Огляд важливих міжнародних стандартів

Стандарти — це концентрований досвід людей, які мають глибокі знання у своїй галузі та розуміють потреби організацій, які вони представляють: виробників, постачальників, замовників, користувачів, професійних асоціацій та органів влади. На основі цього спільного багажу знань створюються норми та вимоги, які допомагають працювати системніше та успішніше.

Відкрийте для себе деякі з найвідоміших та найпоширеніших стандартів, а також ті, що відповідають на сучасні виклики та зміни, які стосуються всіх нас.

ISO/IEC 27005:2022Інформаційна безпека, кібербезпека та захист конфіденційності – Настанови щодо управління ризиками інформаційної безпеки

(Information security, cybersecurity and privacy protection – Guidance on managing information security risks)

ISO/IEC 27005:2022 — це настановний документ з управління ризиками інформаційної безпеки. Він пропонує структуровані методи та кращі практики для систематичної ідентифікації, оцінки та обробки ризиків — ключового процесу будь-якої успішної системи управління інформаційною безпекою (СУІБ).

Роль ISO/IEC 27005 у сімействі 27000:

  • ISO/IEC 27000 → Термінологія та огляд (Що означають терміни?)

  • ISO/IEC 27001 → Вимоги до СУІБ (Що ми повинні зробити?)

  • ISO/IEC 27002 → Практичні заходи безпеки (Як впровадити заходи контролю?)

  • ISO/IEC 27005 → Процес управління ризиками (Як ідентифікувати та обробляти ризики?)

ISO/IEC 27005 не підлягає сертифікації — це настановний документ, який ви використовуєте разом із ISO/IEC 27001 для побудови ефективної СУІБ, орієнтованої на ризики. Стандарт базується на ISO 31000 (загальний стандарт управління ризиками) і адаптує його принципи спеціально для інформаційної безпеки.

Що таке ISO/IEC 27005:2022?

Процес управління ризиками згідно з ISO/IEC 27005:2022:

Стандарт описує 5-етапний процес:

  1. Встановлення контексту – Визначення рамок, критеріїв оцінки ризику та критеріїв прийняття ризику.

  2. Ідентифікація ризиків – Виявлення потенційних загроз, вразливостей та сценаріїв (на основі подій або активів).

  3. Комунікація та консультування – Залучення зацікавлених сторін протягом усього процесу.

  4. Моніторинг та перегляд – Постійний контроль та адаптація управління ризиками.

Переваги для Вашого бізнесу

Аудити часто провалюються через недостатню оцінку ризиків. З ISO/IEC 27005:

  • Ризики ідентифікуються систематично та відтворювано.

  • Заходи безпеки спрямовані на фактичні загрози.

  • Менеджмент може приймати обґрунтовані рішення.

  • СУІБ стає ефективнішою та результативнішою.

Особливо важливо для провайдерів онлайн-послуг:

  • E-learning платформи повинні керувати такими ризиками, як витік даних, платіжне шахрайство та збої платформи.

  • SaaS-провайдери стикаються з ризиками збоїв у хмарі, вразливостей API та атак на ланцюг постачання.

  • Онлайн-коучі та консультанти повинні захищати конфіденційні дані клієнтів від несанкціонованого доступу.

  • E-commerce має забезпечувати безпеку платіжних даних, клієнтських баз та комерційних таємниць.

ISO/IEC 27005 допомагає цим організаціям розуміти ризики, розставляти пріоритети та систематично їх обробляти.

Підсумок найважливіших переваг

  • Чіткий, практичний процес управління ризиками для всіх сфер бізнесу

  • Систематичне виявлення та оцінка загроз

  • Надійне виконання нормативних вимог ISO/IEC 27001

  • Професійна основа для прийняття рішень керівництвом

  • Проактивне запобігання інцидентам безпеки

  • Ефективне використання бюджету на безпеку

  • Зміцнення стійкості до нових загроз

  • Гнучкість завдяки різним методам аналізу

Для кого актуальний ISO/IEC 27005:2022?

ISO/IEC 27005:2022 є актуальним для всіх, хто будує СУІБ або вже експлуатує її:

  1. Ризик-менеджери та уповноважені з безпеки (Проведення оцінки ризиків)

  2. CISO та команди безпеки (Ідентифікація та обробка загроз)

  3. IT-відділи (Оцінка технічних ризиків)

  4. Команди з комплаєнсу та аудиту (Підтвердження дій на основі ризиків)

  5. Менеджмент та керівництво (Стратегічні рішення на основі оцінки ризиків)

  6. Консультанти та аудитори (Підтримка організацій при оцінці ризиків)

  7. Онлайн-академії та E-Learning платформи (Ризики для даних студентів та доступності платформи)

  8. SaaS та хмарні провайдери (Ризики для хмарної інфраструктури, API, цілісності даних)

  9. E-Commerce та онлайн-сервіси (Ризики для платіжних даних, даних клієнтів, комерційних таємниць)

  10. Малі та середні підприємства (Структурований підхід до управління ризиками)

Зв'язок з іншими стандартами

ISO/IEC 27005 та ISO/IEC 27001: ISO/IEC 27001 вимагає управління ризиками — ISO/IEC 27005 пояснює, як це робити. Обидва стандарти працюють пліч-о-пліч.

ISO/IEC 27005 та ISO 31000: ISO/IEC 27005 базується на принципах ISO 31000 (загальне управління ризиками) та адаптує їх спеціально для інформаційної безпеки.

ISO/IEC 27005 та ISO/IEC 27002: Після оцінки ризиків ви обираєте заходи з ISO/IEC 27002 для обробки ризиків. ISO/IEC 27005 говорить вам, які заходи необхідні — ISO/IEC 27002 каже вам, як їх впровадити.

_______________________________________

📌Додаткова інформація: Відвідайте вебсайт ISO або зверніться до аудитора, сертифікованого EAS™, для отримання всебічної консультації щодо вашої конкретної ситуації.

Детальний процес управління ризиками

1. Встановлення контексту

Мета: Визначення рамок для управління ризиками. Важливі питання:

  • Яка сфера застосування? (Які системи, дані, процеси?)

  • Які внутрішні та зовнішні фактори впливають на ризики? (Вимоги комплаєнсу, бізнес-середовище, зацікавлені сторони)

  • Які наші критерії прийнятності ризику? (Які ризики є прийнятними? Які ні?)

  • Хто відповідає за які ризики? (Risk Ownership) Результат: Чітко визначена база, в межах якої ризики ідентифікуються та оцінюються.

2. Ідентифікація ризиків

Мета: Виявлення потенційних загроз, уразливостей та сценаріїв. ISO/IEC 27005:2022 пропонує два підходи: Подієво-орієнтований підхід (Event-based):

  • Фокус на сценаріях загроз (наприклад, «атака програм-вимагачів», «DDoS-атака», «внутрішня загроза»).

  • Корисний для стратегічних оцінок ризиків та ландшафтів загроз.

  • Приклад: «Що станеться, якщо співробітник випадково завантажить шкідливе ПЗ?» Архітектурно-орієнтований підхід (Asset-based):

  • Фокус на конкретних активах (системи, дані, процеси).

  • Для кожного активу: Які загрози? Які вразливості?

  • Корисний для детальних технічних оцінок ризиків.

  • Приклад: «Які ризики стосуються нашої бази даних клієнтів?» Організації можуть поєднувати обидва підходи для всебічної ідентифікації ризиків. Результат: Список ідентифікованих ризиків з описами загроз, уразливостей та задіяних активів.

3. Аналіз ризиків

Мета: Оцінка ймовірності та наслідків кожного ризику. ISO/IEC 27005:2022 підтримує три методи: Якісний аналіз:

  • Ризики класифікуються за категоріями (наприклад, «високий», «середній», «низький»).

  • Швидкий та простий, ідеальний для невеликих організацій.

  • Приклад: «Ризик DDoS-атаки є середнім (ймовірність) та високим (наслідки)». Кількісний аналіз:

  • Ризики виражаються в числових значеннях (наприклад, «очікувані збитки: 50 000 євро»).

  • Точний, але трудомісткий — ідеальний для великих організацій або критичних активів.

  • Приклад: «Ризик витоку даних має 5% ймовірність і коштуватиме 200 000 євро». Напівкількісний аналіз (новий у 2022 році):

  • Поєднання якісних категорій та числових шкал.

  • Пропонує більше точності, ніж суто якісний аналіз, без витрат на кількісний аналіз.

  • Приклад: «Ймовірність: 3 з 5, Наслідок: 4 з 5 → Значення ризику 12». Результат: Оцінений список ризиків з оцінками ймовірності та наслідків.

4. Оцінювання ризиків

Мета: Пріоритезація ризиків шляхом їх порівняння з критеріями прийнятності. Важливі питання:

  • Які ризики перевищують наш поріг прийнятності?

  • Які ризики потребують негайної обробки?

  • Які ризики можна прийняти? Результат: Пріоритетний список ризиків, які потребують обробки.

5. Обробка ризиків

Мета: Вирішити, як поводитися з кожним ризиком. ISO/IEC 27005 описує чотири варіанти обробки ризику:

  1. Зниження ризику (Risk Modification): Впровадження заходів безпеки для зменшення ймовірності або наслідків. Приклад: Впровадження багатофакторної автентифікації для запобігання несанкціонованому доступу.

  2. Уникнення ризику (Risk Avoidance): Відмова від діяльності, яка спричиняє ризик. Приклад: Відмова від зберігання конфіденційних даних у публічній хмарі.

  3. Передача ризику (Risk Sharing/Transfer): Розподіл або передача ризику третім особам (наприклад, кіберстрахування, аутсорсинг). Приклад: Укладення договору кіберстрахування для папок з даними.

  4. Прийняття ризику (Risk Retention): Свідоме прийняття ризику, оскільки витрати на обробку перевищують потенційні збитки. Приклад: Прийняття незначного ризику з мінімальними наслідками. Важливо: Власники ризиків (Risk Owners) повинні затвердити план обробки ризиків та прийняти залишкові ризики. Результат: План обробки ризиків з обраними заходами (які мають бути узгоджені з ISO/IEC 27001 Додаток А) та Декларація про застосовність (SoA).

Комунікація та консультування

Мета: Залучення зацікавлених сторін протягом усього процесу.

  • Інформування менеджменту, команд та зовнішніх партнерів про ризики.

  • Отримання зворотного зв'язку та забезпечення врахування всіх релевантних перспектив.

  • Прозоре документування рішень.

Моніторинг та перегляд

Мета: Постійний контроль та адаптація управління ризиками.

  • Регулярна перевірка оцінок ризиків (наприклад, щорічно або при значних змінах).

  • Відстеження нових загроз та уразливостей.

  • Адаптація планів обробки ризиків при зміні бізнес-середовища. ISO/IEC 27005 розрізняє два цикли:

  • Стратегічний цикл: Фундаментальні зміни в бізнес-середовищі, нові активи, новий ландшафт загроз → повна переоцінка ризиків.

  • Операційний цикл: Незначні зміни, нові вразливості → часткові оновлення.

Чому ISO/IEC 27005:2022 важливий?

Заходи безпеки на основі ризиків

Ви інвестуєте лише в ті заходи, які дійсно необхідні для вашої компанії. Це економить кошти та максимізує ефективність.

Систематичний, відтворюваний процес

ISO/IEC 27005 пропонує перевірений підхід, який можна застосовувати послідовно — незалежно від того, хто проводить оцінку ризику. Результати є порівнюваними та відстежуваними.

