Iso 27005

BS ISO/IEC 27005:2011
ISO/IEC
27005

ne
t
2011-06-10
Technologies de l'information Techniques de scurit Gestion du risque en
Kl
ub
K.
scurit de l'information
ISO/IEC 27005:2011 (SE)

ISO/IEC 2011

, - BS ISO/IEC 27005:2011.

.. .
BSI,
.
:

, ,
ISO/IEC 27001;
-
;
,
, , ,
.
,
, ,
, ,
.
K.
ub
:
, ISO/IEC 27005, ISO/IEC 13335-3:1999
ISO/IEC 13335-4:2001 , ..
, ISO/IEC 13335-3:2003 ISO/IEC 133354:2005 ( ISO/IEC 27005
, !);
ne
t
ISO/IEC 27005:2008
ISO/IEC 27000:2009 ISO 73:20091;
ISO
31000:2009 (. :
(.
http://www.tnpa.by/tnpa/TnpaFiles/pdf/STB_ISO_31000.pdf) ISO Guide 73-2009
: http://www.tnpa.by/tnpa/TnpaFiles/pdf/STB_ISO_Guide_73.pdf)
ISO/IEC 27005, " "" "

ISO/IEC 27005:2008.
Kl
:
ISO 73:2009
ISO 27005:2011. , !!!
BS ISO/IEC 27005:2011 v.1 11.02.2012
Kl
ub
K.
ne
t
.............................................................................................................................. 5
.................................................................................................................................... 6
1 () ............................................................................................. 7
2 ............................................................................................................. 7
3 ........................................................................................................................... 7
4 ......................................................................... 12
5 ............................................................. 13
6 ............................. 14
7 ...................................................................................................... 16
7.1 ................................................................................................................ 16
7.2 ......................................................................................................... 17
................................................................................................... 17
..................................................................................................... 17
............................................................................................... 18
7.3 ....................................................................................... 18
7.4 ........... 19
8 ................................................................. 19
8.1 ................................. 20
8.2 ................................................................................................................... 20
8.2.1 ............................................................................................ 20
8.2.1.1 ...................................................................... 20
8.2.1.2 ...................................................................................... 21
8.2.1.3 .......................................................................................... 21
8.2.1.4 ........................................... 22
8.2.1.5 ................................................................................ 23
8.2.1.6 .............................................................................. 24
8.2.2 ..................................................................................................... 24
8.2.2.1 ............................................................................ 24
8.2.2.2 ............................................................................................ 25
8.2.2.3 .......................................................................... 26
8.2.2.4 ...................................................................................... 27
8.3 ......................................................................................................... 28
9 ............................................................ 29
9.1 ................................................................................... 29
9.2 .............................................................................................................. 31
9.3 ............................................................................................................ 32
9.4 .................................................................................................... 33
9.5 ................................................................................................................. 33
10 .............................................................. 33
11 .................... 34
12 .................................... 35
12.1 .................................................................. 35
12.2 , .......................................................................... 36
A ......................................................................................................................... 38

.............................................................................................. 38
.1 ..................................................................................................... 38
.2 , ................................................... 39
BS ISO/IEC 27005:2011 v.1 11.02.2012
Kl
ub
K.
ne
t
.3 ,
.................................................................................................. 41
.4 , ....................................... 41
B ......................................................................................................................... 43
, ... 43
B.1 ................................................................................. 43
B.1.1 ......................................................................... 43
.1.2 ...................................................... 44
.2 ................................................................................... 48
.3 ............................................................................................................ 51
......................................................................................................................... 53
....................................................................................................... 53
D ......................................................................................................................... 57
...................................................................... 57
D.1 .................................................................................................... 57
D.2 .................................................................. 61
E ......................................................................................................................... 63
.................................................. 63
E.1 .............................. 63
E.2 ........................................... 64
E.2.1 ........................................... 65
E.2.2 ................................................................ 67
E.2.3 ... 68
F ......................................................................................................................... 70
........................................................................................... 70
G ......................................................................................................................... 73
ISO/IEC 27005:2008 ISO/IEC 27005:2011 ........................ 73
.......................................................................................................................... 94
BS ISO/IEC 27005:2011 v.1 11.02.2012
Kl
ub
K.
ne
t
(ISO)
(IEC)
. , ISO
IEC,
,
. ISO IEC
, .
, ISO IEC
.
,
ISO/IEC.
,
, - .

75% , .
,
.
ISO IEC .
ISO/IEC 27001 ISO/IEC
JTC 1, , SC 27.
ISO/IEC 27005 ISO/IEC
27005:2008, .
BS ISO/IEC 27005:2011 v.1 11.02.2012
Kl
ub
K.
ne
t

,
2 (ISMS) ISO/IEC 27001.

.
, ,
, .

, .
,
, ,
, , .
ISMS (Information Security Management

System) ( ) ,
, (
), .
BS ISO/IEC 27005:2011 v.1 11.02.2012
1 ()
ne
t

,
.
, ISO/IEC
27001,
, .
, , , ISO/IEC
27001 ISO/IEC 27002,
.
(,
, , ),
,
.
K.

