2 Августа, 2011

Новый стандарт по управлению рисками ИБ

Александр Бондаренко
Несколько незаметно для многих (по понятным для России причинам :) ) примерно месяц назад свет увидела новая редакция стандарта ISO 27005, посвященная риск-менеджменту ( официальная страница на сайте ISO).
Вот как о ней отзывается CEO довольно известной британской компании IT Governance:

“The new ISO/IEC 27005:2011 is a much better standard than was the 2008 version. First, it is a better written, more coherent standard. Second, it is aligned with the risk management standard ISO 31000, which makes it easier to integrate Enterprise Risk Management approaches with information security risk management. Third, it provides good, practical guidance on carrying out the risk assessment required by ISO 27001, together with clear guidance on risk scales. Fourth, it has good guidance on threats, vulnerabilities, likelihoods and impacts. ISO 27005 should become standard additional guidance on risk assessment – the ISMS core competence – for all organisations tackling ISO 27001.”

Честно говоря сам я пока еще не успел ознакомиться с текстом этого документа, но планирую сделать в ближайшее время. В интернете удалось найти небольшой фрагмент , содержащий структуру стандарта.

Действительно, исходя из названий разделов документа видно, что стандарт изменился. Так, например, можно увидеть как изменилась терминология в части методов обработки рисков.

Помимо этого в стандарте присутствуют приложения, содержащие примеры описаний различных элементов, составляющих риск.

Купить стандарт (английскую версию) можно, например, здесь . Когда появится русскоязычный перевод мне не известно.