ГОСТ Р ИСО ТО 13569-2007; Страница 19

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 52992-2008 Колбасы полукопченые для детского питания. Технические условия Semi-smoked sausages for children's nutrition. Specifications (Настоящий стандарт распространяется на полукопченые колбасы, предназначенные для питания детей старше шести лет) ГОСТ Р 52958-2008 Шкурки меховые и овчины выделанные. Правила приемки, методы отбора образцов и подготовка их для контроля Dressed fur and sheеpskins. Rules of acceptance, methods of sampling and their preparation for control (Настоящий стандарт распространяется на выделанные меховые шкурки, овчины и меховые изделия и устанавливает правила приемки, методы отбора образцов для механических и физико-химических испытаний и подготовку их для контроля) ГОСТ Р ИСО 13397-4-2008 Стоматологические кюретки, инструменты для снятия зубных отложений и экскаваторы. Часть 4. Стоматологические экскаваторы – дисковидный тип. Конструкция и размеры. Методы испытаний Dental curettes, scalers and excavators. Part 4. Dental excavators - discoid type. Construction and sizes. Test methods (Настоящий стандарт устанавливает размеры для стоматологических экскаваторов с дисковидными рабочими частями)

Страница 19

Страница 1

Untitled document

ГОСТ Р ИСО ТО 13569— 2007

ляться в соответствии с уровнем конфиденциальности активов». Аутентификация подвум факторам пред

ставляет собой минимально приемлемый уровень аутентификации:доступ к активам, классифицированным

обладателем информации как «конфиденциальные»должен осуществляться только посредством аутенти

фикации по трем параметрамСистемы управления доступом подвум факторам (биометрии и паролях)

должны следовать следующим положениям...»

Полномочия документов практики основаны на политике, поэтомудолжны строго следовать ей, они

более подвержены изменениям. Данный фактор обусловлен болеечастными изменениями, возникающими

при идентификации новых рисков и мер управления безопасностью. Каждыйдокумент практики имеет огра

ниченный круг пользователей, так как он обычно затрагиваетопределенную часть организации или органи

зационной единицы и неоказывает влияния на общую программу менеджмента безопасности организации.

Целесообразно включать вдокумент практики обзорный раздел, в котором указывается круг пользо

вателей и владелец каждого документа практики. Владельцем документа практики может быть управляю

щийделами, руководитель ИТ или руководитель группы технического сопровождения. Следуеттакже вклю

чать вдокументацию сведения о том. как классифицируется информация, связанная сданными практики,

так как уровень классификации указывает на уровень защиты, необходимый для информации.

5.4.3 Документы операционных процедур обеспечения безопасности

Документы операционных процедур обеспечения безопасности являются производным одного или

более документов практики обеспечения безопасности. Объем этихдокументов зависит от темы и сложно

сти процедур. Эти документы являются самыми краткими по своему объему из всех документов в иерар

хии документации. Данныедокументы описывают технологию реализации политики.Документы операцион

ных процедур обеспечения безопасности относятся к реальным бизнес-системам, а определяемые постав

щиком подробности о продукции приводятся в документации.

Документов операционных процедур должно быть необходимое число и при их разработке следует

следить, чтобы они были полными, точными и целесообразными и не противоречили любой другой практике

или политике. Примерные рекомендации, которые можно найти влюбом документе операционных проце

дур. могут содержать следующие инструкции: «Используйте команду «pwadmin» для обеспечения соот

ветствия паролей пользователей критериям, установленным вдокументации «Корпоративная практика аутен

тификации и управления доступом», «Дайте следующие команды...».

Документы процедурдолжны соответствовать общей политике организации и практическим приемам,

на которых основаны эти процедуры. Документы процедур недолжны противоречить основанной на поли

тике практике. Необходимо принимать в расчет нормативные ограничения, создаваемые за

пределами организаций, стандарты и другие документы процедур.

Документы процедурдолжны включать в себя результаты предыдущего анализа риска безопасности

и проводимых руководством проверок, включая идентификацию любых остаточных рисков, результаты

последующихдействий (например проверки внедренных мер управления на соответствие безопасности),

переченьдействий, которые нужно предпринять для мониторинга и анализа информационной безопасности

при повседневном использовании, и отчеты о связанных с безопасностью инцидентах.

6 Менеджмент информационной безопасности. Программа

обеспечения безопасности

6.1 Общие положения

Для реализации политики требуются программы обеспечения информационной безопасности. Распо

ряжения руководства организации должны распространяться и подкрепляться действиями руководства

более низкого уровня и персонала на высшем уровне. Обеспечение информационной безопасности являет ся

как коллективной, так и индивидуальной обязанностью. Разработка, сохранение, улучшение и монито ринг

программы обеспечения информационной безопасности требуют участия большинства служб и отде лов

организации. Необходима тесная координация между управляющимиделами и персоналом обеспече ния

информационной безопасности.Для поддержки программы обеспечения информационной безопаснос ти

должны использоваться такиедисциплины организации, как аудит, страхование, нормативное соответ

ствие. физическая безопасность, обучение, кадровая и правовая дисциплины и др.

’ Толкование термина «аутентификация» по трем параметрам часто выражается фразой «го. что вы име

ете. го. что вы знаете, и то. чем вы являетесь». «То. что вы имеете» может быть карточкой или маркером. «То. что

вы знаете» может быть пин-кодом или паролем. А для представления «того, кем вы являетесь» используются

биометрические данные.

5— 2530