Вы находитесь на странице: 1из 94

BS ISO/IEC 27005:2011

ISO/IEC
27005

ne
t

2011-06-10

Technologies de l'information Techniques de scurit Gestion du risque en

Kl

ub

K.

scurit de l'information

ISO/IEC 27005:2011 (SE)


ISO/IEC 2011


, - BS ISO/IEC 27005:2011.


.. .
BSI,
.
:

, ,
ISO/IEC 27001;

-
;

,
, , ,
.

,
, ,
, ,
.

K.

ub

:
, ISO/IEC 27005, ISO/IEC 13335-3:1999
ISO/IEC 13335-4:2001 , ..
, ISO/IEC 13335-3:2003 ISO/IEC 133354:2005 ( ISO/IEC 27005
, !);

ne
t

ISO/IEC 27005:2008
ISO/IEC 27000:2009 ISO 73:20091;

ISO
31000:2009 (. :
(.
http://www.tnpa.by/tnpa/TnpaFiles/pdf/STB_ISO_31000.pdf) ISO Guide 73-2009
: http://www.tnpa.by/tnpa/TnpaFiles/pdf/STB_ISO_Guide_73.pdf)
ISO/IEC 27005, " "" "

ISO/IEC 27005:2008.

Kl

:
ISO 73:2009
ISO 27005:2011. , !!!

BS ISO/IEC 27005:2011 v.1 11.02.2012

Kl

ub

K.

ne
t

.............................................................................................................................. 5
.................................................................................................................................... 6
1 () ............................................................................................. 7
2 ............................................................................................................. 7
3 ........................................................................................................................... 7
4 ......................................................................... 12
5 ............................................................. 13
6 ............................. 14
7 ...................................................................................................... 16
7.1 ................................................................................................................ 16
7.2 ......................................................................................................... 17
................................................................................................... 17
..................................................................................................... 17
............................................................................................... 18
7.3 ....................................................................................... 18
7.4 ........... 19
8 ................................................................. 19
8.1 ................................. 20
8.2 ................................................................................................................... 20
8.2.1 ............................................................................................ 20
8.2.1.1 ...................................................................... 20
8.2.1.2 ...................................................................................... 21
8.2.1.3 .......................................................................................... 21
8.2.1.4 ........................................... 22
8.2.1.5 ................................................................................ 23
8.2.1.6 .............................................................................. 24
8.2.2 ..................................................................................................... 24
8.2.2.1 ............................................................................ 24
8.2.2.2 ............................................................................................ 25
8.2.2.3 .......................................................................... 26
8.2.2.4 ...................................................................................... 27
8.3 ......................................................................................................... 28
9 ............................................................ 29
9.1 ................................................................................... 29
9.2 .............................................................................................................. 31
9.3 ............................................................................................................ 32
9.4 .................................................................................................... 33
9.5 ................................................................................................................. 33
10 .............................................................. 33
11 .................... 34
12 .................................... 35
12.1 .................................................................. 35
12.2 , .......................................................................... 36
A ......................................................................................................................... 38

.............................................................................................. 38
.1 ..................................................................................................... 38
.2 , ................................................... 39

BS ISO/IEC 27005:2011 v.1 11.02.2012

Kl

ub

K.

ne
t

.3 ,
.................................................................................................. 41
.4 , ....................................... 41
B ......................................................................................................................... 43
, ... 43
B.1 ................................................................................. 43
B.1.1 ......................................................................... 43
.1.2 ...................................................... 44
.2 ................................................................................... 48
.3 ............................................................................................................ 51
......................................................................................................................... 53
....................................................................................................... 53
D ......................................................................................................................... 57
...................................................................... 57
D.1 .................................................................................................... 57
D.2 .................................................................. 61
E ......................................................................................................................... 63
.................................................. 63
E.1 .............................. 63
E.2 ........................................... 64
E.2.1 ........................................... 65
E.2.2 ................................................................ 67
E.2.3 ... 68
F ......................................................................................................................... 70
........................................................................................... 70
G ......................................................................................................................... 73
ISO/IEC 27005:2008 ISO/IEC 27005:2011 ........................ 73
.......................................................................................................................... 94

BS ISO/IEC 27005:2011 v.1 11.02.2012

Kl

ub

K.

ne
t

(ISO)

(IEC)

. , ISO
IEC,
,
. ISO IEC
, .
, ISO IEC
.
,
ISO/IEC.
,
, - .

75% , .
,
.
ISO IEC .
ISO/IEC 27001 ISO/IEC
JTC 1, , SC 27.
ISO/IEC 27005 ISO/IEC
27005:2008, .

BS ISO/IEC 27005:2011 v.1 11.02.2012

Kl

ub

K.

ne
t


,
2 (ISMS) ISO/IEC 27001.

.
, ,
, .

, .
,
, ,
, , .

ISMS (Information Security Management


System) ( ) ,
, (
), .

BS ISO/IEC 27005:2011 v.1 11.02.2012

1 ()

ne
t


,
.
, ISO/IEC
27001,
, .
, , , ISO/IEC
27001 ISO/IEC 27002,
.
(,
, , ),
,
.

K.


.
.
( ).
ISO/IEC 27001:2005, -
- .
ISO/IEC 27002:2005, -
-
.

ub


ISO/IEC 27000, .
:
ISO/IEC 27005:2008
G.

3.1 (consequence):

Kl

(3.3), .
:
1.
2. .
.
3. .
4. .

3.2 (control):
, ( 3.9).
[ ISO 73:2009]
:

BS ISO/IEC 27005:2011 v.1 11.02.2012

1.
, , , ,
, , ,
, ,
.
2. , ,
.
3.
.

3.3 (event):

ne
t

.
[ ISO 73:2009]
:
1.
.
2. , - .
3. 3.

3.4 (external context):

K.

,
[ ISO 73:2009]
:
:
,
,
,
,
,
, , ,
, , ;
, ;
, .

3.5 (internal context):

Kl

ub

,
[ ISO 73:2009]
:
:
, , ;
, ;
, (,
, , , , );
,
( , );
,
;
;
, , ;
.

, ISO/IEC Guide 73:2009, :


, ,

BS ISO/IEC 27005:2011 v.1 11.02.2012

3.6 (level of risk):


(3.9) ,
(3.1) (3.7) .
[ ISO 73:2009]

3.7 (likelihood):

K.

ne
t

.
[ ISO 73:2009]
:
1.
, , ,
,
,
(,
).
2. likelihood
, probability. ,
probability ,
. ,
likelihood ,
, probability
, .

3.8 (residual risk):

(3.9), (3.17)
[ ISO 73:2009]
:
1. .
2. .

3.9 (risk):

Kl

ub

.
[ ISO 73:2009]
:
1. ( /
).
2. (, ,
, )

(,
, ,
).
3. (3.3)
(3.1) .
4. (

) (3.9)
.
5. ( ) ,
,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012

6. ,

4.

3.10

(risk analysis):

3.11

ne
t

(3.6)
[ ISO 73:2009]
:
1. ,
.
2. .

(risk assessment):

(3.15), (3.10)
(3.14).
[ ISO 73:2009]

K.


3.12
(risk communication and consultation):

ub

, ,
, ,
(3.18) (3.9)
[ ISO 73:2009]
:
1. , , , (3.6.1.1),
, , .
2.


. :
,
, ;
,
.

3.13

(risk criteria):

Kl

, (3.9)
[ ISO 73:2009]
:
1.
.
2. , ,
.

3.14

(risk evaluation):

(3.10)
(3.13) , /
.
4

: ISO 73:2009.

BS ISO/IEC 27005:2011 v.1 11.02.2012

[ ISO 73:2009]
:
.

3.15

(risk identification):

, .
[ ISO 73:2009]

3.16

ne
t

:
1. , ,
.
2. ,
, ,
.

(risk management):

3.17

K.


.
[ ISO 73:2009]
:
'', .
.

(risk treatment):

Kl

ub

.
[ ISO 73:2009]
:
1. :

, ;
;
;
;
;
(
;
.
2. , ,
, ,
.
3. .

3.18

(stakeholder):

, , ,
, - .
[ ISO 73:2009]
:
, , .

BS ISO/IEC 27005:2011 v.1 11.02.2012

Kl

ub

K.

ne
t


.
5.

6.
, ,
6, :
- 7;
- 8;
- 9;
- 10;
- 11;
- 12.
,
, .
(
).
(,
), (, ) D
(, ).

E.
, , F.
ISO/IEC 27005:2008 ISO/IEC 27005:2011 G.
, , 712, :
: ,
.
: .
: .
,
.
: ,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012

Kl

ub

K.

ne
t


, ,

().
, ,
.
, .

, ,
.
.
,
, ,
.
, , ,
,
.
:
;
,
;
;
;
;

;
;

;
;

, .

, (, ,

,
),

,
, (,
).

BS ISO/IEC 27005:2011 v.1 11.02.2012

Kl

ub

K.

ne
t


( 7), ( 8), ( 9),
( 10), ( 11),
( 12).

1,
, /
.
.
, ,

BS ISO/IEC 27005:2011 v.1 11.02.2012

Kl

ub

K.

ne
t

, - ,
.
,
.
, ,
. ,

(, , ),
(. ,
1).
. ,
.
, ,
(, ,
), (. ,
2).
,
.
, ,
, - .
,

.


. ,
, ,

. ,
, ,
, .
ISO/IEC 27001 , ,
, , .
.
, .
,
.
, ,
"". ""
, ,
. ""

. ""
, .
, ,
.

, :

BS ISO/IEC 27005:2011 v.1 11.02.2012

1.

(Plan)

(Do)
(Check)
(Act)

K.

7.1

ne
t

: ,
.
:
, ,
(
7.2), ( 7.3)

( .7.4).
:

Kl

ub

,
, .
:
;
;
;
;
,
.
,
, 7.2
7.4.
:
ISO/IEC 27001 "". 7
"
" [. 4.2.1 a)], "
[. 4.2.1 b)]
" [. 4.2.1 )],
ISO/IEC 27001.
: , ,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012

7.2

K.

ne
t


.
.

, , : ,
, .
,
:
;
,
;
;

.
, ISO/IEC 27001 ( 5.2.1)
.

ub


, :
-;
;
;
,
;
,
" " .
,
.

Kl

,
, ,
, :
,
;

(,

, );
( );
;
;
;
, .
- ISO/IEC 27001 [4.2.1 d) 4)],
,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012

ub

K.

ne
t

.
, ,
.

. :
,
, ,
,
;

( )
;

, , ,
, ,
,
;
,
, , ,


.
,
, , , ,
.
:
;
;
;
;
;
.
- "
", ISO/IEC 27001 [.
4.2.1 ) 2)].
.

Kl

7.3

.

,
. , [. ISO/IEC
27001, 4.2.1 )] ,
.
,
,
.

, :

BS ISO/IEC 27005:2011 v.1 11.02.2012

, ;
;
;
, ,
;
;
;
;
;
, ;
;
;
(.. ).
,
.
-,
- , - .
-
,
ISO/IEC 27001 [. 4.2.1 )].
.

K.

ne
t

7.4

Kl

ub


.
, :
,
;
;
, ,
;

,
(,
),
;
;
.

.
- ISO/IEC 27001 ,
, , , ,
, [. 5.2.1 )].
,
ISO/IEC 27001.

8
BS ISO/IEC 27005:2011 v.1 11.02.2012

8.1
, ISO/IEC 27001
.

ub

K.

ne
t

: , ,
.
: ,

.
:
,
, .


.
:
( 8.2);
( 8.3)
( 8.4).
,
, ( ),

, , ,
,
.
, ( ) .
,
.
,
. ,
, ,
, , , .

.

.
: ,
.

Kl

8.2

8.2.1

8.2.1.1

,
, , , ,
. , ,
.
- , ,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012

8.2.1.2 5

K.

ne
t

:
, , , ,
..
: ,
[ ISO/IEC 27001, 4.2.1 d) 1)].
:
, , ,
. ,
.

, .
, ,
, .
.
,
.
, ,
, , .
,
(. 8.2 ).
,

.

.
: , ,
-, , .
8.2.1.3

Kl

ub

: ,
, , , ,
.
: [
ISO/IEC 27001, 4.2.1 d) 2)].
:
, , ,
, , .
,
. ,
. , .
(, ,
, ), , ,
5

: :

( );

(, , , );

( , , );

( );

, IT ( / );

IT (system mission) , IT ;

( , ,
..).

BS ISO/IEC 27005:2011 v.1 11.02.2012

K.

ne
t

. , ,
, , , , .
.
, ,


(. 8.2.2.3) ,
, ,
, ,
, , ,
.
.
, ,
.
(, ),
, .
, ,
, ..
,
, , ,
- .
.
: .
8.2.1.4

Kl

ub

: ,
.
:
.
,
, , .
,
, , ,
. , ,
. ,
( )

. , ISO/IEC 27001,
.
- ,
.
, ,
.
,
, ,
.

, .
, ,
, , ,
, , .

BS ISO/IEC 27005:2011 v.1 11.02.2012

K.

ne
t


:
,
(, ).
,

;
,
(, ,
, ,
, )
,

;
,
,
,
;
.
:
, .
8.2.1.5

Kl

ub

: ,
.
: ,
, [
ISO/IEC 27001, 4.2.1 d) 3)].
:
:
;
;
;
;
;
;
, ;
.
,
, . ,
, ,
. ,

, , .
,
. , ,
, .
,
, ,
. , ,
, ,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012


D.
: , ,
; ,
.
8.2.1.6

ub

K.

ne
t

: , -,
, , , .
: ,
, [.
ISO/IEC 27001, 4.2.1 d) 4)].
, , , ,
..

, ,
, (. ISO/IEC 27002,
13). ,
, , .
; .

.
, .
- ISO/IEC 27001
, " .

( ):
;
() ;
;
;
,
;
" ".
, , B.3
( B).
: ,
-.

Kl

8.2.2

8.2.2.1


,
, .
, , .

.

,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012

ub

K.

ne
t

,
.
:
) .

(, , )
.
,
.
,
,
. :

, ;
,
;
,
.
,
;
b) .
(
, ) ,
, .
.

, ,
.
, ,
.

,
.

.
8.2.2.2

Kl

:
, , ,
-.
: ,

, ,
[ ISO/IEC 27001, 4.2.1 ) 1)].
:
,
, .

, , ,
, , ,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012

ub

K.

ne
t


,
- . :
:
(
);
, ,
/
, ,
/ .
.
,

-.

,
(, ), .
, , ,
. , ,
.

,
.
,
, , .
, ,
, , .
, ,
,
.
.
B
.
: ,
.
8.2.2.3

Kl

:
, , ,
-. ,
,
.
:
[ ISO/IEC 27001, 4.2.1 ) 2)].
:

,
. ,
, :
;
: ,
,

BS ISO/IEC 27005:2011 v.1 11.02.2012

ub

K.

ne
t

,
;
: , ,
,
,
;
, ;
,
.
,
. ,
, -
. ,
, ,
.


. ,

.
: (
).
: ,
, - (
).
:
[ ISO/IEC 27001, 4.2.1 ) 4)].
.
.
. ,
, ,
.
.
E
.
: .
8.2.2.4

Kl

: ,
, - (
).
:
[ ISO/IEC 27001, 4.2.1 ) 4)].

BS ISO/IEC 27005:2011 v.1 11.02.2012

8.3

ne
t

.
.
. ,
,
, .
.
E
.
: .

Kl

ub

K.

:
.
:
[ ISO/IEC 27001, 4.2.1 ) 4)].
:
, ,
, ,
.
,
.
( ,
E) ,
.
, ,

,
.. , ,
. , ,
.
.
:
:
(,
), , ,
;
- ,
:
,
, ,
.
,
, .
:
- ;
,
.
, ,
,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012

: ,
,
.

9
9.1

Kl

ub

K.

ne
t

:
,
.
: ,
, .
:
: (. 9.2),
(. 9.3), () (. 9.4)
(. 9.5).
- ISO/IEC 27001 [. 4.2.1 f) 2)]
" " ("retaining risk") " " ("accepting
risk").

.

BS ISO/IEC 27005:2011 v.1 11.02.2012


29

ne
t
K.
O
ub

Kl

2 -

,
.

, .
,
, .

- .
, .

BS ISO/IEC 27005:2011 v.1 11.02.2012


30

Kl

ub

K.

ne
t

,
(, ,
).
.
,
,
.

(,
). ,
.
,
"-".
.

,
, .
(,
),
.
,
. ,
, .
:
;
.
(. 7.2 - )
, .
,
.
- , , .,
, ,
.
,
. ,
.
-
, ,
.
: -
.

9.2
:
, .
:

, ,
. ,
, .

BS ISO/IEC 27005:2011 v.1 11.02.2012


31

Kl

ub

K.

ne
t


, .

.
,
: , , ,
, , , , .
"" ,
, , ,
. ,
,
, .
,

.
ISO/IEC 27002 .
,
. , ,
( )

, ,
, ,
(,
,
). , ,
. ,
,
.
, .

. :
;
;
;
;
;
;
, ;
;
;
;
,
.
,
F.

9.3
: , ,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012


32

9.4

ne
t

- ISO/IEC 27001 [. 4.2.1 f) 2)]


: " , ,
, ,
".
:
,

.

9.5

K.

: ,
.
:

,

,
, (). ,
, ,

, .

Kl

ub

: () ,
,
.
:

.
.
.
,
, "",

,
.
, ,
, , ,
. ,
.

10

:
.
:
[ ISO/IEC 27001, 4.2.1 h)].
:
, ,
, (.

BS ISO/IEC 27005:2011 v.1 11.02.2012


33

K.

ne
t

7.2 " "). ,



, , .
,
,
.

, ,
. , ,
, ,
, , ,
. ,
. ,
. ,
,
. , , ,
,
.
: ,
.

11

Kl

ub

: ,
(. 1).
:
/ .
:
,
,
/ ,
, .
, , , , ,
, , .

,
, .
, , , ,
, ,
, .
.
- , ,
, ,
. , ,
. ,
,
,
.

:
;

BS ISO/IEC 27005:2011 v.1 11.02.2012


34

;

;

-
;
;
;

- ;
,
, ;
.

, , .
, .
, ,
,
(),
,
.

, ,
.
, , .
:
.

K.

ne
t

12

ub

12.1

Kl

: ,
(. 2).
: (. . , , ,
, )
,
.
:
. , ,
, - .
.
,
.
,
:
,
;

BS ISO/IEC 27005:2011 v.1 11.02.2012


35

, ,
-;
, ,
;
,
;
,

;
,
,
;
.
,
, .
,
, .
,
, 9.
, ,
, ,
. , ,
. ,
,
.

.
, ( ISO/IEC 27001,
4.2.3).
: .

ub

K.

ne
t

12.2 ,

Kl

: ,
(. 2).
:
, ,
.
:

, , ,
.
,

.
,
, ,
, ,
, ,

BS ISO/IEC 27005:2011 v.1 11.02.2012


36

Kl

ub

K.

ne
t


.
, , ,
, -
-, ,
-
.
( )
:
;
;
;
;
;
;
;
;
.
,
,
.

, ,
:
;
;

(, , ,
);

(,
,
-,

, , ,
).
:
- .

BS ISO/IEC 27005:2011 v.1 11.02.2012


37

A
()



.1

Kl

ub

K.

ne
t

.
, . ,
, , .
, (,
).

.
.
, ,
, ,

.
, ( , ..).
. ,
(-) , .

