ГОСТ Р ИСО ТО 13569-2007; Страница 25

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 52992-2008 Колбасы полукопченые для детского питания. Технические условия Semi-smoked sausages for children's nutrition. Specifications (Настоящий стандарт распространяется на полукопченые колбасы, предназначенные для питания детей старше шести лет) ГОСТ Р 52958-2008 Шкурки меховые и овчины выделанные. Правила приемки, методы отбора образцов и подготовка их для контроля Dressed fur and sheеpskins. Rules of acceptance, methods of sampling and their preparation for control (Настоящий стандарт распространяется на выделанные меховые шкурки, овчины и меховые изделия и устанавливает правила приемки, методы отбора образцов для механических и физико-химических испытаний и подготовку их для контроля) ГОСТ Р ИСО 13397-4-2008 Стоматологические кюретки, инструменты для снятия зубных отложений и экскаваторы. Часть 4. Стоматологические экскаваторы – дисковидный тип. Конструкция и размеры. Методы испытаний Dental curettes, scalers and excavators. Part 4. Dental excavators - discoid type. Construction and sizes. Test methods (Настоящий стандарт устанавливает размеры для стоматологических экскаваторов с дисковидными рабочими частями)

Страница 25

Страница 1

Untitled document

ГОСТ Р ИСО ТО 13569— 2007

ющих защитных мер. Защитные меры являются результатом оценки и определения величины возможных

потерь, которые могут произойти в случае использования идентифицированных уязвимостей системы од

ной или более угрозами. К активам организации, которые обычно подвергаются оценке риска, относят:

аппаратуру и оборудование, прикладные программы, базы данных организации, системы связи и компью

терные операционные системы.

Примеры метода проведения оценок риска и типичного процесса оценки риска приведены вприложе

нии С. Дополнительные модели оценки риска представлены в [2], [5]. [20]. [21]. Дополнительные модели в

качестве примера также приведены в приложении С и не предполагают их использования организацией

непосредственно в качестве технологических карт внедрения.

8.2 Процесс оценки риска

Финансовые и другие организации испытывают влияние рисков, связанные с их бизнесом. Риски,

относящиеся к информационным активам организации, принимают различные формы и должны подвер

гаться тщательному анализу. Оценки риска нужны при изучении уязвимостей, угроз и рисков для информа

ции. Каждое банковское приложение должно обеспечивать контекст и знание рабочих процессов, а также

потенциальные угрозы и зоны уязвимости. Данное знание имеет значение для проведения оценки риска.

Оценка риска представляет собой трехступенчатый процесс:

Первая ступень— оценка рисков потенциальных угроздля каждой зоны уязвимости путем заполне

ния таблицы оценки риска (см. приложение С);

Вторая ступень — присвоение комбинированного уровня риска каждой зоне уязвимости путем запол

нения таблицы оценки риска (см. приложение С).

Третья ступень — определение подходящих политик безопасности и защитных мер. используя ре

зультаты второй ступени и имеющиеся меры управления.

Более подробный список категорий риска и их применение в процессе оценки риска представлены в

приложении С.

8.3 Рекомендации по обеспечению безопасности и принятие риска

Оценка риска может проводиться:

-для оценивания риска на уровне организации;

- в рамках взаимосвязанной совокупности систем.

- для отдельной системы или приложений;

- для конкретных критических функций внутри системы.

Не следует ожидать, что оценка риска на уровне организации является только комбинацией всех

критических функций организации.

Уязвимости и угрозы постоянно меняются по мере появления новых технологий обнаружения уязви

мостей всистемах, введения новых или модернизированных продуктов, определяемых ростом и развити

ем организации. Поэтому степень детализации и выводы оценки риска для разных систем могут сильно

различаться в рамках организации и для сходных систем в разных организациях.

Тем не менее любая оценка риска должна завершаться формированием набора рекомендаций по

обеспечению информационной безопасности оцененной системы. В наборе рекомендаций риски, связан

ные с системой, рассматриваются как реализованные. В обязанность управляющихделами входит приня

тие этих рисков. Во многих случаях допускается применять дополнительные меры управления (или они

могут быть применены на этапе проектирования или разработки)для снижения рисков до более приемлемо го

уровня. Принятие рисковдолжно регулироваться практическими приемами обеспечения безопасности

организации. При рассмотрении исключений из политики управляющийделамидолжен работать над гаран

тированием соответствия политике вбудущем или принятием долговременной исключительной ситуации

как остаточного риска вместе с группой по обеспечению информационной безопасности.

9 Выбор и внедрение защитных мер

9.1 Снижение риска

Любая система обладает уязвимостями, посредством которых нарушители могут угрожать организа

ции финансовыми убытками, падением продуктивности или утратой престижа. Минимизация и ослабление

этих рисков является общей обязанностью управляющихделами и группы по обеспечению информацион

ной безопасности, работающих вместе сдругими группами в финансовом учреждении. Существует много

аспектов менеджмента риска, и наиболее значимые уже обсуждались, например, приверженность высше

го руководства кобеспечению информационной безопасности; ответственность руководителя службы обес

печения информационной безопасности, отвечающего за внедрение и управление программой обеспече

ния безопасности, и в целом за программу обеспечения безопасности.

б-