.
.
( ).
ISO/IEC 27001:2005, -
- .
ISO/IEC 27002:2005, -
-
.
ub

ISO/IEC 27000, .
:
ISO/IEC 27005:2008
G.
3.1 (consequence):
Kl
(3.3), .
:
1.
2. .
.
3. .
4. .
3.2 (control):
, ( 3.9).
[ ISO 73:2009]
:
BS ISO/IEC 27005:2011 v.1 11.02.2012
1.
, , , ,
, , ,
, ,
.
2. , ,
.
3.
.
3.3 (event):
ne
t
.
[ ISO 73:2009]
:
1.
.
2. , - .
3. 3.
3.4 (external context):
K.
,
[ ISO 73:2009]
:
:
,
,
,
,
,
, , ,
, , ;
, ;
, .
3.5 (internal context):
Kl
ub
,
[ ISO 73:2009]
:
:
, , ;
, ;
, (,
, , , , );
,
( , );
,
;
;
, , ;
.
, ISO/IEC Guide 73:2009, :

, ,

BS ISO/IEC 27005:2011 v.1 11.02.2012
3.6 (level of risk):

(3.9) ,
(3.1) (3.7) .
[ ISO 73:2009]
3.7 (likelihood):
K.
ne
t
.
[ ISO 73:2009]
:
1.
, , ,
,
,
(,
).
2. likelihood
, probability. ,
probability ,
. ,
likelihood ,
, probability
, .
3.8 (residual risk):
(3.9), (3.17)
[ ISO 73:2009]
:
1. .
2. .
3.9 (risk):
Kl
ub
.
[ ISO 73:2009]
:
1. ( /
).
2. (, ,
, )
(,
, ,
).
3. (3.3)
(3.1) .
4. (
) (3.9)
.
5. ( ) ,
,
.
BS ISO/IEC 27005:2011 v.1 11.02.2012
6. ,

4.
3.10
(risk analysis):
3.11
ne
t
(3.6)
[ ISO 73:2009]
:
1. ,
.
2. .
(risk assessment):
(3.15), (3.10)
(3.14).
[ ISO 73:2009]
K.

3.12
(risk communication and consultation):
ub
, ,
, ,
(3.18) (3.9)
[ ISO 73:2009]
:
1. , , , (3.6.1.1),
, , .
2.

. :
,
, ;
,
.
3.13
(risk criteria):
Kl
, (3.9)
[ ISO 73:2009]
:
1.
.
2. , ,
.
3.14
(risk evaluation):
(3.10)
(3.13) , /
.
4
: ISO 73:2009.
BS ISO/IEC 27005:2011 v.1 11.02.2012
[ ISO 73:2009]
:
.
3.15
(risk identification):
, .
[ ISO 73:2009]
3.16
ne
t
:
1. , ,
.
2. ,
, ,
.
(risk management):
3.17
K.

.
[ ISO 73:2009]
:
'', .
.
(risk treatment):
Kl
ub
.
[ ISO 73:2009]
:
1. :

, ;
;
;
;
;
(
;
.
2. , ,
, ,
.
3. .
3.18
(stakeholder):
, , ,
, - .
[ ISO 73:2009]
:
, , .
BS ISO/IEC 27005:2011 v.1 11.02.2012
Kl
ub
K.
ne
t

.
5.

6.
, ,
6, :
- 7;
- 8;
- 9;
- 10;
- 11;
- 12.
,
, .
(
).
(,
), (, ) D
(, ).

E.
, , F.
ISO/IEC 27005:2008 ISO/IEC 27005:2011 G.
, , 712, :
: ,
.
: .
: .
,
.
: ,
.
BS ISO/IEC 27005:2011 v.1 11.02.2012
Kl
ub
K.
ne
t

, ,

().
, ,
.
, .

, ,
.
.
,
, ,
.
, , ,
,
.
:
;
,
;
;
;
;

;
;

;
;

, .

, (, ,
,
),
,
, (,
).
BS ISO/IEC 27005:2011 v.1 11.02.2012
Kl
ub
K.
ne
t

( 7), ( 8), ( 9),
( 10), ( 11),
( 12).
1,
, /
.
.
, ,
BS ISO/IEC 27005:2011 v.1 11.02.2012
Kl
ub
K.
ne
t
, - ,
.
,
.
, ,
. ,

(, , ),
(. ,
1).
. ,
.
, ,
(, ,
), (. ,
2).
,
.
, ,
, - .
,

.

. ,
, ,

. ,
, ,
, .
ISO/IEC 27001 , ,
, , .
.
, .
,
.
, ,
"". ""
, ,
. ""

. ""
, .
, ,
.

, :
BS ISO/IEC 27005:2011 v.1 11.02.2012
1.
(Plan)
(Do)
(Check)
(Act)
K.
7.1
ne
t
: ,
.
:
, ,
(
7.2), ( 7.3)

( .7.4).
:
Kl
ub
,
, .
:
;
;
;
;
,
.
,
, 7.2
7.4.
:
ISO/IEC 27001 "". 7
"
" [. 4.2.1 a)], "
[. 4.2.1 b)]
" [. 4.2.1 )],
ISO/IEC 27001.
: , ,
.
BS ISO/IEC 27005:2011 v.1 11.02.2012
7.2
K.
ne
t

.
.

, , : ,
, .
,
:
;
,
;
;

.
, ISO/IEC 27001 ( 5.2.1)
.
ub

, :
-;
;
;
,
;
,
" " .
,
.
Kl
,
, ,
, :
,
;

(,
, );
( );
;
;
;
, .
- ISO/IEC 27001 [4.2.1 d) 4)],
,
.
BS ISO/IEC 27005:2011 v.1 11.02.2012
ub
K.
ne
t
.
, ,
.

. :
,
, ,
,
;

( )
;

, , ,
, ,
,
;
,
, , ,

.
,
, , , ,
.
:
;
;
;
;
;
.
- "
", ISO/IEC 27001 [.
4.2.1 ) 2)].
.
Kl
7.3

.

,
. , [. ISO/IEC
27001, 4.2.1 )] ,
.
,
,
.

, :
BS ISO/IEC 27005:2011 v.1 11.02.2012
, ;
;
;
, ,
;
;
;
;
;
, ;
;
;
(.. ).
,
.
-,
- , - .
-
,
ISO/IEC 27001 [. 4.2.1 )].
.
K.
ne
t
7.4
Kl
ub

.
, :
,
;
;
, ,
;

,
(,
),
;
;
.

.
- ISO/IEC 27001 ,
, , , ,
, [. 5.2.1 )].
,
ISO/IEC 27001.
8
BS ISO/IEC 27005:2011 v.1 11.02.2012
8.1
, ISO/IEC 27001
.
ub
K.
ne
t
: , ,
.
: ,

.
:
,
, .

.
:
( 8.2);
( 8.3)
( 8.4).
,
, ( ),

, , ,
,
.
, ( ) .
,
.
,
. ,
, ,
, , , .

.

.
: ,
.
Kl
8.2
8.2.1
8.2.1.1
,
, , , ,
. , ,
.
- , ,
.
BS ISO/IEC 27005:2011 v.1 11.02.2012
8.2.1.2 5
K.
ne
t
:
, , , ,
..
: ,
[ ISO/IEC 27001, 4.2.1 d) 1)].
:
, , ,
. ,
.

, .
, ,
, .
.
,
.
, ,
, , .
,
(. 8.2 ).
,

.

.
: , ,
-, , .
8.2.1.3
Kl
ub
: ,
, , , ,
.
: [
ISO/IEC 27001, 4.2.1 d) 2)].
:
, , ,
, , .
,
. ,
. , .
(, ,
, ), , ,
5
: :
( );
(, , , );
( , , );
( );
, IT ( / );
IT (system mission) , IT ;
( , ,
..).
BS ISO/IEC 27005:2011 v.1 11.02.2012
K.
ne
t
. , ,
, , , , .
.
, ,

(. 8.2.2.3) ,
, ,
, ,
, , ,
.
.
, ,
.
(, ),
, .
, ,
, ..
,
, , ,
- .
.
: .
8.2.1.4
Kl
ub
: ,
.
:
.
,
, , .
,
, , ,
. , ,
. ,
( )
. , ISO/IEC 27001,
.
- ,
.
, ,
.
,
, ,
.

, .
, ,
, , ,
, , .
BS ISO/IEC 27005:2011 v.1 11.02.2012
K.
ne
t

:
,
(, ).
,

;
,
(, ,
, ,
, )
,

;
,
,
,
;
.
:
, .
8.2.1.5
Kl
ub
: ,
.
: ,
, [
ISO/IEC 27001, 4.2.1 d) 3)].
:
:
;
;
;
;
;
;
, ;
.
,
, . ,
, ,
. ,

, , .
,
. , ,
, .
,
, ,
. , ,
, ,
.
BS ISO/IEC 27005:2011 v.1 11.02.2012

D.
: , ,
; ,
.
8.2.1.6
ub
K.
ne
t
: , -,
, , , .
: ,
, [.
ISO/IEC 27001, 4.2.1 d) 4)].
, , , ,
..

, ,
, (. ISO/IEC 27002,
13). ,
, , .
; .

.
, .
- ISO/IEC 27001
, " .

( ):
;
() ;
;
;
,
;
" ".
, , B.3
( B).
: ,
-.
Kl
8.2.2
8.2.2.1

,
, .
, , .

.

,
.
BS ISO/IEC 27005:2011 v.1 11.02.2012
ub
K.
ne
t
,
.
:
) .

(, , )
.
,
.
,
,
. :

, ;
,
;
,
.
,
;
b) .
(
, ) ,
, .
.

, ,
.
, ,
.

,
.

.
8.2.2.2
Kl
:
, , ,
-.
: ,

, ,
[ ISO/IEC 27001, 4.2.1 ) 1)].
:
,
, .

, , ,
, , ,
.
BS ISO/IEC 27005:2011 v.1 11.02.2012
ub
K.
ne
t

,
- . :
:
(
);
, ,
/
, ,
/ .
.
,

-.

,
(, ), .
, , ,
. , ,
.

,
.
,
, , .
, ,
, , .
, ,
,
.
.
B
.
: ,
.
8.2.2.3
Kl
:
, , ,
-. ,
,
.
:
[ ISO/IEC 27001, 4.2.1 ) 2)].
:

,
. ,
, :
;
: ,
,
BS ISO/IEC 27005:2011 v.1 11.02.2012
ub
K.
ne
t
,
;
: , ,
,
,
;
, ;
,
.
,
. ,
, -
. ,
, ,
.