.
.
. ,

.
.
, .
, (, ),
.
,
, () - ,
.
.
. :
:
, ,
,
;
:
, , ,
(, , , , ..).
:
,
,
;
,

BS ISO/IEC 27005:2011 v.1 11.02.2012


38


:
( );
( );
( ,
).
.
.
, ,
, , -
, , , .
.
.
, " "
.

ne
t

.2 ,

Kl

ub

K.

,
.
, ,
, , .
(, )
, .
( ,
..), , ,
. , , ,
. ,
-,
, ..
, ,
, ..
, ,

,
. ,
, , ,
,
. ,
,
, ,
.
, , :

,
, , ,
. ,
,
, , .
,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012


39

Kl

ub

K.

ne
t


.
.
,
,
.

/ ,
.
, , ,
..
,

,
.
,
.

(, )

, .
,
, .


.
, , ,
.
,
.
, , , ,
, , ..
,
.
,

,
.
, .
,
, (-) ,
, ,
, ..
,
.


"" ,
. "
" , ,
, , , ,
, , , , , ..

BS ISO/IEC 27005:2011 v.1 11.02.2012


40

ne
t



. ,
, , ,
.
,

. , ,
,
, .

.3

,
. , ,
, ,
/ . , ,
.

K.

.4 ,

Kl

ub

,
, ,
. , , ,
, .
, .
,
.
.
, ,
.

, ,
,
, :
() (, ,
, ..);

(,

(,
,
-),

..);
(,
,
..);
(, ,
, , , ..);
(, , ,
..);
(, , , ,
..);
(,
, ,
, ..).

BS ISO/IEC 27005:2011 v.1 11.02.2012


41

Kl

ub

K.

ne
t



, . ,
- , ,

.
,
, ,
, : , , ,
, ..

, ,
;
, , ,
.
.
,
, (-) ,
, , ..

, :
(,
, , , , ""
, ..);
( ,
, , ..);
(,
, ,
,
..);
(,
..);
(,
, ,
, ..);
(,
, ..).

BS ISO/IEC 27005:2011 v.1 11.02.2012


42

B
()

,

B.1

K.

ne
t

,
( ).
:
:
- ;
;
(
) :
;
;
;
;
;
.

B.1.1

Kl

ub

,
(- -,
).
, (,
, .).

.
,
,
.
" ",
. ,
, .
.
:
1. - ( ) -, :
,
;
, ,
;
,
;
, ,
;

BS ISO/IEC 27005:2011 v.1 11.02.2012


43

2. :
, , ,
:
,
;
,
,
;
, ,
;
, , ,
/
.
,
,
. ,
, -
.
, ,
, .

K.

ne
t

.1.2

Kl

ub

,
. ,
,
( ). :

" " ,
.
()
,
.

.
: (), PDA-
( ).

, .
: , , .

,
( , . .) ,
.
: , .
()
.

,
. ,
.
.

BS ISO/IEC 27005:2011 v.1 11.02.2012


44

Kl

ub

K.

ne
t

: , CD ROM, , ,
, .

, , .
: , , , , .

,
.

,
,
( ).
.

.
( ,
, ),
, .

, ,
,
(
).


, (
),
, .
,
-.
: ,

, ,
Web- ..
-
-
,
,
.
,
.
: ,
,
, ,
..
-
,
( , , , ..)
, ,
. ,
, .

BS ISO/IEC 27005:2011 v.1 11.02.2012


45

Kl

ub

K.

ne
t

: ,
.

"" ,

.

,
, ("-",
) ( - 2 3 7-
).
: (PSTN - Public
Switching Telephone Network), Ethernet, Gigabit Ethernet,
(ADSL - Asymmetric Digital Subscriber Line),
(, WiFi 802.11), Bluetooth, FireWire.

, ,

.
, /
, .
,
.
: , , ,
.

,
,
,
() ,
.
: (GPRS - General Packet Radio
Service), Ethernet-.

"" ,

,
, ,
( ) .
: , .

,
.
,
.
: , ,
.

.
, .

BS ISO/IEC 27005:2011 v.1 11.02.2012


46

Kl

ub

K.

ne
t

: , ,
, , ,
.

.
,
- ,
.
: -.

" " ,
,
, .


,
.
: , ,
( , ).

,
. ,
, ,
.
: , .

,
.
.
: , , .

, .

, .
: ,
, .

( ),
- .
: , ,
.


(, ) .
: , .

"" ,
, , ,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012


47

K.

ne
t

,
. .
, .
: , .

,
.
: , , ,
-, , ,
.

,
.
: ,
.
//
, ,
.
: , ,
.

.2

Kl

ub



, . ,
, , ,
, ,
, ,
, , , " " " ".
, : ,
,
.
.
,
, , : , , ,
, , , . ,
, ,
.

,
, .
,
, ,
, , . ,
, ,
, , , ,
.
,
- ,
. , ,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012


48

Kl

ub

K.

ne
t

,
. ,
,
.

.
, - ,
, , ,
.
.

. ,
,
,
.

,
. , , .
, ,
, , , ,
, , :
/ ;
;
" "/ ;
, ;
;
;
;
;
;
-;
.
:
:
;
:
;
;
:
;
;
:
, ;
;
/:
;
:
;
/ :

BS ISO/IEC 27005:2011 v.1 11.02.2012


49

Kl

ub

K.

ne
t

/ ;
;
;
,
:
;
;
, ;
/ /;
, ;
;
;
/ ;
/;
;
;
();
;
;
.
,
.
, . ,

.


, .
. ,
, .
,
.
3 (, ,
) 10 ,
.
,
"", "" "".
, (,
,
,
). , ,
"" "" , .
, ,
.

-
, .
, .
,
, , , . .

BS ISO/IEC 27005:2011 v.1 11.02.2012


50

K.

ne
t

,
. , -
, ,
. ,
,
. ,
, . ,
. ,
, (
), , , .
, ,
:
(, )

(,

), ;
(, )
(, ),
:
;
.
,
,
, .
. , ,
, ;
, .


( ), (
, , ),
( ) .

ub

.3

Kl


. .
, ,
.
() , (-) ,
.
() .
:
a) (
);
b) ,
;
c) - , ,
(), ;
d) .
:

BS ISO/IEC 27005:2011 v.1 11.02.2012


51

Kl

ub

K.

ne
t

a) ) ( ,
,
- );
b) ;
c) ) ,
;
d) ;
e) ) .
, ( )
() ().
() ()
( ) -
.

BS ISO/IEC 27005:2011 v.1 11.02.2012


52


()

ne
t

.1 .
.
, ()
, , .
, D (), (
), E (). D ,
, A ,
E ,
.
.

A, D, E
A, D, E
A, D, E
A, D, E
A, D, E

A, D, E

E
E
E
E
E
A, D

K.

ub

Kl

A, D, E
A, D
A, D, E
A, D, E
A, D, E
D

D
D
D
D

BS ISO/IEC 27005:2011 v.1 11.02.2012


53

()

A, D
A, D

ne
t
D

D
A
A
A, D

A, D

A
A, D
D
D
A, D, E

A
A, D

D
D

ub

K.

Kl

D
D

BS ISO/IEC 27005:2011 v.1 11.02.2012


54

.
:
,
()

()
()

ne
t


(, -)

(, ,
, )

ub

K.

Kl


(,

(,

)


(
)

(
, , /

)

BS ISO/IEC 27005:2011 v.1 11.02.2012


55

(,
,
)


, ()

(,
, ,
)

Kl

ub

K.

ne
t

( ,
,
,
,

BS ISO/IEC 27005:2011 v.1 11.02.2012


56

D
()


D.1

ne
t

D.1
, , .

. ,
.

,
,

, ,

K.

ub

Kl


' '

57

BS ISO/IEC 27005:2011 v.1 11.02.2012

ne
t

K.

ub

Kl

58

BS ISO/IEC 27005:2011 v.1 11.02.2012

-


( )

(
)


( )


ub

(
)

Kl

K.

ne
t

59

BS ISO/IEC 27005:2011 v.1 11.02.2012

(
)

ne
t

(
)

Kl

ub

K.

60

BS ISO/IEC 27005:2011 v.1 11.02.2012


(
)

ne
t

D.2

Kl

ub

K.

, ,

()
(, , , ,
). :
;
;
;
.



(,
(FTP), ). , , ,
,
,
. ,
, .
,
,
, ,
. ,
.
,
,
.
(, ,
).
,
. , ,

,
.

,
.
,

. ,

61

BS ISO/IEC 27005:2011 v.1 11.02.2012

Kl

ub

K.

ne
t

,
.
(
) .

.
,
, .

//, .
,
(, ),
.
.
:
;
;
;
.

62

BS ISO/IEC 27005:2011 v.1 11.02.2012

E
()


E.1

Kl

ub

K.

ne
t


. , ,
,
.
,
.
,
, , .

, (
). ,
,
, , , ,
.

:

,
,
.
- ,
;

,
,

;
, ,
,
. ,
.
, , ,
, ,
;
- ,
,
,

,
.
:
, ,
;

63

BS ISO/IEC 27005:2011 v.1 11.02.2012


, ..
;
,
, , ,
, .

,
, -
, . ,
,
, ,
.

.
(. 1)
, ;
:
-,
;

, .., ,
,
, ,
, , ,
, ;
,
, ;
,
.
, .

, ( )
, .
:

, - ,
.

ub

K.

ne
t

Kl

E.2

,
.
, .
,

.

, .
64

BS ISO/IEC 27005:2011 v.1 11.02.2012

K.

ne
t

,
, , (
, )
.
,
. :
-
;
, ,
-
;
-
;
-
.

. , ,
,
.
.

E.2.1

Kl

ub



(.. ).
, (. ).
,
- ,
, .
, ,
(,
),
, .

- (" "),
,
, , .

, ,

, ,
.

, , :
;
;
;
;
;
/ ;
65

BS ISO/IEC 27005:2011 v.1 11.02.2012

K.

ne
t

;
;
" ";
.
,
, , 0 4, (.
.1), , , ,
, ,
, , .

