ISO разработала новый механизм рискоцентрического подхода к обеспечению информационной безопасности на предприятиях

Международная организация по стандартизации (ISO) опубликовала документ, описывающий механизм внедрения и применения рискоцентрического подхода к обеспечению информационной безопасности на предприятиях. По убеждению специалистов, данный стандарт будет полезен на всех предприятиях, руководство которых заинтересовано в грамотном управлении IT-рисками.

Идентификатор документа - "ISO/IEC 27005:2011, Информационные технологии - Методы обеспечения безопасности - Управление рисками информационной безопасности". Его можно рассматривать, как дополнение к базовому стандарту по защите информации ISO/IEC 27001. В новом стандарте также учтены сущность и содержание ряда дополнительных документов сходной направленности, таких как:

- ISO 31000:2009, Управление рисками - Принципы и руководство

- ISO/IEC 31010:2009, Управление рисками - Методы оценки рисков

- ISO Guide73:2009, Управление рисками - Рабочие термины.

Специалисты ISO подчеркивают, что новый стандарт не предполагает применения специфической методологии, позволяющей организовать процесс управления рисками. Вместо этого описываются общие подходы, руководствуясь которыми, компания может выработать собственные принципы и методы защиты корпоративной информации.