Read Microsoft Word - EVS_ISO_IEC_27005;2009_et.doc text version

EESTI STANDARD

EVS-ISO/IEC 27005:2009

Avaldatud eesti keeles: oktoober 2009 Jõustunud Eesti standardina: oktoober 2009

INFOTEHNOLOOGIA Turbemeetodid Infoturvariski haldus

Information technology Security techniques Information security risk management (ISO/IEC 27005:2008)

Se ed ok um en to nE VS -i p oo lt l d oo e ud a elv e ad

EVS-ISO/IEC 27005:2009

EESTI STANDARDI EESSÕNA

Käesolev Eesti standard: ­ on rahvusvahelise standardi ISO/IEC 27005:2008 "Information technology ­ Security techniques ­ Information security risk management" ingliskeelse teksti identne tõlge eesti keelde ning tõlgendamise erimeelsuste korral tuleb lähtuda ametlikus keeles avaldatud tekstist, ­ on kinnitatud Eesti Standardikeskuse 23.09.2009 käskkirjaga nr 168, ­ jõustub sellekohase teate avaldamisel EVS Teataja 2009. aasta oktoobrikuu numbris. Standardi tõlkis Cybernetica AS, standardi tõlke on heaks kiitnud EVS/TK 4 "Infotehnoloogia". Standardi tõlke koostamisettepaneku esitas EVS/TK 4, standardi tõlkimist korraldas Eesti Standardikeskus ning rahastas Majandus- ja Kommunikatsiooniministeerium.

ICS 35.040 Märgistikud ja informatsiooni kodeerimine Võtmesõnad: infoturvarisk, jääkrisk, risk, riski kaalutlemine, riskikäsitlus Hinnagrupp U

Standardite reprodutseerimis- ja levitamisõigus kuulub Eesti Standardikeskusele

Andmete paljundamine, taastekitamine, kopeerimine, salvestamine elektroonsesse süsteemi või edastamine ükskõik millises vormis või millisel teel ilma Eesti Standardikeskuse poolt antud kirjaliku loata on keelatud. Kui Teil on küsimusi standardite autorikaitse kohta, palun võtke ühendust Eesti Standardikeskusega: Aru 10, 10317 Tallinn, Eesti; www.evs.ee; Telefon: 605 5050; E-post: [email protected]

Se

ed

ok

um

en to nE VS -i p oo lt l d oo e ud a elv e ad

II

EVS-ISO/IEC 27005:2009

SISUKORD

EESSÕNA .......................................................................................................................................................... IV 1 2 3 4 5 6 7 7.1 7.2 7.3 7.4 8 8.1 8.2 8.3 9 9.1 9.2 9.3 9.4 9.5 10 11 12 12.1 12.2 KÄSITLUSALA.........................................................................................................................................1 NORMIVIITED .........................................................................................................................................1 TERMINID JA MÄÄRATLUSED ..............................................................................................................1 STANDARDI ÜLESEHITUS ....................................................................................................................2 TAUST .....................................................................................................................................................3 INFOTURVARISKI HALDUSE PROTSESSI ÜLEVAADE ......................................................................4 KONTEKSTI LOOMINE...........................................................................................................................6 Üldisi kaalutlusi ........................................................................................................................................6 Aluskriteeriumid .......................................................................................................................................6 Käsitlusala ja piirid ...................................................................................................................................7 Organisatsioon infoturvariski halduseks ..................................................................................................8 INFOTURVARISKI KAALUTLEMINE ......................................................................................................8 Infoturvariski kaalutlemise üldkirjeldus ....................................................................................................8 Riskianalüüs ............................................................................................................................................9 Riski hindamine .....................................................................................................................................15 INFOTURVARISKI KÄSITLEMINE........................................................................................................16 Riskikäsitluse üldkirjeldus......................................................................................................................16 Riski vähendamine ................................................................................................................................18 Riski säilitamine .....................................................................................................................................19 Riski vältimine........................................................................................................................................19 Riski jagamine .......................................................................................................................................19 INFOTURVARISKI AKTSEPTEERIMINE .............................................................................................20 INFOTURVARISKIST TEAVITAMINE...................................................................................................20 INFOTURVARISKI SEIRE JA LÄBIVAATUS ........................................................................................21 Riskitegurite seire ja läbivaatus .............................................................................................................21 Riskihalduse seire, läbivaatus ja täiustamine........................................................................................22

Lisa A (teatmelisa) Infoturvariski halduse protsessi käsitlusala ja piiride määratlemine..................................23 Lisa B (teatmelisa) Varade identifitseerimine ja väärtustamine ning toime hindamine ....................................27 Lisa C (teatmelisa) Tüüpiliste ohtude näiteid....................................................................................................36 Lisa D (teatmelisa) Nõrkused ja nõrkuste hindamise meetodid .......................................................................39 Lisa E (teatmelisa) Infoturvariski kaalutlemise metoodikad..............................................................................44 Lisa F (teatmelisa) Riski vähendamise kitsendused ........................................................................................49 Kasutatud kirjandus ............................................................................................................................................51