. ,

.
: (
).
: ,
, - (
).
:
[ ISO/IEC 27001, 4.2.1 ) 4)].
.
.
. ,
, ,
.
.
E
.
: .
8.2.2.4
Kl
: ,
, - (
).
:
[ ISO/IEC 27001, 4.2.1 ) 4)].
BS ISO/IEC 27005:2011 v.1 11.02.2012
8.3
ne
t
.
.
. ,
,
, .
.
E
.
: .
Kl
ub
K.
:
.
:
[ ISO/IEC 27001, 4.2.1 ) 4)].
:
, ,
, ,
.
,
.
( ,
E) ,
.
, ,

,
.. , ,
. , ,
.
.
:
:
(,
), , ,
;
- ,
:
,
, ,
.
,
, .
:
- ;
,
.
, ,
,
.
BS ISO/IEC 27005:2011 v.1 11.02.2012
: ,
,
.
9
9.1
Kl
ub
K.
ne
t
:
,
.
: ,
, .
:
: (. 9.2),
(. 9.3), () (. 9.4)
(. 9.5).
- ISO/IEC 27001 [. 4.2.1 f) 2)]
" " ("retaining risk") " " ("accepting
risk").

.
BS ISO/IEC 27005:2011 v.1 11.02.2012

29
ne
t
K.
O
ub
Kl
2 -

,
.

, .
,
, .

- .
, .
BS ISO/IEC 27005:2011 v.1 11.02.2012

30
Kl
ub
K.
ne
t
,
(, ,
).
.
,
,
.

(,
). ,
.
,
"-".
.

,
, .
(,
),
.
,
. ,
, .
:
;
.
(. 7.2 - )
, .
,
.
- , , .,
, ,
.
,
. ,
.
-
, ,
.
: -
.
9.2
:
, .
:

, ,
. ,
, .
BS ISO/IEC 27005:2011 v.1 11.02.2012

31
Kl
ub
K.
ne
t

, .

.
,
: , , ,
, , , , .
"" ,
, , ,
. ,
,
, .
,

.
ISO/IEC 27002 .
,
. , ,
( )

, ,
, ,
(,
,
). , ,
. ,
,
.
, .

. :
;
;
;
;
;
;
, ;
;
;
;
,
.
,
F.
9.3
: , ,
.
BS ISO/IEC 27005:2011 v.1 11.02.2012

32
9.4
ne
t
- ISO/IEC 27001 [. 4.2.1 f) 2)]

: " , ,
, ,
".
:
,

.
9.5
K.
: ,
.
:

,

,
, (). ,
, ,

, .
Kl
ub
: () ,
,
.
:

.
.
.
,
, "",

,
.
, ,
, , ,
. ,
.
10
:
.
:
[ ISO/IEC 27001, 4.2.1 h)].
:
, ,
, (.
BS ISO/IEC 27005:2011 v.1 11.02.2012

33
K.
ne
t
7.2 " "). ,

, , .
,
,
.

, ,
. , ,
, ,
, , ,
. ,
. ,
. ,
,
. , , ,
,
.
: ,
.
11

Kl
ub
: ,
(. 1).
:
/ .
:
,
,
/ ,
, .
, , , , ,
, , .

,
, .
, , , ,
, ,
, .
.
- , ,
, ,
. , ,
. ,
,
,
.

:
;
BS ISO/IEC 27005:2011 v.1 11.02.2012

34
;

;

-
;
;
;

- ;
,
, ;
.

, , .
, .
, ,
,
(),
,
.

, ,
.
, , .
:
.
K.
ne
t
12
ub
12.1
Kl
: ,
(. 2).
: (. . , , ,
, )
,
.
:
. , ,
, - .
.
,
.
,
:
,
;
BS ISO/IEC 27005:2011 v.1 11.02.2012

35
, ,
-;
, ,
;
,
;
,

;
,
,
;
.
,
, .
,
, .
,
, 9.
, ,
, ,
. , ,
. ,
,
.

.
, ( ISO/IEC 27001,
4.2.3).
: .
ub
K.
ne
t
12.2 ,
Kl
: ,
(. 2).
:
, ,
.
:

, , ,
.
,

.
,
, ,
, ,
, ,
BS ISO/IEC 27005:2011 v.1 11.02.2012

36
Kl
ub
K.
ne
t

.
, , ,
, -
-, ,
-
.
( )
:
;
;
;
;
;
;
;
;
.
,
,
.

, ,
:
;
;

(, , ,
);

(,
,
-,
, , ,
).
:
- .
BS ISO/IEC 27005:2011 v.1 11.02.2012

37
A
()

.1
Kl
ub
K.
ne
t
.
, . ,
, , .
, (,
).

.
.
, ,
, ,

.
, ( , ..).
. ,
(-) , .

