1. Главная
  2. Стандарты Молдовы
  3. STM
  4. Ст ISO IEC 27005-2022

ISO IEC 27005-2022 PDF

Ст ISO IEC 27005-2022

Название на английском:
St ISO IEC 27005-2022

Название на русском:
Ст ISO IEC 27005-2022

Описание на русском:

Оригинальный стандарт ISO IEC 27005-2022 в PDF полная версия. Дополнительная инфо + превью по запросу

Описание на английском:
Original standard ISO IEC 27005-2022 in PDF full version. Additional info + preview on request
Статус документа:
Действующий
Формат:
Электронный (PDF)
Срок поставки (английская версия):
1 рабочий день
Срок поставки (русская версия):
365 рабочих дня(ей)
Артикул (SKU):
stiso25965
Выберите версию документа:
3 000 руб.

Полное наименование и описание

ISO/IEC 27005:2022 — Information security, cybersecurity and privacy protection — Guidance on managing information security risks. Это руководство по управлению рисками информационной безопасности, разработанное для поддержки внедрения и функционирования Системы управления информационной безопасностью (ISMS) в соответствии с ISO/IEC 27001.

Аннотация

Стандарт описывает структурированный подход к выявлению, анализу, оценке и обработке рисков информационной безопасности, включая коммуникацию, мониторинг и пересмотр мер по рискам. Предназначен для применения в организациях любого типа и масштаба как дополнение к требованиям ISO/IEC 27001 и с учётом принципов ISO 31000.

Общая информация

  • Статус: Published (действующий международный стандарт).
  • Дата публикации: 25 октября 2022 г. (издание 4, 2022‑10).
  • Организация-издатель: Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC), технический комитет ISO/IEC JTC 1/SC 27.
  • ICS / категории: 35.030 (информационная безопасность).
  • Редакция / версия: 4-е издание (ISO/IEC 27005:2022).
  • Количество страниц: 62 страницы (PDF/печать).

Область применения

Руководство предназначено для организаций любых отраслей и размеров, которые хотят систематически управлять рисками, связанными с конфиденциальностью, целостностью и доступностью информации. Стандарт применим как часть ISMS и ориентирован на поддержку процессов, требуемых ISO/IEC 27001; он адаптирует общие принципы управления рисками к специфике информационной безопасности.

Ключевые темы и требования

  • Цикл управления рисками: установление контекста, идентификация рисков, анализ, оценка, обработка рисков, коммуникация и мониторинг/пересмотр.
  • Введение понятия «сценарий риска» (risk scenario) как последовательности событий от причины до неприемлемого последствия; обновлённая терминология в согласии с ISO 31000.
  • Рекомендации по критериям запуска и триггерам для начала/обновления этапов процесса управления рисками.
  • Современные ориентиры и учёт актуальных угроз: облачные сервисы, риски цепочки поставок, сторонних поставщиков, атаки вымогателей (ransomware) и риски приватности.
  • Совместимость и соотнесение с другими рамками и методами (ISO 31000, рекомендации NIST и др.), при этом подробные методы оценки не навязываются — организации выбирают подходящие для себя инструменты.

Применение и пользователи

Основные пользователи: владельцы рисков, менеджеры по информационной безопасности, специалисты ISMS, аудиторы, консультанты по безопасности, руководители бизнес‑единиц и лица, принимающие решения по инвестициям в безопасность. Стандарт полезен при проектировании процессов управления рисками, выборе мер обработки рисков и для согласования подходов в рамках сертифицируемого ISMS.

Связанные стандарты

Тесно связан с семейством ISO/IEC 27000 (включая ISO/IEC 27001 и ISO/IEC 27002), а также с ISO 31000 (общие принципы управления рисками) и национальными/отраслевыми руководствами по оценке рисков (например, NIST SP 800-30). В пакетах часто рекомендуют использовать вместе с ISO/IEC 27000, ISO/IEC 27001:2022 и ISO/IEC 27002:2022.

Ключевые слова

управление рисками, риск‑менеджмент, ISMS, информационная безопасность, оценка рисков, обработка рисков, сценарий риска, уязвимость, угроза, мониторинг рисков.

FAQ

В: Что это за стандарт?

О: Руководство по управлению рисками информационной безопасности в контексте ISMS; даёт практические и методологические рекомендации для идентификации, анализа, оценки и обработки рисков.

В: Что он регулирует?

О: Не регламентирует технические контрмеры; фокусируется на процессе управления рисками: определение контекста, методы идентификации угроз и уязвимостей, оценка последствий (consequences), выбор и внедрение мер обработки, коммуникация и постоянный мониторинг.

В: Кто обычно использует?

О: Организации, внедряющие или поддерживающие ISMS по ISO/IEC 27001; специалисты по безопасности, риск‑менеджеры, внутренние и внешние аудиторы, консультанты и руководители, ответственные за управление рисками.

В: Он актуален или заменён?

О: ISO/IEC 27005:2022 является актуальной (издание 4, опубликовано в октябре 2022 года). Предыдущая версия ISO/IEC 27005:2018 была отозвана при выпуске новой редакции.

В: Это часть серии?

О: Да — входит в семейство стандартов ISO/IEC 27000 (ISO27k), предназначенное для управления информационной безопасностью; наиболее тесно связана с ISO/IEC 27001 и ISO/IEC 27002.

В: Какие ключевые слова?

О: Риск, риск‑менеджмент, ISMS, оценка рисков, обработка рисков, сценарий риска, угроза, уязвимость, информационная безопасность.