Обозначение: | ГОСТ Р ИСО/МЭК 27005-2010 |
Обозначение англ: | GOST R ISO/IEC 27005-2010 |
Статус: | действует |
Название рус.: | Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности |
Название англ.: | Information technology. Security techniques. Information security risk management |
Дата добавления в базу: | 01.09.2013 |
Дата актуализации: | 05.05.2017 |
Дата введения: | 01.12.2011 |
Область применения: | Стандарт представляет руководство по менеджменту риска информационной безопасности. Стандарт поддерживает общие концепции, определенные в ИСО/МЭК 27001, и предназначен для содействия адекватного обеспечения информационной безопасности на основе подхода, связанного с менеджментом риска. Знание концепций, моделей, процессов и терминологии, изложенных в ИСО/МЭК 27001 и ИСО/МЭК 27002, важно для полного понимания стандарта. Стандарт применим для организаций всех типов (например, коммерческих предприятий, государственных учреждений, некоммерческих организаций), планирующих осуществлять менеджмент рисков, которые могут скомпрометировать информационную безопасность организации. |
Оглавление: | 1 Область применения 2 Нормативные ссылки 3 Термины и определения 4 Структура национального стандарта 5 Предпосылки создания стандарта 6 Обзор процесса менеджмента риска информационной безопасности 7 Установление контекста 7.1 Общие положения 7.2 Основные критерии 7.3 Область применения и границы 7.4 Организационная структура менеджмента риска информационной безопасности 8 Оценка риска информационной безопасности 8.1 Общее описание оценки риска информационной безопасности 8.2 Анализ риска 8.3 Оценка риска 9 Обработка риска информационной безопасности 9.1 Общее описание обработки риска 9.2 Снижение риска 9.3 Сохранение риска 9.4 Предотвращение риска 9.5 Перенос риска 10 Принятие риска информационной безопасности 11 Коммуникация риска информационной безопасности 12 Мониторинг и переоценка риска информационной безопасности 12.1 Мониторинг и переоценка факторов риска 12.2 Мониторинг, анализ и улучшение менеджмента риска Приложение А (справочное) Определение области применения и границ процесса менеджмента риска информационной безопасности Приложение В (справочное) Определение и установление ценности активов и оценка влияния . . . Приложение С (справочное) Примеры типичных угроз Приложение D (справочное) Уязвимости и методы оценки уязвимости Приложение Е (справочное) Подходы к оценке риска информационной безопасности Приложение F (справочное) Ограничения, относящиеся к снижению риска Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации Библиография |
Разработан: | ООО НПФ Кристалл ФГУ ГНИИИ ПТЗИ ФСТЭК России
|
Утверждён: | 30.11.2010 Федеральное агентство по техническому регулированию и метрологии (632-ст)
|
Издан: | Стандартинформ (2011 г. )
|
Расположен в: |
|
Заменяет собой: | |
Нормативные ссылки: | |