Se

ed

ok

um

en

to

nE

VS

-i p

oo

lt l

d oo

e ud

a elv e ad

III

EVS-ISO/IEC 27005:2009

EESSÕNA

ISO (Rahvusvaheline Standardiorganisatsioon) ja IEC (Rahvusvaheline Elektrotehnikakomisjon) moodustavad ülemaailmse standardimise spetsialiseeritud süsteemi. ISO või IEC rahvuslikud liikmeskogud osalevad rahvusvaheliste standardite väljatöötamises tehniliste komiteede kaudu, mis on nendesse organisatsioonidesse loodud käsitlemaks tehnilise tegevuse eri valdkondi. ISO ja IEC tehnilised komiteed teevad koostööd mõlemale huvi pakkuvatel aladel. Selles töös osalevad käsikäes ISO ja IEC-ga ka muud rahvusvahelised riiklikud ja mitteriiklikud organisatsioonid. Infotehnoloogia valdkonnas on ISO ja IEC rajanud ühise tehnilise komitee ISO/IEC JTC 1. Rahvusvahelised standardid kavandatakse vastavalt ISO/IEC direktiivide teises osas esitatud reeglitele. Ühise tehnilise komitee peaülesanne on rahvusvaheliste standardite koostamine. Ühises tehnilises komitees vastuvõetud rahvusvahelised standardikavandid saadetakse liikmeskogudele hääletamiseks. Rahvusvahelise standardina avaldamine nõuab vähemalt 75 % hääletanud liikmeskogude heakskiitu. Tuleb pöörata tähelepanu võimalusele, et mõned selle dokumendi elemendid võivad olla patendiõiguse objektiks. ISO ega IEC ei ole kohustatud mingeid selliseid patendiõigusi välja selgitama. ISO/IEC 27005 valmistas ette ühise tehnilise komitee ISO/IEC JTC 1 "Infotehnoloogia" alamkomitee SC 27 "Infoturbe meetodid". Käesolev ISO/IEC 27005 esimene redaktsioon tühistab ja asendab tehnilised ISO/IEC TR 13335-3:1998 ja ISO/IEC TR 13335-4:2000 ning on nende tehniline uustöötlus.

SISSEJUHATUS

Käesolev standard annab suuniseid infoturvariski haldamiseks organisatsioonis ning toetab muuhulgas ISO/IEC 27001 nõudeid infoturbe halduse süsteemidele (ISMS). Käesolev standard ei anna aga infoturvariski halduseks mingit konkreetset metoodikat. Organisatsiooni ülesandeks jääb määratleda oma lähenemine riskihaldusele sõltuvalt näiteks ISMS käsitlusalast, riskihalduse kontekstist või majandussektorist. ISMS nõuete täitmiseks selles standardis kirjeldatud raamstruktuuris saab kasutada mitmeid olemasolevaid metoodikaid. Käesolev standard puudutab juhte ja töötajaid, kes tegelevad organisatsioonis infoturvariski haldusega, ning asjakohastel juhtudel ka selliseid tegevusi toetavaid väliseid pooli.

Se

ed

ok

um

en

to

aruanded

nE

VS

-i p

oo

lt l d oo e ud a elv e ad

IV

EVS-ISO/IEC 27005:2009

1

KÄSITLUSALA

Käesolev standard annab suuniseid infoturvariski haldamiseks. Standard toetab ISO/IEC 27001 spetsifitseeritud üldkontseptsioone ja on kavandatud kaasa aitama infoturbe rahuldavale rakendamisele riskihaldusliku lähenemisviisi alusel. Selle standardi täielikuks mõistmiseks on tähtis tunda mõisteid, mudeleid, protsesse ja termineid, mida kirjeldavad ISO/IEC 27001 ja ISO/IEC 27002. Standardit saab rakendada igat tüüpi organisatsioonidele (näiteks äriettevõtetele, riigiasutustele, mittetulunduslikele organisatsioonidele), kes kavatsevad hallata riske, mis võivad rikkuda organisatsiooni teabe turvalisust.

Se

ed

ok

um

2

NORMIVIITED

Järgmised dokumendid on vältimatult vajalikud käesoleva dokumendi rakendamiseks. Dateeritud viidete korral kehtib üksnes viidatud väljaanne. Dateerimata viidete korral kehtib viidatud dokumendi uusim väljaanne koos võimalike muudatustega. ISO/IEC 27001:2005 Information technology ­ Security techniques ­ Information security management systems ­ Requirements 1 ISO/IEC 27002:2005 Information technology ­ Security techniques ­ Code of practice for information security management 2

en

to

nE

VS

3

TERMINID JA MÄÄRATLUSED

Standardi rakendamisel kasutatakse termineid ja määratlusi, mis on esitatud standardites ISO/IEC 27001 ja ISO/IEC 27002 ning järgmiseid termineid ja määratlusi. 3.1 toime (impact) ärisihtide saavutatud taseme kahjulik muudatus

3.2 infoturvarisk (information security risk) vaatlusaluse ohu potentsiaal ära kasutada mingi vara või vararühma nõrkusi ja tekitada seeläbi organisatsioonile kahju

-i p

oo lt l d oo

MÄRKUS

Infoturvariski mõõdetakse sündmuse tõenäosuse ja ta tagajärgede kombinatsiooniga.

e ud a elv

3.3 riski vältimine (risk avoidance) otsus mitte sattuda riskiolukorda või abinõu riskiolukorrast väljumiseks [ISO/IEC Guide 73:2002]

3.4 riskiteavitus (risk communication) riski puudutava teabe vahetamine või ühiskasutus otsustajate ja muude riskiosaliste hulgas [ISO/IEC Guide 73:2002]

1

Avaldatud Eesti standardina EVS-ISO/IEC 27001:2006 Infotehnoloogia. Turbemeetodid. Infoturbe halduse süsteemid. Nõuded Avaldatud Eesti standardina EVS-ISO/IEC 27002:2008 Infotehnoloogia. Turbemeetodid. Infoturbe halduse tegevusjuhis

e ad

2

1

Information

Microsoft Word - EVS_ISO_IEC_27005;2009_et.doc

5 pages

Find more like this

Report File (DMCA)

Our content is added by our users. We aim to remove reported files within 1 working day. Please use this link to notify us:

Report this file as copyright or inappropriate

588259


You might also be interested in

BETA
Microsoft Word - EVS_ISO_IEC_27005;2009_et.doc