ГОСТ Р ИСО/МЭК 13335-1-2006; Страница 9

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 15037-69 Смазка для пропитки органических сердечников стальных канатов. Технические условия Grease for impregnating the organic strandcore of wire rope. Specifications (Настоящий стандарт распространяется на смазку, предназначенную для пропитки органических сердечников стальных канатов. Смазка предохраняет органические сердечники от гниения, применяется в условиях умеренного климата, а также при температурах окружающей среды не ниже минус 20 град. С) ГОСТ 28251-89 Машины основомотальные. Основные параметры, размеры и технические требования Warp winders. Main parameters, dimensions and technical requirements (Настоящий стандарт распространяется на основомотальные машины, предназначенные для очистки и перематывания нитей из натуральных и химических волокон и их смесей с паковок прядильных и крутильных машин в цилиндрические или конические бобины крестовой намотки, в том числе бобины “мягкой“намотки для последующего их крашения и изготовляемые для нужд народного хозяйства и экспорта) ГОСТ 1104-69 Ткань хлопчатобумажная доместик. Технические условия Cotton fabrics domestic. Specifications (Настоящий стандарт распространяется на суровую неаппретированную хлопчатобумажную ткань доместик, применяемую для изготовления резино-технических изделий и других технических целей)

Страница 9

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 13335-1 — 2006

В конкретных системе или организации не все уязвимости соответствуют угрозам. В первую очередь

следует сосредоточиться на уязвимостях, которым соответствуют угрозы. Но в силутого, что окружающая

среда может непредсказуемо меняться, необходимо вести мониторингвсех уязвимостейдля того, чтобы

вовремя выявлять те из них. которые могут использовать вновь появляющиеся угрозы.

Оценка уязвимостей — это проверка слабостей, которые могут быть использованы существующими

угрозами. Эта оценка должна учитывать окружающую среду и существующие защитные меры. Мерой

уязвимости конкретной системы или актива по отношению к угрозе является степень того, с какой легкос

тью системе или активу может быть нанесен ущерб.

При оценке уровень уязвимости может быть определен как высокий, средний или низкий.

3.5 Воздействие

Воздействие— это результат инцидента информационной безопасности, вызванного угрозой и нанес

шего ущерб ее активу. Результатом воздействия могутстать разрушение конкретного актива, повреждение

ИТТ, нарушение их конфиденциальности, целостности,доступности, неотказуемости, подотчетности, аутен

тичности и достоверности. Непрямое воздействие может включать в себя финансовые потери, потерю

доли рынка или репутации. Контроль за воздействием позволяетдостичь равновесия между

предполагае мыми последствиями инцидента и стоимостью защитных мер. Следует учитывать вероятность

возникнове ния инцидента. Это особенно важно в тех случаях, когда ущерб при каждом возникновении

инцидента невелик, но суммарный эффект накопившихся со временем инцидентов может быть

существенным. Оцен ка воздействия является важным элементом оценки риска и выбора защитных мер.

Количественное и качественное измерение воздействия могут быть проведены:

- определением финансовых потерь;

- использованием эмпирической шкалы серьезности воздействия, например от 1до 10;

- использованием заранее оговоренных уровней (высокий, средний и низкий).

3.6 Риск

Риск — это способность конкретной угрозы использовать уязвимости одного или нескольких видов

активовдля нанесения ущерба организации. Одна угроза или группа угроз могут использовать одну уязви

мость или группу уязвимостей.

Сценарий риска описывает, как определенная угроза или группа угроз могут использовать уязви

мость или группу уязвимостей подверженного угрозе актива. Риск характеризуется комбинацией двух

факторов: вероятностью возникновения инцидента и его разрушительным воздействием. Любое измене

ние активов, угроз, уязвимостей или защитных мер может оказать значительное влияние на риск. Раннее

обнаружение или знание обо всех этих изменениях увеличивает возможности по принятию необходимых

мер для обработки риска. Обработка риска включает в себя устранение, снижение, перенос и принятие

риска.

Следуетучитывать, что риск никогда не устраняется полностью. Принятие остаточного риска являет

ся частью заключения о соответствии уровня безопасности потребностям организации. Руководство орга

низациидолжно быть поставлено в известность обо всех остаточных рисках, их опасных последствиях и

вероятности возникновения инцидентов. Решение о принятии рискадолжно приниматься специалистами,

имеющими право принимать решение одопустимости опасных последствий при возникновении инцидента

и применении дополнительных мер защиты в случае, если уровень остаточного риска неприемлем.

3.7 Защитные меры

Защитные меры — это действия, процедуры и механизмы, способные обеспечить безопасность от

возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента всистеме безопаснос

ти. обнаружить инциденты и облегчить восстановление активов. Эффективная безопасность обычно требу ет

комбинации различных защитных мер для обеспечения заданных уровней безопасности при защите

активов. Например, механизмы контроля доступа, применяемые к вычислительным средствам, должны

подкрепляться аудитом, определенным порядком действий персонала, его обучением, а также физичес

кой защитой. Часть защитных мер может быть обеспечена внешними условиями, свойствами актива или

может уже существовать в системе или организации.

Порядок выбора защитных мер очень важен для правильного планирования и реализации програм

мы информационной безопасности. Защитная мера может выполнять много функций безопасности и. на

оборот. одна функция безопасности может потребовать нескольких защитных мер. Защитные меры могут

выполнять одну или несколько из следующих функций:

- предотвращение:

- сдерживание;

- обнаружение;

3—179