ГОСТ Р ИСО/МЭК 17799-2005; Страница 5

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 13219.13-81 Крышки торцовые с канавками средние диаметром от 47 до 100 мм корпусов подшипников качения. Конструкция и размеры Medium cups with grooves for diameters from 47 till 100 mm of pillow blocks. Construction and dimensions (Настоящий стандарт распространяется на средние торцовые крышки с канавками, устанавливаемые в корпусах подшипников качения и предназначенные для герметизации подшипникового узла, осевой фиксации подшипника и восприятия осевых нагрузок) ГОСТ 2082.10-81 Концентраты молибденовые. Метод определения вольфрамового ангидрида Molibdenum concentrates. Method for determination of wolfram anhydride content (Настоящий стандарт распространяется на молибденовые концентраты и устанавливает фотометрический метод определения вольфрамового ангидрида (при содержании от 0,2 до 6 %). Метод основан на образовании окрашенного комплексного соединения пятивалентного вольфрама с роданидом в солянокислом растворе после отделения молибдена в виде сульфида) ГОСТ 16483.39-81 Древесина. Метод определения показателя истирания Wood. Method for determination of wear-proofness index (Настоящий стандарт распростространяется на древесину и устанавливает метод определения показателя истирания древесины в условиях, имитирующих износ деревянных деталей полов, лестниц и настилов, сущность которого состоит в определении взвешиванием уменьшения массы образца при его истирании и вычислении показателя истирания)

Страница 5

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 17799—2005

Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым

должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.

В-третьих, специфический набор принципов, целей и требований, разработанныхорганизацией в

отношении обработки информации.

Оценка рисков информационной безопасности

Требования к информационной безопасности определяются с помощью систематической оценки

рисков. Решения о расходах на мероприятия по управлению информационной безопасностью должны

приниматься, исходяиз возможного ущерба, нанесенногобизнесув результате нарушений информаци

онной безопасности. Методы оценки риска могут применяться как для всей организации, так и для

какой-либо ее части, отдельных информационных систем, определенных компонентов систем или

услуг, а именно там, где это практически выполнимо и целесообразно.

Оценка риска — это систематический анализ:

- вероятного ущерба, наносимого бизнесу в результате нарушений информационной безопаснос

ти с учетом возможных последствий от потери конфиденциальности, целостности или доступности

информации и других активов;

- вероятности наступлениятакого нарушениясучетом существующихугрози уязвимостей, а также

внедренных мероприятий по управлению информационной безопасностью.

Результаты этойоценки помогут в определении конкретныхмер иприоритетовв областиуправле

ния рисками, связаннымисинформационнойбезопасностью, а также внедрению мероприятийпоуправ

лению информационной безопасностью с целью минимизации этих рисков.

Может потребоваться неоднократное проведение оценки рисков ивыбора мероприятий по управ

лению информационной безопасностью для того, чтобы охватить различные подразделения организа

ции или отдельные информационные системы.

Важно периодически проводить анализ рисков в области информационной безопасности и внед

ренных мероприятий по управлению информационной безопасностью для того, чтобы учесть:

- изменения требований и приоритетов бизнеса;

- появление новых угроз и уязвимостей:

- снижение эффективности существующих мероприятий по управлению информационной безо

пасностью.

Уровеньдетализациитакого анализа следуетопределять в зависимости от результатов предыду

щих проверок иизменяющегося уровня приемлемогориска. Оценка рисковобычно проводится сначала

на верхнем уровне, при этом ресурсы направляются в области наибольшего риска, а затем на более

детальном уровне, что позволяет рассмотреть специфические риски.

Выбор мероприятий по управлению информационной безопасностью

После того, как определены требования к информационной безопасности, следует выбрать и

внедрить такие мероприятия по управлению информационной безопасностью, которые обеспечат сни

жение рисковдо приемлемого уровня. Эти мероприятия могут быть выбраны из настоящего стандарта,

другихисточников, а также могутбытьразработаны собственныемероприятияпоуправлениюинформа

ционной безопасностью, удовлетворяющие специфическим потребностям организации. Имеется мно

жество различных подходов к управлению рисками; в настоящем стандарте приводятся примеры

наиболее распространенных методов. Однако следует отметить, что некоторые из мероприятий по

управлению информационнойбезопасностью неприменимы котдельным информационным системам и

средам и могут оказаться неприемлемыми для конкретных организаций. Например, в 8.1.4 приводится

описание того, какмогут бытьраспределеныдолжностные обязанности, чтобы предотвратитьошибки и

мошенничество. В небольших организациях можетоказаться невозможным разделение всех должнос

тных обязанностей; тогда для достижения тойже цели может быть необходимо принятие альтернатив

ных мероприятий по управлению информационной безопасностью. В качестведругого примера можно

привести 9.7 и 12.1 — осуществление мониторинга использования системы и сбора доказательств.

Указанные мероприятияпо управлениюинформационнойбезопасностью, такие, как регистрация собы

тий в системе, могут вступать в конфликт с законодательством, действующим, например, в отношении

защиты от вторжения в личную жизнь клиентов или сотрудников.

Выбор мероприятий по управлению информационной безопасностью должен основываться на

соотношении стоимости их реализации к эффекту от снижения рисков и возможным убыткам в случае

нарушения безопасности. Такжеследуетприниматьвовнимание факторы, которые не могут бытьпред

ставлены в денежном выражении, например, потерю репутации.