ГОСТ Р ИСО ТО 13569-2007; Страница 16

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 52992-2008 Колбасы полукопченые для детского питания. Технические условия Semi-smoked sausages for children's nutrition. Specifications (Настоящий стандарт распространяется на полукопченые колбасы, предназначенные для питания детей старше шести лет) ГОСТ Р 52958-2008 Шкурки меховые и овчины выделанные. Правила приемки, методы отбора образцов и подготовка их для контроля Dressed fur and sheеpskins. Rules of acceptance, methods of sampling and their preparation for control (Настоящий стандарт распространяется на выделанные меховые шкурки, овчины и меховые изделия и устанавливает правила приемки, методы отбора образцов для механических и физико-химических испытаний и подготовку их для контроля) ГОСТ Р ИСО 13397-4-2008 Стоматологические кюретки, инструменты для снятия зубных отложений и экскаваторы. Часть 4. Стоматологические экскаваторы – дисковидный тип. Конструкция и размеры. Методы испытаний Dental curettes, scalers and excavators. Part 4. Dental excavators - discoid type. Construction and sizes. Test methods (Настоящий стандарт устанавливает размеры для стоматологических экскаваторов с дисковидными рабочими частями)

Страница 16

Страница 1

Untitled document

ГОСТ Р ИСО ТО 13569 —2007

финансовые органы предпримут шаги по внедрению этих рекомендаций посредством мероприятий, пре

дусмотренных соглашением, которые лучше всего соответствуют их национальным системам. Норматив

ные требования вызывают необходимость проведения аудита финансовых учреждений. Во избежание

ущерба, который могут нагнести аудиты обычным бизнес-операциям, конкретные финансовые учреждения

должны ввести системы (внутреннегоаудита, менеджмента информационной безопасности и т.д.), предос

тавляющие нормативным органам все необходимое для проверки соответствия финансового учреждения

всем требованиям.

Каждое финансовое учреждениедолжно интерпретировать «операционный риск» в показателяхсоб

ственной бизнес-деятельности и определять риски, которым оно подвергается. Анализ операционных рис

ков должен включать в себя мошенничество и другие преступные действия, сбои системы, человеческий

фактор, природные бедствия и террористические акты. Цунами, вызвавшеебольшие человеческие жертвы и

разрушения вАзии вдекабре 2004 г., и террористические атаки в сентябре 2001 г., нацеленные на инду

стрию финансовых услуг в городе Нью-Йорке, являются примерами событий с крайне низкой степенью

вероятности. Но такие события имеют место и должны приниматься во внимание.

В [10] подчеркивается необходимость проведения учреждением систематического анализа риска.

Для управления непредвиденными обстоятельствами необходимо использовать как качественные, так и

количественные методы, а выбор средств контроля для индивидуальной организационнойединицы должен

основываться на анализе стоимости и эффективности, который рассматривает вероятность конкретного

непредвиденного обстоятельства, его вероятности частоту, прогнозируемые потери и влияние на бизнес-

операцию вслучае наступления события.

Следует отметить различие между банковским надзором для обеспечения финансового благосостоя

ния банков и банковским контролем, который рассматривает системы финансовых учреждений с точки

зрения операционного риска. Этот контроль основан не на требованиях, установленных в [10]. а на Ключе

вых принципах Банка международных расчетов [19], направленных на системно значимые платежные си

стемы. Платежные системы классифицируются как «системно значимые» для благополучия и нормальных

операций финансовых рынков и должны соответствовать всем десяти ключевым принципам. «Значимые

системы» должны соответствовать только, по крайней мере, семи ключевым принципам. Для других пла

тежных систем требования соответствия ключевым принципам различаются, но финансовые учреждения

могут использовать свое соответствие в виде рекламного акта, так как это соответствие рассматривается

как мера качества.

5.3 Разработка

После определения целей информационной безопасности организации и оценки воздействия положе

ний и законодательства необходимо разработать пландействий, согласованный с установленными бизнес-

целями. План действийдолжен использоваться как руководстводля разработки политики информационной

безопасности организации (далее — политика)11.

Важно, чтобы организация разработала политику, которая принимает в расчет цели организации и ее

конкретные аспекты. Политика должна согласовываться с бизнесом организации, культурой, нормативной и

правовой обстановкой, в которыхдействует предприятие. Разработка политики необходимадля обеспече

ния целесообразности и эффективности процесса менеджмента риска программы обеспечения безопасно

сти. Для разработки и эффективного внедрения политики нужна поддержка руководства всей организации.

Адаптировав политику кбизнес-целям организации, политика будетспособствовать наиболее эффективно

му использованию ресурсов и реализует последовательный подход к обеспечению безопасности во всем

спектре разных информационных систем.

5.4 Иерархия документации

5.4.1 Общий обзор

5.4.1.1 Общие положения

В настоящем стандарте приводятся три уровнядокументации программы обеспечения информацион

ной безопасности. Эти три уровня состоят из документации политики, документации практических приемов

обеспечения безопасности и документации операционных процедур обеспечения безопасности2’. Иерар

хия документации и значение каждого уровня показаны на рисунке 1.

11В настоящем стандарте термин «политика» является синонимом термина «общая политика информаци

онной безопасности».

2>Номенклатура и иерархия документации не являются фиксированными. Конкретные организации могут

использовать большее число уровней иерархии и различную номенклатуру документации.