Последние время изменения стали повседневностью нашей жизни, и мы не всегда успеваем следим за ними. Предыдущий и этот год являются довольно насыщенным, если говорить об изменениях в нормах и стандартах, особенно в отношении информационной безопасности и персональных данных. После вступления в силу Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном потоке таких данных или просто GDPR, переход на новые версии стандартов ИСО 9001 и ИСО 14001, изменение и введение новой версии ИСО/МЭК 27005: 2018 могло бы остаться без внимания. ISO/IEC 27005:2018 – Информационные технологии – Методы безопасности – Управление рисками информационной безопасности (Information technology – Security techniques – Information security risk management).
Какие изменения произошли в стандарте ISO/IEC 27005:2018?
У нас есть хорошие новости, существенных революционных изменений ISO/IEC 27005:2018 в области управления рисками в сфере информационной безопасности не внедряет. Структура стандарта состоит из 12 разделов и 4 приложений.
Обновлены ссылки на последнюю версию ISO/IEC 27001, то есть на международную версию 2013 года (стандарт EN 27001:2017), ведь предыдущая версия ISO 27005 была выпущена в далеком 2011 году. Стоит отметить, что руководство, которое включает ISO/IEC 27005:2018 г. не относятся к требованиям, которые должны строго соблюдаться, и в стандарте отсутствуют какие-либо конкретные методы оценки рисков. Организации имеют свободу и возможность разработать свой собственный подход к управлению рисками на основе стандарта ISO 27005.
Основная идеяISO/IEC 27005 заключается в реализации процесса состоящего из циклических действий по отношению к управлению рисками в области информационной безопасности. Для этого используется процессный подход, который вы можете увидеть на рисунке ниже.
Это означает, что мы можем управлять рисками выполняя конкретные действия:
- определение контекста управления рисками (объем, правовые требования, используемые методы и подходы, готовность к риску и уровень приемлемого риска);
- анализ соответствующих данных о рисках и оценка информационных активов организации, угроз безопасности, пробелов или недоработки мер безопасности с целью определения вероятности события, инцидента или сценария, а также определения уровня риска;
- влияние на риск с учетом уровней риска и расстановки приоритетов;
- осведомленность о риске со стороны заинтересованных сторон;
- постоянный мониторинг и переоценка риска, а также основанные на риске подходы для выявления значительных изменений и надлежащего реагирования на них.
Обязательство любой организации, которая заявляет о соответствии требованиям стандарта ISO/IEC 27001, состоит в том, чтобы установить, внедрить и поддерживать процесс управления рисками и возможностями в отношении Системы Менеджмента Информационной Безопасности.
Если у вас есть вопросы в области управления рисками в области информационной безопасности, Вы задумываетесь о необходимости внедрения ISO или других стандартов в области информационной безопасности, защиты персональных данных, обязательно обращайтесь к нам!
Мы предлагаем различные тренинги, в том числе по управлению рисками в области информационной безопасности в соответствии с ISO/IEC 27005:2018, также мы всегда рады помочь с внедрением систем менеджмента, проведением аудитов и сертификацией.