пятница, 20 июня 2008 г.

ИСО опубликовала стандарт по управление рисками в области информационной безопасности

Международная организация по стандартизации ИСО опубликовала новый стандарт в серии 27000 по вопросам информационной безопасности - ISO/IEC 27005:2008 "Информационные технологии - Методы обеспечения безопасности - Управление рисками в области информационной безопасности" (Information technology - Security techniques - Information security risk management).

Новый стандарт заменяет ранее использовавшиеся стандарты ISO/IEC TR 13335-3:1998 "Информационные технологии - Руководство по менеджменту ИТ-безопасности - Часть 3: Методы управления ИТ-безопасностью" (Information technology - Guidelines for the management of IT Security - Part 3: Techniques for the management of IT Security) и ISO/IEC TR 13335-4:2000 "Информационные технологии - Руководство по менеджменту ИТ-безопасности - Часть 4: Выбор мер и средств защиты" (Information technology - Guidelines for the management of IT Security - Part 4: Selection of safeguards).

Последние два стандарта были сравнительно недавно адаптированы в России как ГОСТ Р ИСО/МЭК ТО 13335-3-2007 "Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий" и ГОСТ Р ИСО/МЭК ТО 13335-4-2007 "Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер".

Новый стандарт ISO/IEC 27005:2008 содержит указания по управлению рисками, связанными с информационной безопасностью. Он опирается на общие концепции, сформулированные в стандарте ISO/IEC 27001, и разработан таким образом, чтобы, на основе метода управления рисками, помочь в практическом обеспечении информационной безопасности. Для полного понимания нового стандарта необходимо знакомство с концепциями, моделями, процессами и терминологией, содержащихся в базовых стандартах по информационной безопасности ISO/IEC 27001 и ISO/IEC 27002 (этот стандарт был ранее известен как ISO/IEC 17799:2005).

Стандарт ISO/IEC 27005:2008 применим в организациях всех типов (напр., в государственных предприятиях, государственных агентствах, в неправительственных организациях), которые собираются управлять имеющимися рисками для их информационно безопасности.

Источник: ISO
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42107

Комментариев нет:

Отправить комментарий