Приложение № 1. Взаимосвязь между стандартами ISO/IEC 27001:2005, BS 7799-3:2006 и ISO/IEC 27005:2008

В таблице выделены курсивом те разделы стандартов, которые являются уникальными и взаимодополняющими.

 

Разделы из ISO/IEC 27001:2005

Разделы из BS 7799-3:2006

Разделы из ISO/IEC 27005:2008

 

0. Введение

0.1. Общие положения

0.2. Процессный подход

Введение

5. Исходные положения

6. Обзор процесса управления рисками

1. Область действия

1. Область действия

1. Содержание

2. Нормативные ссылки

2. Нормативные ссылки

2. Нормативные ссылки

3. Термины и определения

3. Термины и определения

3. Термины и определения

 

4. Структура настоящего Международного стандарта

4. Система управления информационной безопасностью

4.1. Общие требования

4.2. Создание и управление СУИБ

 

4. Риски информационной безопасности в контексте организации

 

7. Определение контекста

 

4.1. Область действия и политика системы управления информационной безопасностью

7.1. Общие соображения

 

4.1.1. Деловая аргументация

 

7.2. Основные критерии

 

4.1.2. Область действия СУИБ

7.3. Область и границы

 

4.1.3. Политика СУИБ

7.4. Организационная структура управления рисками информационной безопасности

 

4.2. Подход/философия риска

4.2.1 Создание СУИБ

5. Оценка рисков

 

8. Оценка рисков информационной безопасности

 

5.1. Процесс оценки рисков

8.1. Общее описание оценки рисков информационной безопасности

 

5.2. Идентификация ресурсов

5.3. Идентификация требований законодательства и бизнеса

5.4. Определение ценности активов

5.5. Идентификация и оценка угроз и уязвимостей

5.6. Оценка угроз и уязвимостей

5.7. Вычисление и оценивание рисков

8.2. Анализ рисков

8.2.1. Идентификация рисков

8.2.2. Расчет рисков

 

5.7 Вычисление и оценивание рисков

8.3. Оценивание рисков

 

5.8. Эксперт по оценке рисков

 

6. Принятие решений по обработке и управлению рисками

9. Обработка рисков информационной безопасности

 

6.1. Общие положения

6.2. Принятие решения

9.1. Общее описание обработки рисков

 

6.3. Уменьшение риска

9.2. Уменьшение риска

 

6.4. Осознанное и объективное принятие риска

9.3. Сохранение риска

 

6.5. Передача риска

9.4. Избежание риска

 

6.6. Избежание риска

9.5. Передача риска

 

6.4. Осознанное и объективное принятие риска

10. Принятие рисков информационной безопасности

 

6.7. Остаточный риск

10. Принятие рисков информационной безопасности

 

6.8. План обработки рисков

10. Принятие рисков информационной безопасности

4.2.2. Внедрение и эксплуатация СУИБ

6. Принятие решений по обработке и управлению рисками

 

4.2.3. Мониторинг и анализ СУИБ

7. Непрерывная деятельность по управлению рисками

12. Мониторинг и пересмотр рисков информационной безопасности

 

7.1. Непрерывное управление рисками безопасности

 

7.2. Сопровождение и мониторинг

 

7.4. Пересмотр и переоценка риска

12.1. Мониторинг и пересмотр факторов риска

4.2.4. Сопровождение и  совершенствование СУИБ

7. Непрерывная деятельность по управлению рисками

12.2. Мониторинг, пересмотр и совершенствование управления рисками

4.3. Требования к документации

4.3.1. Общие положения

4.3.2. Управление документами

7.6. Механизмы контроля документации

4.3.3. Управление записями

5. Ответственность руководства

5.1. Приверженность руководства

5.2. Управление ресурсами

5.2.1. Предоставление ресурсов

5.2.2. Обучение, осведомленность и компетенция

6. Внутренние аудиты СУИБ

7.5. Аудиты

7. Анализ СУИБ руководством

7.3. Анализ со стороны руководства

7.1. Общие положения

7.2. Входные данные для анализа

7.3. Выходные данные анализа

8. Совершенствование СУИБ

7. Непрерывная деятельность по управлению рисками

12.1. Мониторинг и пересмотр факторов риска

8.1. Непрерывное совершенствование

8.2. Корректирующие меры

7.7. Корректирующие и превентивные меры

8.3. Превентивные меры

7.7. Корректирующие и превентивные меры

 

7.8. Отчеты и коммуникации

7.8.1. План коммуникаций

7.8.2. Обратная связь и вовлеченность

11. Коммуникация рисков информационной безопасности

 

7.9. Менеджер рисков безопасности

-

 

Приложение А. Определение областидействия и границ процесса управления рисками информационной безопасности

 

Приложение А. Примеры соответствия требованиям законодательства и нормативной базы

 

Приложение В. Риски информационной безопасности и риски организации

 

Приложение С. Примеры ресурсов, угроз, уязвимостей и методов оценки рисков

Приложение В. Идентификация и оценка активов и оценка воздействия

Приложение С. Примеры типичных угроз

Приложение D. Уязвимости и методы их оценки

 

Приложение D. Инструменты управления рисками

 

 

 

Приложение E. Подходы к оценке рисков информационной безопасности

 

 

Приложение F. Ограничения, оказывающие влияние на уменьшение рисков