, , ,
( )
( ,
). . ,
, . , ,
, , ,
, ,
.
, ,
.
, ,
, (), ,

0 8. .
(. .1):
()

ub

Kl

()

()

E.1 a)


.
, (
).
,

. , 3, "",
"", 5. ,
2 , , "",
66

BS ISO/IEC 27005:2011 v.1 11.02.2012

()

()

()

K.

ne
t

"", 4. ,
,
, .
.
, .
, E1 b)
,
. ,
.
, .
0 8,
.
, , :
: 0-2;
: 3-5;
: 6-8.

ub

E.1 b)

E.2.2

Kl

,
( ) (
). (
) , , 1 5,
( "b" .2).
, , 1 5,
( "" ).
(b). ,
. , 1 -
.

67

BS ISO/IEC 27005:2011 v.1 11.02.2012


()

(b)

(c)

(d)

10

15

(e)

ne
t

()

E.2

K.

, ,

.
.

E.2.3

ub


( , ) ,
.
- ,
. ,
.
.
, ,
.
.
. ,
,
.3 .

Kl

E.3

68

BS ISO/IEC 27005:2011 v.1 11.02.2012

,
.4, /. / ,
.
, .
0

ne
t

E.4

Kl

ub

K.


, .
,
.
.
, S A1, A2 A3.
, T1 T2, S.
A1 3, A2 2 A3 4.
A1 T1
, 1 (. E.3).
/ A1/T1 E.4
, 3 1, 4.
A1/T2 ,
, A1/T2 6.
A1T, 10.

. , A1T + A2T + A3T,
ST.
,
.
, ,
-.

69

BS ISO/IEC 27005:2011 v.1 11.02.2012

F
()

Kl

ub

K.

ne
t

, ,
:
:
. ,
,
. -
.
,
.
:
,
, , ,
(, ).
,
.
-
.
.
,
, ,
, .

.
:
, ,
, . ,

.
.
,
. ,
.
:
, 24 ,
,
,
.
:
, ,
, , .
. ,
, .
70

BS ISO/IEC 27005:2011 v.1 11.02.2012

Kl

ub

K.

ne
t

,
.
,
.
:
,
.
, ,
.
.
, , , .
, :
, ,
, ,
. ,
, .
:
,
, ,
.
,
,
, , . , ,
,
.., .
:
-
.

. ,
, ,
, .

.
:

,
.

. ,

, ,
. ,

.

.
71

BS ISO/IEC 27005:2011 v.1 11.02.2012

Kl

ub

K.

ne
t

,
:

.

. ,

, .

, . ,
-
.

72

BS ISO/IEC 27005:2011 v.1 11.02.2012

K.
ne
t
G

()

ISO/IEC 27005:2008 ISO/IEC 27005:2011

: ISO/IEC 27001:2005.
ISO 73:2009 ISO/IEC 27001:2005, ISO/IEC
27005:2008, .
ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

Kl

ub

BS ISO/IEC 27005:2011 v.1 11.02.2012

3.1
(consequence):
(3.3),
.
:
1.

2.


.
3.
.
4.
.
73

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

(control)
,
,
,
,
,
,
,
,

.
,


.
[ISO/IEC 27002:2005]

3.2
(control):
, (
3.9).
[ ISO 73:2009]
:

1.

,
,
,
,
,

, ,
,
,
.
2. , ,

.
3.

.

Kl

ub

BS ISO/IEC 27005:2011 v.1 11.02.2012

74

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

3.3
(event):

.
[ ISO 73:2009]
:
1.

.
2. ,
.
3.

Kl

ub

BS ISO/IEC 27005:2011 v.1 11.02.2012

75

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

ub

Kl

3.1
(impact):

BS ISO/IEC 27005:2011 v.1 11.02.2012

3.4
(external context):
,

[ ISO 73:2009]
:
:
,
,
,
,
,
,
, ,

,

,
;
,
;

,
.

76

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

(. 6
3.9)

Kl

ub

3.2

(information security risk):
,

, ,
.
-

.

BS ISO/IEC 27005:2011 v.1 11.02.2012

77

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

Kl

ub

BS ISO/IEC 27005:2011 v.1 11.02.2012

3.5
(internal context):



[ ISO 73:2009]
:
:
,

;
,
;
,

(,
,
,
, ,
);

,

(
,

);

,
;
;
,
78

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

3.6
(level of risk):
(3.9)
,
(3.1) (3.7)
.
[ ISO 73:2009]

Kl

ub

, ;

.

BS ISO/IEC 27005:2011 v.1 11.02.2012

79

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

Kl

ub

BS ISO/IEC 27005:2011 v.1 11.02.2012

3.7
(likelihood):

.
[ ISO 73:2009]
:
1.

,
, ,

,
,


(,


).
2. likelihood

,

probability.
,

probability

80

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

likelihood
,

,
probability
, .

(residual risk):
,
[ISO/IEC 27001:2005]

Kl

ub

BS ISO/IEC 27005:2011 v.1 11.02.2012

3.8
(residual risk):

(3.9),

(3.17)
[ ISO 73:2009]
:
1.

