ДСТУ ISO/IEC 27005:2015 Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки (ISO/IEC 27005:2011, IDT)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології
МЕТОДИ ЗАХИСТУ
Управління ризиками інформаційної безпеки

(ISO/ІЕС 27005:2011, IDТ)
ДСТУ ISO/ІЕС 27005:2015

Відповідає офіційному тексту

Київ
З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ»)
 2016

ПЕРЕДМОВА

1 ВНЕСЕНО: Технічний комітет стандартизації «Інформаційні технології» (ТК 20) за участю Технічного комітету стандартизації «Банківські та фінансові системи і технології», (ТК 105), Міжнародний науково-навчальний центр інформаційних технологій та систем НАН України та Міносвіти і науки України

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: І. Івченко, канд. фіз.-мат. наук; М. Карнаух; Т. Тищенко

2 НАДАНО ЧИННОСТІ: наказ ДП «УкрНДНЦ» від 18 грудня 2015 р. № 193 з 2017-01-01

3 Національний стандарт відповідає ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management (Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (en)

4 УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Структура цього стандарту

5 Загальні положення

6 Загальний огляд процесу управління ризиками інформаційної безпеки

7 Визначення обставин

7.1 Загальні положення

7.2 Базові критерії

7.2.1 Підхід до управління ризиками

7.2.2 Критерії зіставлення ризиків

7.2.3 Критерії впливу

7.2.4 Критерії приймання ризиків

7.3 Сфера застосування та її межі

7.4 Організаційна структура для управління ризиками інформаційної безпеки

8 Оцінка ризиків інформаційної безпеки

8.1 Загальний опис оцінки ризиків інформаційної безпеки

8.2. Ідентифікація ризиків

8.2.1 Вступ до ідентифікації ризиків

8.2.2 Ідентифікація ресурсів СУІБ

8.2.3 Ідентифікація загроз

8.2.4 Ідентифікація наявних заходів безпеки

8.2.5 Ідентифікація вразливостей

8.2.6 Ідентифікація наслідків

8.3 Аналіз ризиків

8.3.1 Методології аналізу ризиків

8.3.2 Оцінка наслідків

8.3.3 Оцінка імовірності інциденту

8.3.4 Визначення рівня ризику

8.4 Зіставляння ризиків

9 Оброблення ризиків інформаційної безпеки

9.1 Загальний опис оброблення ризиків

9.2 Модифікація ризиків

9.3 Прийняття ризику

9.4 Усунення ризику

9.5 Розподілення ризиків

10 Прийняття ризиків інформаційної безпеки

11 Обговорення ризиків інформаційної безпеки та консультації

12 Моніторинг та перегляд ризиків інформаційної безпеки

12.1 Моніторинг та перегляд чинників ризику

12.2 Моніторинг, перегляд та вдосконалення управління ризиками

Додаток А Визначення сфери застосування та меж процесу управління ризиками інформаційної безпеки

А.1 Дослідження організації

А.2 Перелік обмежень, які впливають на організацію

А.3 Перелік законодавчих та регуляторних посилань, прийнятних до організації

А.4 Перелік обмежень, які впливають на сферу застосування

Додаток В Ідентифікація та визначення цінності ресурсів СУІБ та оцінка впливу

B.1 Приклади ідентифікації ресурсів СУІБ

В.1.1 Ідентифікація основних ресурсів

В.1.2 Перелік та опис ресурсів підтримки СУІБ

В.2 Визначення цінності ресурсів СУІБ

В.3 Оцінка впливу

Додаток С Приклади типових загроз

Додаток D Вразливості та методи оцінювання вразливостей

D.1 Приклади вразливостей

D.2 Методи оцінювання технічних вразливостей

Додаток Е Підходи до оцінки ризиків безпеки

Е.1 Високорівневе оцінювання ризиків інформаційної безпеки

Е.2 Детальна оцінка ризиків інформаційної безпеки

Е.2.1 Приклад 1. Матриця із визначеними наперед значеннями

Е.2.2 Приклад 2. Ранжування загроз за допомогою показників ризику

Е.2.3 Приклад 3. Оцінювання значення імовірності та можливих наслідків ризиків

Додаток F Обмеження для модифікації ризиків

Додаток G Різница у визначеннях між ISО/ІЕС 27005:2008 та ISО/ІЕС 27005:2011

Бібліографія

Додаток НА Тотожний переклад пунктів стандартів ISО/ІЕС 27001:2005 та ISО/ІЕС 27002:2005, на які є посилання в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ISO/IEC 27005:2015 (ISO/IEC 27005:2011, IDT) «Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки», прийнятий методом «перекладу»,— ідентичний щодо ISO/IEC 27005:2011 «Information technology — Security techniques — Information security risk management» .

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні,— ТК 105 «Банківські та фінансові системи і технології».

У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.

До стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт», «ISO/IEC 27005», «цей документ» замінено на «цей стандарт»;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— у розділах 2 «Нормативні посилання» і «Бібліографії» наведено «Національні пояснення», у розділах 2 і 9 — «Національні примітки», виділені рамкою;

— вилучено інформацію з «Передмови» до ISO/IEC 27005:2011 як таку, що безпосередньо не стосується тематики цього стандарту.

У цьому стандарті є посилання на такі міжнародні стандарти:

— ISO/IEC 27000, який прийнято як ДСТУ ISO/IEC 27000:2015 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Огляд і словник (ISO/IEC 27000:2014, IDТ);

— ISO/IEC 27001, який прийнято як ДСТУ ISO/IEC 27001:2015 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2013; Cor 1:2014, IDТ);

— ISO/IEC 31010:2009, який прийнято як ДСТУ ISO/IEC 31010:2013 Керування ризиком. Методи загального оцінювання ризику (ISO/IEC 31010:2009, IDТ).

Для зручності користувачів в національному Додатку НА наведено тотожний переклад пунктів ISO/IEC 27000:2005 та ISO/IEC 27001:2005, які не прийнято в Україні, і на які є посилання в цьому стандарті.

Копії нормативних документів, на які є посилання в цьому стандарті, можна отримати в Національному фонді нормативних документів.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
Управління ризиками інформаційної безпеки

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ЗАЩИТЫ
Управление рисками информационной безопасности

INFORMATION TECHNOLOGY
SECURITY TECHNIQUES
Information security risk management

Чинний від 2017-01-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт надає настанови для управління ризиками інформаційної безпеки.

Цей стандарт підтримує основні концепції, визначені в ISO/IEC 27001, і розроблений для сприяння задовільному впровадженню інформаційної безпеки на основі підходу з управління ризиками.

Знання концепцій, моделей, процесів і термінології, описаних в ISO/IEC 27001 та ISO/IEC 27002, дуже важливо для повного розуміння цього стандарту.

Цей стандарт можуть застосовувати організації усіх типів (наприклад, комерційні підприємства, державні агентства, неприбуткові організації), які мають намір управляти ризиками, які можуть скомпрометувати інформаційну безпеку організації.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи необхідні для застосування цього стандарту. У разі датованих посилань застосовують тільки наведені видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативних документів (разом зі змінами).

ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary

ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems — Requirements.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 27000 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Огляд і словник

ISO/IEC 27001 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги

Національна примітка

У цьому стандарті наведено посилання на стандарти:

ISО/ІEC 27001:2005 «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги»;

ISО/ІЕС 27002:2005 «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Звід практик щодо заходів інформаційної безпеки», які не прийнято як національні стандарти.

Для зручності користувачів в додатку НА (довідковому) наведено тотожний переклад пунктів цих міжнародних стандартів, на які є посилання в цьому стандарті.

3 ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ

У цьому стандарті використовують терміни та визначення, які наведено в ISO/IEC 27000 і такі:

Примітка. Різницю у визначеннях між ISO/IEC 27005:2008 і цим стандартом подано в додатку G.

3.1. наслідок (consequence)

Результат події (3.3), яка впливає на об’єкти.

[ISO Guide 73:2009]

Примітка 1. Подія може спричинити ряд наслідків.

Примітка 2. Наслідок може бути безперечним або сумнівним і в контексті інформаційної безпеки зазвичай негативним.

Примітка 3. Наслідки може бути визначено на якісному або кількісному рівні.

Примітка 4. Початкові наслідки можуть збільшуватися внаслідок ударного ефекту

3.2 заходи безпеки (control)

Захід, який модифікує ризик (3.9).

[ISO Guide 73:2009]

Примітка 1. Заходи безпеки для інформаційної безпеки містять будь-які процеси, політики, процедури, настанови, практики або організаційні структури, які можуть бути адміністративними, технічними, керівними або законодавчими за сутністю, які модифікують ризики інформаційної безпеки.

Примітка 2. Заходи безпеки можуть не завжди призводити до запланованого чи передбаченого ефекту модифікації ризиків.

Примітка 3. Заходи безпеки можна також використовувати як синонім для слів «захист» або «контрміра».

3.3 подія (event)

Явище або зміна специфічного набору обставин.

[ISO Guide 73:2009]

Примітка 1. Подія може являти одне чи більше явищ і мати кілька причин.

Примітка 2. Подією може бути те, чого не було зроблено.

Примітка 3. Подію інколи можна розглядати як «інцидент» або «аварію»

3.4 зовнішні обставині (external context)

Зовнішнє середовище, де організація намагається досягти своїх цілей.

[ISO Guide 73:2009]

Примітка. Зовнішні обставині можуть включати:

— культурне, соціальне, політичне, законодавче, фінансове, технологічне, природне та конкурентне середовище, як інтернаціонального, національного, регіонального чи локального характеру;

— ключові рушійні чинники й тенденції, які мають вплив на цілі організації;

— взаємозв’язки із зовнішніми акціонерами та їх розуміння й значимість

3.5 внутрішні обставини (internal context)

Внутрішнє середовище, у якому організація намагається досягти своїх цілей.

