ГОСТ Р ИСО/ТО 13569-2007; Страница 21

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 13496.15-97 Корма, комбикорма, комбикормовое сырье. Методы определения содержания сырого жира Forages, compound feeds, raw material for compound feeds. Methods for determining the raw fat content (Настоящий стандарт распространяется на все виды растительных кормов, комбикормов, комбикормовое сырье (за исключением минерального сырья, дрожжей кормовых и паприна), муку животного происхождения и устанавливает методы определения сырого жира, представляющего смесь триглицеридов жирных кислот и сопутствующих веществ (свободные жирные кислоты, спирты, альдегиды, провитамины, пигменты, стерины, эфирные масла и др.), извлекаемых органическими растворителями) ГОСТ Р 53073-2008 Лампы натриевые высокого давления. Эксплуатационные требования High-pressure sodium vapour lamps. Performance requirements (Настоящий стандарт устанавливает эксплуатационные требования для натриевых ламп высокого давления для общего освещения, удовлетворяющих требованиям безопасности по ГОСТ Р 52713. Стандарт устанавливает размеры ламп, электрические параметры для зажигания и работы ламп, а также содержит информацию для расчета пускорегулирующего аппарата, зажигающего устройства и светильника) ГОСТ Р 53340-2009 Приборы геодезические. Общие технические условия Geodetic instruments. General specifications (Настоящий стандарт распространяется на геодезические приборы и устанавливает их классификацию, технические требования и методы испытаний. Настоящий стандарт не распространяется на приборы, применяемые для производства маркшейдерских, гидрометеорологических и гидрографических работ )

Страница 21

Страница 1

Untitled document

ГОСТ Р ИСО ТО 13569—2007

6.2 Создание программы

Наиболее важная рекомендация настоящего стандарта состоит в том. чтобы организации создавали

свою программу обеспечения информационной безопасности. Эта программадолжна исходить из полити

ки, установленнойдля организации на высшем уровне руководства. Программа обеспечения информаци

онной безопасности должна предусматривать разработку и поддержку детальных процессов обеспечения

безопасности в масштабе организации, совместимых с политикой.

Для разработки детальных процедур и процессов обеспечения информационной безопасности может

потребоваться координация различных бизнес-функций организации (включая аудит, менеджмент риска),

соответствие требованиям страхования, а также координация действий работников организации, отвечаю

щих за нормативное и правовое соответствие, партнеров и клиентов.

6.3 Осведомленность

Программа улучшения осведомленности о безопасностидолжна включать всебя функцию обучения

и улучшения осведомленности о безопасности, гарантирующуюдостаточную осведомленность и бдитель

ность всех работников в отношении своих действий и действий окружающих их людей с учетом послед

ствий для безопасности. Программа улучшения осведомленности о безопасности должна бытьструктури

рована для поддержания осведомленности работников о своих обязанностях, связанных с безопасностью,

предоставлять ресурсы и поощрять лиц, интересующихся вопросами обеспечения безопасности с целью

расширения их знаний.

6.4 Анализ

Одно или несколькодолжностных лиц организации должны быть назначены ответственными за про

грамму обеспечения информационной безопасности. Установленные в программе практические приемы

обеспечения информационной безопасности должны быть основанием для анализа и обновления програм

мы. а при появлении новых угроз и уязвимостей — обеспечивать предоставление необходимых инвести

ций для защитных мер. Программа должна включать в себя подробные процессы и процедуры, устанавли

вающие отчетность и ответственностьза определение надежности программы обеспечения информацион

ной безопасности и ее соответствие всем требованиям, и доклад об этом.

Все отчеты об анализе и мониторинге должны быть доступны руководству всех уровней, включая

исполнительное руководство. Необходимо идентифицировать и документировать процедуры рассмотрения

любых исключений из политики или отклонений от нее. Также должны существовать процедуры создания

необходимых записей результатов аудита и записей о соответствии требованиям безопасности, а также

мониторинга безопасности информации журналов аудита. Особое внимание следует уделить идентифика

ции рисковдля информации журналов аудита и требованиям, установленным для снижения этих рисков,

гарантии адекватности защиты информационных активов.

6.5 Менеджмент инцидентов

Обо всех событиях информационной безопасности следует быстро сообщать, документировать их и

разрешать их всоответствии с практическими приемами организации. Если нежелательные или неожидан

ные события информационной безопасности имеют высокий показатель вероятности компрометации биз

нес-операций и создания угрозы для информационной безопасности, они становятся инцидентами инфор

мационной безопасности, подлежащими изучению. Как инциденты, так и события информационной безо

пасностидолжны использоваться специалистами всфере безопасности при повторной оценке ими риска и

выборе и внедрении мер управления безопасностью. События и инциденты должны использоваться при

последующем улучшении программы обеспечения информационной безопасности.

6.6 Мониторинг

Необходимо создать формальные процессы оповещения о вторжениях, неправильном срабатывании

систем и других инцидентах безопасности, а также о результатах расследования инцидентов безопасности.

Результаты документирования менеджмента инцидентов должны использоваться в процессе анализа с

целью оказания влияния на разработку защитных мер, а также инициирования переоценки и изменения с

течением времени мер управления, используемыхдля обеспечения защиты активов.

6.7 Соответствие требованиям

Независимый анализдолжен обеспечивать соответствие практических приемоворганизации установ

ленной политике и адекватность и эффективность мер управления. Все разрешенные отступления от поли

тики для проведения их периодических переоценокдолжны документироваться и офаничиваться во вре

мени.

6.8 Поддержка

Все установленные защитные средства, такие, как межсетевые экраны и программные средства об

наружения вирусов, должны регулярно обновляться с целью поддержания их эффективности в отношении

новых возникающих угроз.