.
2.

.

81

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

Kl

ub

(risk):
3.9
(risk):

.
[ ISO 73:2009]
[ISO/IEC 27002:2005]
:
1.
(
/ ).
2.
(,
,
,

(,

, ,
).

3.

(3.3)
(3.1)
.
4.

(

(3.9)
.
5.

BS ISO/IEC 27005:2011 v.1 11.02.2012

82

K.
ne
t

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

(risk analysis):



:

,
7
[ISO/IEC 27001:2005]

Kl

ub

ISO/IEC 27005:2008

6
7

( )
,

,
.
6.

6.
3.10
(risk analysis):

(3.6)
[ ISO 73:2009]
:

1.

,
.
2.

: ISO 73:2009.
: ISO/IEC 27001:2005 .

BS ISO/IEC 27005:2011 v.1 11.02.2012

83

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

(risk assessment):

.
[ISO/IEC 27001:2005]

Kl

ub

3.3
(risk avoidance)
,
.
[ ISO 73:2002]

3.11
(risk assessment):

(3.15), (3.10)
(3.14).
[ ISO 73:2009]

BS ISO/IEC 27005:2011 v.1 11.02.2012

84

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

3.4

(risk communication):

Kl

ub

BS ISO/IEC 27005:2011 v.1 11.02.2012

3.12


(risk communication and consultation):

, ,
,
,

(3.18)
(3.9)
[ ISO 73:2009]
:
3.

,
,
,
(3.6.1.1), ,
,


.
4.

85

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

Kl

ub

BS ISO/IEC 27005:2011 v.1 11.02.2012

:
,

,

3.13
(risk criteria):
,
(3.9)
[ ISO 73:2009]
:
1.

.
2.

, ,
.

86

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

Kl

ub

3.5
(risk estimation)
,

[ ISO/IEC 73:2002]
:
1.

,
""
""
.
2.

,
(likelihood)

""(probability)

BS ISO/IEC 27005:2011 v.1 11.02.2012

87

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

(risk evaluation):


.
[ISO/IEC 27001:2005]

3.14
(risk evaluation):

(3.10)

(3.13)

, /

.
[ ISO 73:2009]
:

Kl

ub

BS ISO/IEC 27005:2011 v.1 11.02.2012

88

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

3.15
(risk identification):
,
.
[ ISO 73:2009]
:
3.

,
,
.
4.

,

,

Kl

ub

3.6
(risk identification):
,

[ ISO/IEC 73:2002]
:

, ""(activity)

""(process) .

BS ISO/IEC 27005:2011 v.1 11.02.2012

89

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

(risk management):


.
[ISO/IEC 27001:2005]

Kl

ub

3.7
(risk reduction)
, ,
, ,
,
[ ISO/IEC 73:2002]

,
(likelihood)
""
(probability) .

3.16
(risk management):


.
[ ISO 73:2009]
:

-
.

BS ISO/IEC 27005:2011 v.1 11.02.2012

90

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

Kl

ub

3.8
(risk retention):

.
[ ISO/IEC 73:2002]
:



().
3.9
(risk transfer):

.
[ ISO/IEC 73:2002]
:



().

BS ISO/IEC 27005:2011 v.1 11.02.2012

91

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

(risk treatment):

.
:

(control)
(measure).
[ISO/IEC 27001:2005]

3.17
(risk treatment):
.
[ ISO 73:2009]
:
1. :

,
;

;
;


(


.
,

2.
92

Kl

ub

BS ISO/IEC 27005:2011 v.1 11.02.2012

K.
ne
t

ISO/IEC 27005:2008

, ISO/IEC

27000:2009, ISO/IEC

ISO 73:2009,

27005:2008

ISO/IEC 27005:2011

ub

Kl

[threat]

,

[ISO/IEC 27002:2005]

BS ISO/IEC 27005:2011 v.1 11.02.2012

,
,
.
3.

.
3.18
(stakeholder):
,

,
, ,
-

.
[ ISO 73:2009]
:
, ,
.

ISO/IEC 27000:2009

93

[1] ISO/IEC 73:2009,


-

ne
t

[1]
ISO/IEC Guide 73:2009, Risk
management Vocabulary Guidelines for
use in standards

[2]
ISO/IEC 16085:2006, Systems and
software engineering Life cycle processes
Risk management

Kl

ub

K.

[3] ISO/IEC 27002:2005, Information


technology Security techniques Code of
practice for information security management
[4]
ISO 31000:2009, Risk management
Principles and guidelines
[5] NIST Special Publication 800-12, An
Introduction to Computer Security: The NIST
Handbook
[6] NIST Special Publication 800-30, Risk
Management Guide for Information Technology
Systems, Recommendations of the National
Institute of Standards and Technology

[2] ISO/IEC 16085:2006,



-

ISO/IEC 27002:2005,
.
.
[4] ISO 31000:2009,

[5] NIST 800-12,
:

[6] NIST 800-30,



,

94

BS ISO/IEC 27005:2011 v.1 11.02.2012