[ISO Guide 73:2009]

Примітка. Внутрішні обставині можуть включати:

— керівництво організації, організаційну структуру, ролі та відповідальності;

— політики, цілі та стратегії, потрібні для їх реалізації;

— можливості в розумінні термінів ресурсів та знань (наприклад, капіталу, часу, персоналу, процесів, систем і технологій);

— інформаційні системи, інформаційні потоки та процеси прийняття рішень (формальні й неформальні);

— взаємовідносини з внутрішніми акціонерами, а також їх розуміння та значимість;

— внутрішню культуру організації;

— стандарти, настанови та моделі, прийняті організацією; і

— форму та ступінь контрактних відносин

3.6 рівень ризику (level of risk)

Величина ризику (3.9), зазначена в термінах комбінації наслідків (3.1) та імовірності (3.7)

[ISO Guide 73:2009]

3.7 імовірність (likelihood)

Можливість того, що щось трапиться.

[ISO Guide 73:2009]

Примітка 1. У термінології управління ризиками слово «імовірність» («likelihood») використовують для посилання на можливість того, що щось трапиться, незалежно від того, чи його визначено, вимірюють або описують об’єктивно чи суб'єктивно, якісно чи кількісно або описують з використанням загальних термінів або математично (як вірогідність або частоту в заданий проміжок часу).

Примітка 2. У англійській мові термін «імовірність» («likelihood») не має прямого еквівалента з деякими мовами; замість цього як еквівалент часто використовують слово «вірогідність» («probability»). Однак в англійській мові вірогідність («probability») часто вузько інтерпретують як математичний термін. Тому в термінології управління ризиками імовірність («likelihood») використовують, щоб мати саме більш широку інтерпретацію, ніж термін «вірогідність» («probability»), як у більшості мов, крім англійської.

3.8 залишковий ризик (residual risk)

Ризик (3.9), що залишається після оброблення ризику (3.17).

[ISO Guide 73:2009]

Примітка 1. Залишковий ризик може містити неідентифікований ризик.

Примітка 2. Залишковий ризик може бути також відомий як «збережений ризик»

3.9 ризик (risk)

Ефект невизначеності щодо досягнення цілей.

[ISO Guide 73:2009]

Примітка 1. Ефект — це відхилення від очікуваного — позитивне та/чи негативне.

Примітка 2. Цілі можуть мати різні аспекти (такі як фінансові, здоров’я та безпека, інформаційна безпека або цілі в навколишньому середовищі) і їх можна застосовувати на різних рівнях (наприклад, стратегічному, у межах усієї організації, проекту, продукту чи процесу).

Примітка 3. Ризик часто характеризують з посиланням на потенційні події (3.3) і наслідки (3.1) або їх комбінацію.

Примітка 4. Ризики інформаційної безпеки часто описують у термінах комбінації наслідків події інформаційної безпеки і відповідної імовірності (3.9) її виникнення.

Примітка 5. Невизначеність — це стан дефіциту, іноді часткового, відповідної інформації, розуміння чи знань стосовно події, її наслідків чи імовірності.

Примітка 6. Ризик інформаційної безпеки пов’язаний з можливістю, що загрози будуть використовувати вразливості інформаційних ресурсів СУІБ або групи інформаційних ресурсів СУІБ і таким чином призводити до збитків організації

3.10 аналізування ризику (risk analysis)

Процес осмислення природи ризику та визначення рівня ризику (3.6).

[ISO Guide 73:2009]

Примітка 1. Аналізування ризиків забезпечує основу оцінювання ризиків та прийняття рішень стосовно оброблення ризиків.

Примітка 2. Аналізування ризику охоплює оцінку ризику

БІБЛІОГРАФІЯ

1 ISO/IEC Guide 73:2009 Risk management — Vocabulary

2 ISO/IEC 16085:2006 Systems and software engineering — Life cycle processes — Risk management

3 ISO/IEC 27002:2005 Information technology — Security techniques — Code of practice for information security management

4 ISO 31000:2009 Risk management — Principles and guidelines

5 NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook

6 NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

1 ISO/IEC Директива 73:2009 Управління ризиками. Словник

2 ISO/IEC 16085:2006 Проектування систем та програмного забезпечення. Процеси життєвого циклу. Управління ризиками

3 ISO/IEC 27002:2005 Інформаційні технології. Методи захисту. Звід практик для заходів інформаційної безпеки

4 ISO/IEC 31000:2009 Управління ризиками — Принципи та настанови

5 Спеціальна публікація NIST 800-12. Введення в комп’ютерну безпеку: NIST. Посібник

6 Спеціальна публікація NIST 800-30. Настанова щодо управління ризиками для інформаційних технологічних систем. Рекомендації Національного інституту стандартів і технології.