В нашем гиперсвязанном мире, основанном на технологиях, нарушения целостности данных и кибератаки остаются серьезной угрозой для организаций, которые зачастую недостаточно осведомлены о возможных рисках. Недавно пересмотренный стандарт ISO призван повысить кибербезопасность.


Обеспечение информационной безопасности компании, будь то коммерческая информация или персональные данные клиентов, никогда ранее не было в центре внимания. Внедрение нового законодательства, такого как Европейский GDPR (General data protection regulation / Общий регламент по защите данных), означает, что организации находятся под еще большим давлением, в процессе обеспечения своей информационной  безопасности. Однако, наличие наиболее подходящих технологий и процессов может быть минным полем. Недавно пересмотренный ISO / IEC 27005: 2018 «Информационные технологии. Методы безопасности. Управление рисками информационной безопасности.», предоставляет организациям рекомендации, как преодолевать все это, создавая основу для эффективного управления рисками.

В дополнение к ISO / IEC 27001: 2013, в котором изложены требования к системе управления информационной безопасностью (ISMS — Information Security Management System), недавно был обновлен стандарт ISO / IEC 27005, чтобы отразить новую версию ISO / IEC 27001 и, таким образом, удовлетворить сегодняшние потребности организаций в сфере информационной безопасности.

Документ содержит подробные рекомендации по управлению рисками, позволяющие выполнить соответствующие требования, изложенные в ISO/IEC 27001.

Эдвард Хамфрис (Edward Humphreys), координатор рабочей группы ISO / IEC, которая разработала ISO / IEC 27001 и ISO / IEC 27005, говорит, что обновленный стандарт является ключевым в наборе инструментов для управления киберрисками ISO / IEC.

ISO / IEC 27005 дает рекомендации «почему, что и как» необходимо делать для того, чтобы организации могли эффективно управлять своими рисками информационной безопасности в соответствии с ISO / IEC 27001», — сказал он. «Это также помогает продемонстрировать клиентам организации или заинтересованным сторонам, что процессам управления рисками уделяется должное внимание, давая им уверенность в том, что с данной компанией можно вести бизнес».

ISO / IEC 27005 является одним из более чем дюжины стандартов в серии ISO / IEC 27000, которые составляют набор инструментов для управления киберрисками, возглавляемой флагманом ISO / IEC 27001 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования.». Другие стандарты из данной серии включают в себя те, которые защищают информацию в облаке, обеспечивают безопасность информации в телекоммуникационных системах, кибербезопасность, аудит ISMS и многое другое.

ISO / IEC 27005 был разработан рабочей группой комитета ISO / IEC JTC 1 «Информационные технологии», секретариат которых принадлежит Немецкому институту по стандартизации (DIN) , члену ISO в Германии.