ГОСТ Р ИСО/МЭК ТО 18044-2007; Страница 46

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 28297-89 Машины разрыхлительно-очистительные для хлопка. Типы, основные параметры и технические требования Disruptive cleaning machines for cotton. Types, basic parameters and technical requirements (Настоящий стандарт устанавливает типы, основные параметры и требования к техническому уровню и качеству разрыхлительно-очистительных машин, применяемых для переработки хлопка и смесей хлопка с химическими волокнами, предназначенных для нужд народного хозяйства и экспорта) ГОСТ Р ИСО/МЭК ТО 10032-2007 Эталонная модель управления данными Reference model of data management (Настоящий стандарт устанавливает эталонную модель управления данными, разработанную ИСО, и структуру, необходимую для координации и разработки действующих и будущих стандартов в области управления постоянными данными в информационных системах. Стандарт устанавливает общую терминологию и основные понятия, относящиеся ко всем данным информационных систем. Такие поняти используют для определения более специфических услуг, предоставляемых специальными компонентами управления данных, например системами управления базами данных или системами словарей данных. Определение подобных взаимосвязанных услуг идентифицирует интерфейсы, которые могут стать предметом будущих стандартов) ГОСТ Р 52992-2008 Колбасы полукопченые для детского питания. Технические условия Semi-smoked sausages for children's nutrition. Specifications (Настоящий стандарт распространяется на полукопченые колбасы, предназначенные для питания детей старше шести лет)

Страница 46

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК ТО 18044—2007

Приложение В

(справочное)

Примеры общих рекомендаций по оценке инцидентов информационной безопасности

В.1 Введение

В настоящем приложении представлены примерные рекомендации по оценке и категорированию негативных

последствий инцидентов ИБ. где каждая рекомендация имеет шкалу от 1 до 10 (1 — низкий. 10 — высокий). (На

практике могут использоваться другие шкалы, например, с градацией от 1 до 5. Каждая организация должна ис

пользовать шкалу, наиболее подходящую для ее условий).

Перед изучением рекомендаций необходимо ознакомиться со следующими пояснениями:

- в некоторых из рекомендаций, представленных ниже, содержится примечание «Нет записи», для негатив

ных последствий, приведенных для каждой градации инцидента ИБ (от 1до 10) и идентичных для других шкал (на

пример, с градацией от 1 до 5). Однако на некоторых градациях (по шкале от 1до 10)для конкретных инцидентов ИБ

считается, что из-за отсутствия больших различий а записях о последствиях инцидента ИБ на более низких

града циях делать запись нецелесообразно и в этом случав делается примечание «Нет записи». Аналогично

вышеизло женному. при более высоких градациях инцидента ИБ считается, что негативные последствия для

них не могут быть серьезнее негативных последствий, показанных для самой высокой градации, и. следовательно,

для этих гра даций действует примечание «Нет записи». (Таким образом, было бы неправильно исключить

указания с пометкой «Нет записи» и тем самым градацию шкалы);

-для приведенных рекомендаций, е которых применяются финансовые показатели, приведенные пределы

колебаний кажутся несколько необычными. Перед использованием эти рекомендации должны быть дополнены

нормированием колебаний курса валюты, наиболее подходящей для организации.

Таким образом, при использовании перечисляемых рекомендаций для расследования негативных послед

ствий инцидента ИБ для бизнеса организации, являющихся следствием несанкционированного раскрытия инфор

мации. несанкционированного изменения информации, отказа от использованной информации, недоступности

информации и (или) сервиса, уничтожения информации и (или) сервиса, в первую очередь необходимо

опреде лить. какая из нижеследующих категорий является соответствующей. Необходимо применять

рекомендации по ка тегорированию для определения реального негативного воздействия на бизнес-процессы

(«значимость») с целью занесения в форму отчета об инциденте ИБ.

В.2 Финансовые убытки/нарушение хода бизнес-операций

Последствия несанкционированного раскрытия, модификации и искажения смысла переданной информа

ции. а также недоступности и уничтожения такой информации могут привести к финансовым убыткам, например, в

результате снижения цен на акции, мошенничества или разрыва контракта по причине бездействия или запозда

лых действии в отношении этих последствий. Последствиями недоступности или уничтожения любой информации

может быть также нарушение бизнес-процесса. На исправление ситуации и (или) восстановление бизнес-процесса

после таких инцидентов ИБ потребуются время и усилия. Эти последствия в некоторых случаях могут быть значи

тельными и должны обязательно приниматься во внимание. Для расчетов последствий необходимо, чтобы время

восстановления вычислялось в единицах рабочего времени персонала и пересчитывалось в стоимость рабочего

времени (финансовые затраты). Эти финансовые затраты должны быть вычислены, исходя из средней стоимости

1чел.-мес по соответствующей градации/уровню, принятой/лринятого внутри организации. Предлагается руковод

ствоваться следующими рекомендациями:

1) результат в финансовых убытках/затратах х, или менее;

2) результат в финансовых убытках/затратах между х, и х2.

3) результат в финансовых убытках/затратах между х2 + 1 и

х.у

4) результат в финансовых убытках/затратах между

х 3 *

1 и

х л:

5) результат в финансовых убытках/затратах между

х А

+ 1 и xs:

6) результат в финансовых убытках/затратах между х4 + 1 и х4.

7) результат в финансовых убытках/затратах между хи + 1 и

х ,.

8) результат в финансовых убытках/затратах междух, ♦ 1 и

х й;

9) результат в финансовых убытках/затратах более хв;

10) организация выходит из бизнеса.

В.З Коммерческие и экономические интересы

Коммерческая и экономическая информация нуждается в защите и оценивается с учетом ее значимости для

конкурентов или по воздействию, которое оказывает ее компрометация на коммерческие интересы. Следует руко

водствоваться следующими рекомендациями по обеспечению защиты информации, представляющей интерес: