ГОСТ Р ИСО/МЭК 27005 Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками ИБ
ГОСТ Р ИСО/МЭК 27005 «Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства»
Опубликован проект новой версии ГОСТ по управлению рисками ИБ
Ответственный секретарь ТК 362 ("Защита информации") 5 октября 2023 года разослал участникам комитета просьбу подготовить отзыв на новую версию стандарта ГОСТ Р ИСО/МЭК 27005 «Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства». Предполагается, что участники комитета в срок до 20 октября подготовят свои замечания к новому тексту стандарта, который опубликован на сайте ФСТЭК.
Собственно, стандарт ГОСТ Р ИСО/МЭК 27005 уже был принят в России и действует с декабря 2011 года. Он является частью международной серии стандартов так называемой двадцатисемитысячной серии, которая посвящена управлению рисками информационной безопасности. Фактически это был перевод международного стандарта ISO/IEC 27005:2008 "Information technology - Security techniques - Information security risk management", который тогда был выполнен ООО "НПФ "Кристалл" и ФГУ "ГНИИИ ПТЗИ ФСТЭК России" на основе аутентичного перевода. По своей структуре он поддерживает общие концепции, определенные в ГОСТ Р ИСО/МЭК 27001, и предназначен для создания службы управления информационной безопасности на основе подхода, связанного с управлением рисками ИБ.
Современный перевод базируется на обновлении международного стандарта ISO/IEC 27005:2022, который был принят недавно ISO. Однако на этот раз перевод стандарта осуществлял Национальный исследовательский университет МИЭТ, в частности: руководитель разработки к.т.н., доцент Воеводин Владислав Александрович; ответственный разработчик, студент 2-го курса магистратуры кафедры "Информационная безопасность" МИЭТ Буренок Дмитрий Сергеевич. Кроме того, летом также рассматривалось обновление и базового стандарта ISO/IEC 27001:2022, который был переведен ассоциацией `Русский регистр` и пересмотрел базовые требования для системы управления рисками.
В пояснительной записке к проекту стандарта ГОСТ Р ИСО/МЭК 27005 сказано, что «по сравнению с предыдущей версией, процесс управления риском осуществляется в 5 этапов вместо 6 (пересмотрен подход к принятию риска), добавлены 2 новых пункта в части документирования управления риском, всем действиям по управлению риском сопоставлены триггеры, при выполнении которых эти действия должны быть осуществлены, 6 приложений в предыдущей версии стандарта заменены 1 комплексным в новой, также была изменена структура пунктов в соответствии со структурой ISO/IEC 27001, адаптирована терминология с учетом ISO 31000:2018».