.
.
. ,

.
.
, .
, (, ),
.
,
, () - ,
.
.
. :
:
, ,
,
;
:
, , ,
(, , , , ..).
:
,
,
;
,

BS ISO/IEC 27005:2011 v.1 11.02.2012

38

:
( );
( );
( ,
).
.
.
, ,
, , -
, , , .
.
.
, " "
.
ne
t
.2 ,
Kl
ub
K.
,
.
, ,
, , .
(, )
, .
( ,
..), , ,
. , , ,
. ,
-,
, ..
, ,
, ..
, ,
,
. ,
, , ,
,
. ,
,
, ,
.
, , :

,
, , ,
. ,
,
, , .
,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012

39
Kl
ub
K.
ne
t

.
.
,
,
.

/ ,
.
, , ,
..
,

,
.
,
.

(, )

, .
,
, .

.
, , ,
.
,
.
, , , ,
, , ..
,
.
,

,
.
, .
,
, (-) ,
, ,
, ..
,
.

"" ,
. "
" , ,
, , , ,
, , , , , ..
BS ISO/IEC 27005:2011 v.1 11.02.2012

40
ne
t

. ,
, , ,
.
,

. , ,
,
, .
.3

,
. , ,
, ,
/ . , ,
.
K.
.4 ,
Kl
ub
,
, ,
. , , ,
, .
, .
,
.
.
, ,
.

, ,
,
, :
() (, ,
, ..);

(,
(,
,
-),
..);
(,
,
..);
(, ,
, , , ..);
(, , ,
..);
(, , , ,
..);
(,
, ,
, ..).
BS ISO/IEC 27005:2011 v.1 11.02.2012

41
Kl
ub
K.
ne
t

, . ,
- , ,

.
,
, ,
, : , , ,
, ..

, ,
;
, , ,
.
.
,
, (-) ,
, , ..

, :
(,
, , , , ""
, ..);
( ,
, , ..);
(,
, ,
,
..);
(,
..);
(,
, ,
, ..);
(,
, ..).
BS ISO/IEC 27005:2011 v.1 11.02.2012

42
B
()
,

B.1
K.
ne
t
,
( ).
:
:
- ;
;
(
) :
;
;
;
;
;
.
B.1.1
Kl
ub
,
(- -,
).
, (,
, .).

.
,
,
.
" ",
. ,
, .
.
:
1. - ( ) -, :
,
;
, ,
;
,
;
, ,
;
BS ISO/IEC 27005:2011 v.1 11.02.2012

43
2. :
, , ,
:
,
;
,
,
;
, ,
;
, , ,
/
.
,
,
. ,
, -
.
, ,
, .
K.
ne
t
.1.2
Kl
ub
,
. ,
,
( ). :

" " ,
.
()
,
.

.
: (), PDA-
( ).

, .
: , , .

,
( , . .) ,
.
: , .
()
.

,
. ,
.
.
BS ISO/IEC 27005:2011 v.1 11.02.2012

44
Kl
ub
K.
ne
t
: , CD ROM, , ,
, .

, , .
: , , , , .

,
.

,
,
( ).
.

.
( ,
, ),
, .
, ,
,
(
).

, (
),
, .
,
-.
: ,
, ,
Web- ..
-
-
,
,
.
,
.
: ,
,
, ,
..
-
,
( , , , ..)
, ,
. ,
, .
BS ISO/IEC 27005:2011 v.1 11.02.2012

45
Kl
ub
K.
ne
t
: ,
.
"" ,

.

,
, ("-",
) ( - 2 3 7-
).
: (PSTN - Public
Switching Telephone Network), Ethernet, Gigabit Ethernet,
(ADSL - Asymmetric Digital Subscriber Line),
(, WiFi 802.11), Bluetooth, FireWire.

, ,
.
, /
, .
,
.
: , , ,
.

,
,
,
() ,
.
: (GPRS - General Packet Radio
Service), Ethernet-.
"" ,

,
, ,
( ) .
: , .
,
.
,
.
: , ,
.

.
, .
BS ISO/IEC 27005:2011 v.1 11.02.2012

46
Kl
ub
K.
ne
t
: , ,
, , ,
.
.
,
- ,
.
: -.

" " ,
,
, .

,
.
: , ,
( , ).

,
. ,
, ,
.
: , .
,
.
.
: , , .

, .
, .
: ,
, .
( ),
- .
: , ,
.

(, ) .
: , .
"" ,
, , ,
.

BS ISO/IEC 27005:2011 v.1 11.02.2012

47
K.
ne
t
,
. .
, .
: , .

,
.
: , , ,
-, , ,
.

,
.
: ,
.
//
, ,
.
: , ,
.
.2
Kl
ub

, . ,
, , ,
, ,
, ,
, , , " " " ".
, : ,
,
.
.
,
, , : , , ,
, , , . ,
, ,
.
,
, .
,
, ,
, , . ,
, ,
, , , ,
.
,
- ,
. , ,
.
BS ISO/IEC 27005:2011 v.1 11.02.2012

48
Kl
ub
K.
ne
t
,
. ,
,
.

.
, - ,
, , ,
.
.

. ,
,
,
.

,
. , , .
, ,
, , , ,
, , :
/ ;
;
" "/ ;
, ;
;
;
;
;
;
-;
.
:
:
;
:
;
;
:
;
;
:
, ;
;
/:
;
:
;
/ :
BS ISO/IEC 27005:2011 v.1 11.02.2012

49
Kl
ub
K.
ne
t
/ ;
;
;
,
:
;
;
, ;
/ /;
, ;
;
;
/ ;
/;
;
;
();
;
;
.
,
.
, . ,

.

, .
. ,
, .
,
.
3 (, ,
) 10 ,
.
,
"", "" "".
, (,
,
,
). , ,
"" "" , .
, ,
.
-
, .
, .
,
, , , . .

BS ISO/IEC 27005:2011 v.1 11.02.2012

50
K.
ne
t
,
. , -
, ,
. ,
,
. ,
, . ,
. ,
, (
), , , .
, ,
:
(, )
(,
), ;
(, )
(, ),
:
;
.
,
,
, .
. , ,
, ;
, .

( ), (
, , ),
( ) .
ub
.3
Kl

. .
, ,
.
() , (-) ,
.
() .
:
a) (
);
b) ,
;
c) - , ,
(), ;
d) .
:
BS ISO/IEC 27005:2011 v.1 11.02.2012

51
Kl
ub
K.
ne
t
a) ) ( ,
,
- );
b) ;
c) ) ,
;
d) ;
e) ) .
, ( )
() ().
() ()
( ) -
.
BS ISO/IEC 27005:2011 v.1 11.02.2012

52

()
ne
t
.1 .
.
, ()
, , .
, D (), (
), E (). D ,
, A ,
E ,
.
.
A, D, E
A, D, E
A, D, E
A, D, E
A, D, E
A, D, E
E
E
E
E
E
A, D
K.
ub
Kl
A, D, E
A, D
A, D, E
A, D, E
A, D, E
D
D
D
D
D
BS ISO/IEC 27005:2011 v.1 11.02.2012

53
()

A, D
A, D
ne
t
D
D
A
A
A, D
A, D
A
A, D
D
D
A, D, E
A
A, D
D
D
ub
K.
Kl
D
D
BS ISO/IEC 27005:2011 v.1 11.02.2012

54
.
:
,
()
()
()
ne
t

(, -)

(, ,
, )

ub
K.
Kl

(,
(,

)

(
)
(
, , /

)
BS ISO/IEC 27005:2011 v.1 11.02.2012

55
(,
,
)

, ()
(,
, ,
)

Kl
ub
K.
ne
t
( ,
,
,
,

BS ISO/IEC 27005:2011 v.1 11.02.2012

56
D
()

D.1
ne
t
D.1
, , .

. ,
.

,
,
, ,
K.
ub
Kl

' '

57
BS ISO/IEC 27005:2011 v.1 11.02.2012
ne
t
K.
ub
Kl
58
BS ISO/IEC 27005:2011 v.1 11.02.2012
-

( )
(
)

( )

ub
(
)
Kl
K.
ne
t
59
BS ISO/IEC 27005:2011 v.1 11.02.2012
(
)

ne
t
(
)
Kl
ub
K.
60
BS ISO/IEC 27005:2011 v.1 11.02.2012

(
)
ne
t
D.2
Kl
ub
K.
, ,

()
(, , , ,
). :
;
;
;
.

(,
(FTP), ). , , ,
,
,
. ,
, .
,
,
, ,
. ,
.
,
,
.
(, ,
).
,
. , ,

,
.

,
.
,

. ,
61
BS ISO/IEC 27005:2011 v.1 11.02.2012
Kl
ub
K.
ne
t
,
.
(
) .

.
,
, .
//, .
,
(, ),
.
.
:
;
;
;
.
62
BS ISO/IEC 27005:2011 v.1 11.02.2012
E
()

E.1
Kl
ub
K.
ne
t

. , ,
,
.
,
.
,
, , .

, (
). ,
,
, , , ,
.

:

,
,
.
- ,
;

,
,

;
, ,
,
. ,
.
, , ,
, ,
;
- ,
,
,

,
.
:
, ,
;
63
BS ISO/IEC 27005:2011 v.1 11.02.2012

, ..
;
,
, , ,
, .

,
, -
, . ,
,
, ,
.

.
(. 1)
, ;
:
-,
;

, .., ,
,
, ,
, , ,
, ;
,
, ;
,
.
, .

, ( )
, .
:

, - ,
.
ub
K.
ne
t
Kl
E.2

,
.
, .
,

.

, .
64
BS ISO/IEC 27005:2011 v.1 11.02.2012
K.
ne
t
,
, , (
, )
.
,
. :
-
;
, ,
-
;
-
;
-
.

. , ,
,
.
.
E.2.1
Kl
ub

(.. ).
, (. ).
,
- ,
, .
, ,
(,
),
, .

- (" "),
,
, , .

, ,
, ,
.

, , :
;
;
;
;
;
/ ;
65
BS ISO/IEC 27005:2011 v.1 11.02.2012
K.
ne
t
;
;
" ";
.
,
, , 0 4, (.
.1), , , ,
, ,
, , .

