BS ISO/IEC 27554:2024
Информационная безопасность, кибербезопасность и защита конфиденциальности. Применение ISO 31000 для оценки риска, связанного с идентификацией

Стандартный №

BS ISO/IEC 27554:2024

Дата публикации

2024

Разместил

British Standards Institution (BSI)

Последняя версия

BS ISO/IEC 27554:2024

сфера применения

Анализ базовой структуры стандарта

BS ISO/IEC 27554:2024, как специальный прикладной стандарт ISO 31000 в области управления идентификацией, создал систему оценки рисков, охватывающую весь жизненный цикл идентификационной информации. Основная структура стандарта разделена на:

Основные главы	Соответствующие пункты ISO 31000	Специальный контент по управлению идентификацией
Глава 7. Установление контекста идентификации	6.3. Область применения и предпосылки	Определение ролей подписчика/администратора, типов персональных данных, а также требований политики и нормативных требований
Главы 9–11. Выявление и анализ рисков	6.4. Оценка рисков	Особое рассмотрение двух основных сценариев риска идентификации Кража и поддельная личность
Глава 12 Управление рисками	6.5 Реагирование на риски	Предоставление матрицы преобразования уровня аутентификации 3-го/4-го уровня

---

Ключевые технологии для оценки рисков, связанных с личностью

1. Классификация сценариев риска

Стандарт определяет два основных риска, связанных с личностью:

• Риск 1: Предоставление неверной информации о личности в процессе обслуживания
• Риск 2: Незаконное привязывание учетных данных личности других людей

2. Матрица уровней воздействия

Создайте пятиуровневую систему оценки воздействия на основе таблицы B.1:

Измерение воздействия	Уровень 1 (минимальный)	Уровень 5 (серьёзный)
Финансовые потери	Небольшие, возмещаемые потери в краткосрочной перспективе	Личное банкротство или прекращение бизнеса
Утечка информации	Информация, доступная по общедоступным каналам	Приведшая к травме или смерти

---

Рекомендации по внедрению

Четыре квадранта из мер контроля

Стандарт рекомендует смешанную стратегию контроля:

Профилактические меры контроля: например, система многофакторной аутентификации
Детективные меры контроля: мониторинг ненормального поведения при входе в систему
Корректирующие меры контроля: вторичный процесс проверки после сбоя аутентификации личности
Директивные меры контроля: программа обучения управлению идентификацией сотрудников

Переход уровня обеспечения

Диапазон значений риска	Сила уровня 3	Сила уровня 4
1-10	Базовая проверка	Базовая проверка
20-25	Биометрическая проверка	Биометрическая + проверка на месте

---

Анализ развития технологий

Этот стандарт формирует техническую взаимодополняемость с серией стандартов ISO/IEC 24760:

• Версия 24760-1 2019 г.: определяет основные термины для управления идентификацией
• Версия 2024 г. 27554: Усовершенствование методологии оценки рисков
• Будущее направление: Блокчейн-аутентификация (ISO/TR 23644)

BS ISO/IEC 27554:2024 Ссылочный документ

• ISO 31000:2018 Управление рисками – Рекомендации

BS ISO/IEC 27554:2024 История

• 2024 BS ISO/IEC 27554:2024 Информационная безопасность, кибербезопасность и защита конфиденциальности. Применение ISO 31000 для оценки риска, связанного с идентификацией

стандарты и спецификации