ISO/IEC 27005
ISO/IEC 27005 — это международный стандарт, устанавливающий руководящие указания по управлению рисками информационной безопасности. Он входит в семейство стандартов ISO/IEC 27000, посвящённых системам менеджмента информационной безопасности (СМИБ), и предоставляет методологию для идентификации, анализа, оценки и обработки рисков, связанных с конфиденциальностью, целостностью и доступностью информации. Стандарт не является обязательным для сертификации, но используется как основа для построения процесса управления рисками в рамках ISO/IEC 27001.
История разработки
Первая редакция стандарта ISO/IEC 27005 была опубликована в 2008 году Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Она заменила более ранний стандарт ISO/IEC TR 13335-3:1998, который содержал рекомендации по управлению рисками ИТ-безопасности. Разработка велась подкомитетом SC 27 (IT Security techniques) объединённого технического комитета ISO/IEC JTC 1.
В 2011 году вышло второе издание (ISO/IEC 27005:2011), которое уточнило терминологию и процедуры оценки рисков, приведя их в соответствие с обновлённой версией ISO/IEC 27001:2013. Третье издание (ISO/IEC 27005:2018) было опубликовано в 2018 году и ввело более гибкий подход к выбору методов оценки рисков, а также уточнило связь с другими стандартами семейства, такими как ISO/IEC 27001 и ISO/IEC 27002.
В 2022 году вышло четвёртое издание (ISO/IEC 27005:2022), которое было полностью переработано. Оно заменило предыдущие версии и ввело новую структуру, основанную на циклах PDCA (Plan-Do-Check-Act) и более тесной интеграции с процессами управления рисками организации в целом (например, с ISO 31000). В этой редакции также были добавлены указания по управлению рисками, связанными с облачными вычислениями, цепочками поставок и искусственным интеллектом.
Структура и содержание
ISO/IEC 27005:2022 состоит из следующих основных разделов:
- Область применения — определяет, что стандарт применим к любым организациям, независимо от их размера, отрасли или типа информации.
- Нормативные ссылки — перечисляет связанные стандарты (например, ISO/IEC 27000, ISO 31000).
- Термины и определения — даёт определения ключевых понятий, таких как «актив», «угроза», «уязвимость», «риск», «владелец риска».
- Контекст организации — описывает, как установить внешний и внутренний контекст управления рисками, включая заинтересованные стороны, законодательные требования и бизнес-цели.
- Процесс управления рисками — центральная часть стандарта, включающая:
- Идентификацию рисков (выявление активов, угроз, уязвимостей и существующих мер контроля).
- Анализ рисков (оценка вероятности и последствий инцидентов).
- Оценку рисков (сравнение уровня риска с критериями приемлемости).
- Обработку рисков (выбор и реализация мер по снижению, передаче, избежанию или принятию риска).
- Мониторинг и пересмотр — рекомендации по постоянному отслеживанию изменений в среде рисков и эффективности мер.
- Документирование — требования к ведению записей о процессе управления рисками.
Приложение A содержит примеры методов оценки рисков, таких как матрицы вероятности и последствий, анализ сценариев и количественные модели.
Ключевые понятия
Риск информационной безопасности
В контексте ISO/IEC 27005 риск определяется как «влияние неопределённости на цели информационной безопасности», где неопределённость выражается в возможных инцидентах, нарушающих конфиденциальность, целостность или доступность информации. Риск количественно или качественно оценивается через произведение вероятности реализации угрозы и величины ущерба.
Активы
Стандарт выделяет первичные активы (бизнес-процессы, информация, услуги) и поддерживающие активы (оборудование, программное обеспечение, персонал, сети). Управление рисками начинается с инвентаризации активов и определения их ценности для организации.
Угрозы и уязвимости
Угрозы — это потенциальные причины инцидента (например, хакерские атаки, ошибки персонала, стихийные бедствия). Уязвимости — это слабые места в системе защиты (например, отсутствие антивируса, необновлённое ПО, слабые пароли). Риск возникает, когда угроза использует уязвимость для воздействия на актив.
Методы оценки рисков
ISO/IEC 27005 не предписывает единственный метод оценки рисков, а предлагает выбор из трёх основных подходов:
- Качественный — риски оцениваются в терминах «низкий», «средний», «высокий» на основе экспертных мнений и шкал. Наиболее распространён в малых и средних организациях.
- Количественный — риски выражаются в денежных единицах или других числовых показателях (например, ожидаемые годовые потери). Требует больше данных, но даёт более точные результаты.
- Полуколичественный — комбинация обоих подходов, где качественные оценки переводятся в числовые шкалы.
Стандарт также рекомендует использовать матрицу рисков (таблицу вероятности и последствий) для визуализации приоритетов.
Обработка рисков
После оценки рисков организация выбирает одну из четырёх стратегий обработки:
- Снижение риска — внедрение мер контроля (например, шифрование, межсетевые экраны, обучение персонала) для уменьшения вероятности или последствий.
- Передача риска — перенос части риска на третью сторону (например, страхование, аутсорсинг).
- Избежание риска — отказ от деятельности, порождающей риск (например, прекращение использования устаревшего ПО).
- Принятие риска — осознанное решение не предпринимать действий, если уровень риска соответствует критериям приемлемости.
Остаточный риск (после обработки) должен быть повторно оценён и документирован.
Связь с другими стандартами
ISO/IEC 27005 является частью семейства стандартов ISO/IEC 27000 и тесно связан с:
- ISO/IEC 27001 — требования к СМИБ, где управление рисками является обязательным этапом для сертификации.
- ISO/IEC 27002 — кодекс практики для мер контроля информационной безопасности, который может использоваться для реализации обработки рисков.
- ISO 31000 — общий стандарт по управлению рисками, на который ISO/IEC 27005 опирается в части терминологии и структуры процесса.
- ISO/IEC 27004 — стандарт по измерению эффективности СМИБ, включая метрики рисков.
Применение в России
В Российской Федерации стандарт ISO/IEC 27005 не имеет статуса национального стандарта (ГОСТ Р) в прямой редакции, однако его положения часто используются как методическая основа при разработке внутренних политик информационной безопасности. Вместо него действуют национальные стандарты, такие как ГОСТ Р ИСО/МЭК 27001-2021 (аналог ISO/IEC 27001) и ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей», которые частично пересекаются с ISO/IEC 27005. Для организаций, работающих с государственной тайной или критической информационной инфраструктурой, применяются требования Федерального закона № 152-ФЗ «О персональных данных» и Указа Президента РФ № 803, которые устанавливают более строгие правила управления рисками, чем международный стандарт.
Критика и ограничения
Основные замечания к ISO/IEC 27005 связаны с его общим характером: стандарт не предоставляет готовых методик или инструментов для оценки рисков, а лишь описывает процесс. Это требует от организаций дополнительных затрат на адаптацию и обучение персонала. Кроме того, качественная оценка рисков, часто используемая на практике, может быть субъективной и зависеть от опыта экспертов. В версии 2022 года эти недостатки частично устранены за счёт введения более детализированных примеров и рекомендаций по количественным методам.
Источники
- ISO/IEC 27005:2022 — Information security, cybersecurity and privacy protection — Guidance on managing information security risks.
- ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
- ГОСТ Р ИСО/МЭК 27001-2021 — Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Указ Президента РФ от 01.05.2022 № 803 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →