЛОЧНЫМ НАЦИОНАЛЬНЫМ СТАНДАРТАМ РОССИЙСКОЙ ФЕДЕРАЦИИ

БИБЛИОГРАФИЯ

Ведется подготовка документа. Ожидайте