Виконання вимог ISO/IEC 27001

ISO/IEC 27001 вимагає дій на основі ризиків. Завдяки ISO/IEC 27005 ви можете надійно виконати цю вимогу та впевнено пройти аудит.

Краще прийняття рішень на рівні менеджменту

Оцінка ризиків надає менеджменту чіткі факти: Які заходи існують? Наскільки вони вірогідні? Скільки коштуватимуть заходи у відповідь? Рішення стають прозорими та обґрунтованими.

Проактивна замість реактивної безпеки

Організації, які використовують ISO/IEC 27005, ідентифікують ризики до того, як вони призведуть до інцидентів. Це значно знижує ймовірність витоку даних, простоїв та порушень безпеки.

Підвищена стійкість

Завдяки постійному моніторингу та адаптації управління ризиками ваша організація залишається стійкою — навіть за умови зміни загроз (наприклад, нові варіанти Ransomware, Zero-Day-Exploits).

Довіра зацікавлених сторін

Клієнти, партнери, інвестори та регулюючі органи хочуть бачити, що ризики керуються професійно. ISO/IEC 27005 показує, що ви це робите.

Гнучкість для організацій будь-якого розміру

Стандарт не нав'язує жодного специфічного методу — організації можуть обирати подієво-орієнтований, архітектурно-орієнтований або гібридний підходи залежно від своїх потреб.

Інтеграція з іншими фреймворками

ISO/IEC 27005 легко поєднується з ISO 31000, NIST Risk Management Framework та іншими стандартами.

Як EAS™ підтримує вас у впровадженні ISO/IEC 27005:2022?

European Attestation Standard™ (EAS™) орієнтується на принципи управління ризиками ISO/IEC 27005:2022 та гарантує, що ваші онлайн-послуги та цифрові пропозиції захищені на основі структурованих оцінок ризиків — без необхідності для вас обов'язково проходити сертифікацію ISO.

Використовуючи критерії EAS™, ви можете:

  • Побудувати структурований процес управління ризиками для вашої СУІБ

  • Систематично ідентифікувати, аналізувати та обробляти ризики

  • Пріоритезувати інвестиції в безпеку на основі фактичних загроз

  • Виконувати вимоги ISO/IEC 27001 щодо дій на основі ризиків

  • Підготувати свою організацію до майбутньої сертифікації ISO/IEC 27001

  • Побудувати довіру серед тих, хто навчається, клієнтів, партнерів та регулюючих органів

Що нового в ISO/IEC 27002:2022?

Версія 2022 року є масштабним оновленням версії 2018 року:

  • Консолідація: Кількість розділів та додатків зменшено з 12 розділів та 6 додатків до 10 розділів та 1 додатка.

  • Новий 5-етапний процес: Чіткіша структура (раніше було 6 етапів).

  • Зміщення акцентів: Тепер обробка ризику (Risk Treatment) є частиною оцінки ризику (Risk Assessment), а не окремим кроком.

  • Два підходи до ідентифікації ризику: Подієво-орієнтований (event-based) та архітектурно-орієнтований/на основі активів (asset-based) — організації можуть поєднувати обидва.

  • Тісніший зв'язок з ISO 27001: Декларація про застосовність (SoA) тепер є частиною процесу обробки ризику.

  • Гармонізація з ISO 31000: Більш тісна відповідність до загального стандарту управління ризиками.

КОНТАКТИ

Moosbach,
Німеччина, 92709

kontakt@eas-standard-certification.com

АДРЕСА
© 2026 European Attestation Standard (EAS). Усі права захищені.

ЮРИДИЧНА ІНФОРМАЦІЯ ТА ЗАХИСТ ДАНИХ

ДЛЯ НАШИХ МІЖНАРОДНИХ ПАРТНЕРІВ:
Наш вебсайт доступний німецькою, українською, англійською та італійською мовами. Для забезпечення ефективної співпраці ми надаємо офіційні документи EAS та атестаційні матеріали за запитом не лише цими, а й будь-якими іншими необхідними мовами за домовленістю.