ГОСТ Р ИСО/МЭК 13335-1-2006; Страница 13

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 15037-69 Смазка для пропитки органических сердечников стальных канатов. Технические условия Grease for impregnating the organic strandcore of wire rope. Specifications (Настоящий стандарт распространяется на смазку, предназначенную для пропитки органических сердечников стальных канатов. Смазка предохраняет органические сердечники от гниения, применяется в условиях умеренного климата, а также при температурах окружающей среды не ниже минус 20 град. С) ГОСТ 28251-89 Машины основомотальные. Основные параметры, размеры и технические требования Warp winders. Main parameters, dimensions and technical requirements (Настоящий стандарт распространяется на основомотальные машины, предназначенные для очистки и перематывания нитей из натуральных и химических волокон и их смесей с паковок прядильных и крутильных машин в цилиндрические или конические бобины крестовой намотки, в том числе бобины “мягкой“намотки для последующего их крашения и изготовляемые для нужд народного хозяйства и экспорта) ГОСТ 1104-69 Ткань хлопчатобумажная доместик. Технические условия Cotton fabrics domestic. Specifications (Настоящий стандарт распространяется на суровую неаппретированную хлопчатобумажную ткань доместик, применяемую для изготовления резино-технических изделий и других технических целей)

Страница 13

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 13335-1 — 2006

4.1 Цели и стратегии безопасности информационно-телекоммуникационных технологий

После установления целей безопасности ИТТорганизациидолжны быть разработаны стратегии безо

пасности ИТТ, являющиеся фундаментом развития политики безопасности ИТТ организации. Развитие бе

зопасности ИТТ необходимодля того, чтобы гарантироватьдостоверность и эффективность результатов

процесса управления рисками.Для развития и успешной реализации политики безопасности ИТТ в органи

зации требуется обеспечить ее всестороннее управление. Важно, чтобы политика безопасности ИТТучиты

вала цели и особенностиданной организации. Политика безопасности ИТТдолжна объединятьсяс полити

кой безопасности и бизнес-политикой организации. Такое объединение поможетдостичь наиболее эффек

тивного использования ресурсов и обеспечитьсогласованный подход к безопасности в различных услови ях

окружающей среды.

Может оказаться необходимым развивать отдельные специфические аспекты политики безопасности

для каждой или нескольких ИТТ. Эти направлениядолжны базироваться на оценке риска и согласовывать

ся с политикой безопасности ИТТ. тем самым учитывая рекомендации по безопасностидля тех систем, с

которыми они связаны.

В качестве первого шага к процессу управления безопасностью ИТТ можно рассмотреть вопрос о

том, насколько широки границы уровня риска, приемлемого для организации. Тщательное определение

приемлемых рисков и. следовательно, соответствующего уровня безопасности — это ключ к успешному

управлению безопасностью.

Необходимость задания широких границдопустимого риска безопасности диктуется задачами безо

пасности ИТТ. которыедолжна выполнить организация. Для решения задач обеспечения безопасности

нужно идентифицировать активы организации и провести оценку их ценности. При идентификации и оценке

ценности активов необходимо учитывать роль, которую они играют вподаержаниидеятельности организа

ции. ИТТ является лишьчастью активов организации.

Чтобы оценить, в какой мере бизнесорганизации зависит от ИТТ. необходимо рассмотреть вопросы о

том:

- какие важные составляющие бизнеса не могут осуществляться без ИТТ;

- какие задачи могут быть решены только при помощи ИТТ;

- какие важные решения зависят от конфиденциальности, целостности,доступности, неотказуемости,

подотчетности и аутентичности информации, хранимой или обрабатываемой ИТТ. или от того, насколько

эта информация актуальна;

- какая хранимая или обрабатываемая информация должна защищаться;

- каковы для организации последствия инцидента безопасности?

Ответы наэти вопросы позволятустановить задачи безопасности ИТТорганизации. Если, например,

некоторые важные или очень важные составляющиедеятельности организации зависят от точности или

актуальности информации, то одной из задач безопасности организации можетстатьобеспечение целост

ности и обновляемости информации в процессе ее хранения и обработки ИТТ. Определяя задачи безопас

ности ИТТ. необходимо также рассмотреть задачи бизнеса и их связь с безопасностью.

В зависимости от целей безопасности ИТТ необходимо согласовать стратегию достижения этих це

лей. Выбранная стратегия должна соответствовать ценности защищаемых активов. Если, например, ответ

на один или более вопросов, рассмотренных выше, выявляет сильную зависимость от ИТТ, то организа

ция. скорее всего, должна предъявлять высокие требования к безопасности ИТТ. и целесообразно выби

рать стратегию,достаточную для выполнения этихтребований.

Основные положения стратегии безопасности ИТТ сводятся к тому, какорганизация будетдостигать

своих целей вобласти безопасности ИТТ. Вопросы, к которым должна обращаться стратегия, будут зави

сеть от числа, вида и важности этих целей. Для организации обычно важно применять типовые решения

этих вопросов. Характер вопросов может быть как очень конкретным, так и общим.

Примеры

1 Конкретный вопрос: организация (в силу специфики своей деятельности) может иметь

первоочередной целью безопасности ИТТ обеспечение постоянной доступности всех своих

систем. В этом случав одна из составляющих стратегии может быть направлена на умень

шение вероятности заражения вирусами путем установки антивирусного программного обес

печения.

2 Общий вопрос: организация, осуществляющая продажу своих информационно-телеком

муникационных услуг, может поставить целью безопасности ИТТ доказать потенциальным

клиентам, что ее собственные системы организации защищены. В этом случае частью стра

тегии будет аттестация системы по требованиям безопасности информации, проведенная

уполномоченной сторонней организацией.