Please enable JavaScript.
Coggle requires JavaScript to display documents.
Лр.9 МІЖНАРОДНІ СТАНДАРТ BS ISO/IEC 27005: 2011 Ч.1 - Coggle Diagram
Лр.9 МІЖНАРОДНІ СТАНДАРТ
BS ISO/IEC 27005: 2011 Ч.1
1 ОБЛАСТЬ (МЕЖІ) ЗАСТОСУВАННЯ - Даний стандарт забезпечує рекомендації для менеджменту ризиків інформаційної безпеки, які включають інформацію і менеджмент ризиків безпеки технологій телекомунікації.
2 НОРМАТИВНІ ПОСИЛАННЯ - Наступні згадані документальні джерела необхідні для застосування даного документа. Для документів з означеної датою може бути застосовано тільки згадуване видання. Для документів без вказаної дати може бути застосовано останнім видання згаданого документа (включаючи будь-які поправки).
ISO/IEC 27001: 2005, Інформаційна технологія - Методи і засоби забезпечення безпеки - Системи менеджменту інформаційної безпеки - Вимоги.
ISO/IEC 27002: 2005, Інформаційна технологія - Методи і засоби забезпечення безпеки - Кодекс усталеної практики для менеджменту інформаційної безпеки.
3 ВИЗНАЧЕННЯ - У цьому документі цілеспрямовано застосовуються терміни та визначення ISO/IEC 27000, які слід використовувати в подальшому.
3.1 Наслідки (consequence): - результат події (3.3), що впливає на цілі.
3.2 Менеджмент (control): міра, яка змінює ризик.
3.3 Подія (event): Виникнення або зміна певного набору обставин.
3.4 Зовнішній контекст (external context):Зовнішнє середовище, в якій організація прагне до досягнення своїх цілей
3.5 Внутрішній контекст (internal context):Внутрішнє середовище, в якій організація прагне до досягнення своїх цілей
3.6 Рівень ризику (level of risk):Величина ризику (3.9) або комбінації ризиків, виражена як поєднання наслідків (3.1) і їх можливості (3.7) виникнення.
3.7 Можливість (likelihood):Імовірність настання деякої події.
3.8 Залишковий ризик (residual risk): Ризик (3.9), що зберігається після обробки ризику (3.17)
3.9 Ризик (risk):Вплив невизначеності на цілі.
3.10 Аналіз ризику (risk analysis): Процес розуміння походження ризику і визначення рівня ризику
3.11 Оцінка ризику (risk assessment): Загальний процес ідентифікації ризику (3.15), аналізу ризику (3.10) і оцінювання ризику (3.14).
3.12 Обмін інформацією та консультування щодо ризику (risk communication and consultation): Безперервні і повторювані процеси, які проводить організація, для надання, поділу або отримання інформації, а так само ведення діалогу з зацікавленими сторонами (3.18) щодо менеджменту ризику (3.9)
3.13 Критерії ризику (risk criteria):Аспекти, відповідно до яких здійснюють оцінювання ризику (3.9)
3.14 Оцінювання ризику (risk evaluation):Процес порівняння результатів аналізу ризику (3.10) до встановлених критеріїв ризику (3.13) для визначення, чи є ризик і/або його величина прийнятними або допустимими.
3.15 Ідентифікація ризику (risk identification):Процес виявлення, дослідження та опису ризиків.
3.16 Менеджмент ризику (risk management):Скоординована діяльність з керівництва та управління організацією щодо ризику.
3.17 Обробка ризику (risk treatment):Процес зміни ризику.
3.18 Зацікавлена сторона (stakeholder):Особа або організація, які можуть впливати, піддаватися впливу, або усвідомлюють, що на них впливає будь-яке рішення або дії.
4 СТРУКТУРА ІНТЕРНАЦІОНАЛЬНОГО СТАНДАРТУ - Цей стандарт містить опис процесу менеджменту ризику інформаційної безпеки і пов'язаних з ним видів діяльності. Інформація про передумови створення стандарту наводиться в розділі 5.
5 ІНФОРМАЦІЯ ПРО ПЕРЕДУМОВИ СТВОРЕННЯ СТАНДАРТУ - Систематичний підхід до менеджменту ризику інформаційної безпеки необхідний для того, щоб ідентифікувати потреби організації, що стосуються вимог інформаційної безпеки та створити ефективну систему менеджменту інформаційної безпеки (СМІБ).
7 ВСТАНОВЛЕННЯ КОНТЕКСТУ
7.1 Загальний аналіз - Вся інформація про організацію, доречна для встановлення контексту менеджменту ризику інформаційної безпеки.
7.2 Основні критерії - Залежно від області застосування і цілей менеджменту ризиком можуть бути застосовані різні підходи. Також можуть бути різними підходи для кожної ітерації.
7.3 Область застосування і границі - Організація повинна визначати сферу застосування та межі менеджменту ризику інформаційної безпеки.
7.4 Організаційна структура менеджменту ризику інформаційної
безпеки. - Необхідно встановлювати і підтримувати організаційну структуру і
обов'язки для процесу менеджменту ризику інформаційної безпеки.
6 ОГЛЯД ПРОЦЕСУ МЕНЕДЖМЕНТУ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ - Процес менеджменту ризиків інформаційної безпеки складається з встановлення контексту (розділ 7), оцінки ризику (розділ 8), обробки ризику (розділ 9), прийняття ризику (Розділ 10), обмін інформацією щодо ризику (розділ 11), а також моніторингу та перегляду ризику (розділ 12).