, , ,
( )
( ,
). . ,
, . , ,
, , ,
, ,
.
, ,
.
, ,
, (), ,

0 8. .
(. .1):
()
ub
Kl
()
()
E.1 a)

.
, (
).
,

. , 3, "",
"", 5. ,
2 , , "",
66
BS ISO/IEC 27005:2011 v.1 11.02.2012
()
()
()
K.
ne
t
"", 4. ,
,
, .
.
, .
, E1 b)
,
. ,
.
, .
0 8,
.
, , :
: 0-2;
: 3-5;
: 6-8.
ub
E.1 b)
E.2.2
Kl
,
( ) (
). (
) , , 1 5,
( "b" .2).
, , 1 5,
( "" ).
(b). ,
. , 1 -
.
67
BS ISO/IEC 27005:2011 v.1 11.02.2012

()
(b)
(c)
(d)
10
15
(e)
ne
t
()
E.2
K.
, ,

.
.
E.2.3

ub

( , ) ,
.
- ,
. ,
.
.
, ,
.
.
. ,
,
.3 .
Kl
E.3
68
BS ISO/IEC 27005:2011 v.1 11.02.2012
,
.4, /. / ,
.
, .
0
ne
t
E.4
Kl
ub
K.

, .
,
.
.
, S A1, A2 A3.
, T1 T2, S.
A1 3, A2 2 A3 4.
A1 T1
, 1 (. E.3).
/ A1/T1 E.4
, 3 1, 4.
A1/T2 ,
, A1/T2 6.
A1T, 10.

. , A1T + A2T + A3T,
ST.
,
.
, ,
-.
69
BS ISO/IEC 27005:2011 v.1 11.02.2012
F
()
Kl
ub
K.
ne
t
, ,
:
:
. ,
,
. -
.
,
.
:
,
, , ,
(, ).
,
.
-
.
.
,
, ,
, .

.
:
, ,
, . ,

.
.
,
. ,
.
:
, 24 ,
,
,
.
:
, ,
, , .
. ,
, .
70
BS ISO/IEC 27005:2011 v.1 11.02.2012
Kl
ub
K.
ne
t
,
.
,
.
:
,
.
, ,
.
.
, , , .
, :
, ,
, ,
. ,
, .
:
,
, ,
.
,
,
, , . , ,
,
.., .
:
-
.

. ,
, ,
, .

.
:

,
.

. ,

, ,
. ,

.

.
71
BS ISO/IEC 27005:2011 v.1 11.02.2012
Kl
ub
K.
ne
t
,
:

.

. ,

, .

, . ,
-
.
72
BS ISO/IEC 27005:2011 v.1 11.02.2012
K.
ne
t
G
()
ISO/IEC 27005:2008 ISO/IEC 27005:2011
: ISO/IEC 27001:2005.
ISO 73:2009 ISO/IEC 27001:2005, ISO/IEC
27005:2008, .
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
Kl
ub
BS ISO/IEC 27005:2011 v.1 11.02.2012
3.1
(consequence):
(3.3),
.
:
1.

2.

.
3.
.
4.
.
73
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
(control)
,
,
,
,
,
,
,
,
.
,

.
[ISO/IEC 27002:2005]
3.2
(control):
, (
3.9).
[ ISO 73:2009]
:
1.
,
,
,
,
,
, ,
,
,
.
2. , ,

.
3.

.
Kl
ub
BS ISO/IEC 27005:2011 v.1 11.02.2012
74
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
3.3
(event):
.
[ ISO 73:2009]
:
1.

.
2. ,
.
3.
Kl
ub
BS ISO/IEC 27005:2011 v.1 11.02.2012
75
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
ub
Kl
3.1
(impact):

BS ISO/IEC 27005:2011 v.1 11.02.2012
3.4
(external context):
,

[ ISO 73:2009]
:
:
,
,
,
,
,
,
, ,

,
,
;
,
;

,
.

76
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
(. 6
3.9)
Kl
ub
3.2

(information security risk):
,

, ,
.
-

.
BS ISO/IEC 27005:2011 v.1 11.02.2012
77
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
Kl
ub
BS ISO/IEC 27005:2011 v.1 11.02.2012
3.5
(internal context):

[ ISO 73:2009]
:
:
,
;
,
;
,

(,
,
,
, ,
);

,
(
,
);

,
;
;
,
78
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
3.6
(level of risk):
(3.9)
,
(3.1) (3.7)
.
[ ISO 73:2009]
Kl
ub
, ;

.
BS ISO/IEC 27005:2011 v.1 11.02.2012
79
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
Kl
ub
BS ISO/IEC 27005:2011 v.1 11.02.2012
3.7
(likelihood):

.
[ ISO 73:2009]
:
1.

,
, ,

,
,

(,

).
2. likelihood

,
probability.
,
probability
80
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
likelihood
,

,
probability
, .
(residual risk):
,
[ISO/IEC 27001:2005]
Kl
ub
BS ISO/IEC 27005:2011 v.1 11.02.2012
3.8
(residual risk):
(3.9),
(3.17)
[ ISO 73:2009]
:
1.

.
2.

.
81
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
Kl
ub
(risk):
3.9
(risk):
.
[ ISO 73:2009]
[ISO/IEC 27002:2005]
:
1.
(
/ ).
2.
(,
,
,
(,

, ,
).
3.
(3.3)
(3.1)
.
4.

(
(3.9)
.
5.
BS ISO/IEC 27005:2011 v.1 11.02.2012
82
K.
ne
t
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
(risk analysis):

:

,
7
[ISO/IEC 27001:2005]
Kl
ub
ISO/IEC 27005:2008
6
7
( )
,
,
.
6.
6.
3.10
(risk analysis):
(3.6)
[ ISO 73:2009]
:
1.

,
.
2.
: ISO 73:2009.
: ISO/IEC 27001:2005 .
BS ISO/IEC 27005:2011 v.1 11.02.2012
83
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
(risk assessment):

.
[ISO/IEC 27001:2005]
Kl
ub
3.3
(risk avoidance)
,
.
[ ISO 73:2002]
3.11
(risk assessment):

(3.15), (3.10)
(3.14).
[ ISO 73:2009]

BS ISO/IEC 27005:2011 v.1 11.02.2012
84
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
3.4

(risk communication):
Kl
ub
BS ISO/IEC 27005:2011 v.1 11.02.2012
3.12

(risk communication and consultation):
, ,
,
,

(3.18)
(3.9)
[ ISO 73:2009]
:
3.
,
,
,
(3.6.1.1), ,
,

.
4.
85
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
Kl
ub
BS ISO/IEC 27005:2011 v.1 11.02.2012
:
,

,
3.13
(risk criteria):
,
(3.9)
[ ISO 73:2009]
:
1.

.
2.
, ,
.
86
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
Kl
ub
3.5
(risk estimation)
,

[ ISO/IEC 73:2002]
:
1.
,
""
""
.
2.
,
(likelihood)
""(probability)
BS ISO/IEC 27005:2011 v.1 11.02.2012
87
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
(risk evaluation):

.
[ISO/IEC 27001:2005]
3.14
(risk evaluation):

(3.10)
(3.13)
, /
.
[ ISO 73:2009]
:
Kl
ub
BS ISO/IEC 27005:2011 v.1 11.02.2012
88
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
3.15
,
.
[ ISO 73:2009]
:
3.
,
,
.
4.
,

,
Kl
ub
3.6
,
[ ISO/IEC 73:2002]
:

, ""(activity)
""(process) .
BS ISO/IEC 27005:2011 v.1 11.02.2012
89
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
(risk management):

.
[ISO/IEC 27001:2005]
Kl
ub
3.7
(risk reduction)
, ,
, ,
,
[ ISO/IEC 73:2002]

,
(likelihood)
""
(probability) .
3.16
(risk management):

.
[ ISO 73:2009]
:
-
.
BS ISO/IEC 27005:2011 v.1 11.02.2012
90
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
Kl
ub
3.8
(risk retention):

.
[ ISO/IEC 73:2002]
:

().
3.9
(risk transfer):

.
[ ISO/IEC 73:2002]
:

().
BS ISO/IEC 27005:2011 v.1 11.02.2012
91
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
(risk treatment):

.
:

(control)
(measure).
[ISO/IEC 27001:2005]
3.17
(risk treatment):
.
[ ISO 73:2009]
:
1. :

,
;

;
;

(

.
,
2.
92
Kl
ub
BS ISO/IEC 27005:2011 v.1 11.02.2012
K.
ne
t
ISO/IEC 27005:2008
, ISO/IEC
27000:2009, ISO/IEC
ISO 73:2009,
27005:2008
ISO/IEC 27005:2011
ub
Kl
[threat]

,

[ISO/IEC 27002:2005]
BS ISO/IEC 27005:2011 v.1 11.02.2012
,
,
.
3.
.
3.18
(stakeholder):
,
,
, ,
-
.
[ ISO 73:2009]
:
, ,
.

ISO/IEC 27000:2009
93
[1] ISO/IEC 73:2009,

-
ne
t
[1]
ISO/IEC Guide 73:2009, Risk
management Vocabulary Guidelines for
use in standards
[2]
ISO/IEC 16085:2006, Systems and
software engineering Life cycle processes
Risk management
Kl
ub
K.
[3] ISO/IEC 27002:2005, Information

technology Security techniques Code of
practice for information security management
[4]
ISO 31000:2009, Risk management
Principles and guidelines
[5] NIST Special Publication 800-12, An
Introduction to Computer Security: The NIST
Handbook
[6] NIST Special Publication 800-30, Risk
Management Guide for Information Technology
Systems, Recommendations of the National
Institute of Standards and Technology
[2] ISO/IEC 16085:2006,

-
ISO/IEC 27002:2005,
.
.
[4] ISO 31000:2009,

[5] NIST 800-12,
:
[6] NIST 800-30,

,

94
BS ISO/IEC 27005:2011 v.1 11.02.2012

Iso 27005

Загружено:

Сведения о документе

Описание:

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Описание:

Авторское право:

Доступные форматы

Iso 27005

Оригинальное название:

Загружено:

Описание:

Авторское право:

Доступные форматы

BS ISO/IEC 27005:2011

Technologies de l'information Techniques de scurit Gestion du risque en

ISO/IEC 27005:2011 (SE)

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

ISMS (Information Security Management

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

3.4 (external context):

3.5 (internal context):

, ISO/IEC Guide 73:2009, :

BS ISO/IEC 27005:2011 v.1 11.02.2012

3.6 (level of risk):

3.8 (residual risk):

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

- ISO/IEC 27001 [. 4.2.1 f) 2)]

BS ISO/IEC 27005:2011 v.1 11.02.2012

7.2 " "). ,

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012

BS ISO/IEC 27005:2011 v.1 11.02.2012