ГОСТ Р ИСО/ТО 13569-2007; Страница 26

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 13496.15-97 Корма, комбикорма, комбикормовое сырье. Методы определения содержания сырого жира Forages, compound feeds, raw material for compound feeds. Methods for determining the raw fat content (Настоящий стандарт распространяется на все виды растительных кормов, комбикормов, комбикормовое сырье (за исключением минерального сырья, дрожжей кормовых и паприна), муку животного происхождения и устанавливает методы определения сырого жира, представляющего смесь триглицеридов жирных кислот и сопутствующих веществ (свободные жирные кислоты, спирты, альдегиды, провитамины, пигменты, стерины, эфирные масла и др.), извлекаемых органическими растворителями) ГОСТ Р 53073-2008 Лампы натриевые высокого давления. Эксплуатационные требования High-pressure sodium vapour lamps. Performance requirements (Настоящий стандарт устанавливает эксплуатационные требования для натриевых ламп высокого давления для общего освещения, удовлетворяющих требованиям безопасности по ГОСТ Р 52713. Стандарт устанавливает размеры ламп, электрические параметры для зажигания и работы ламп, а также содержит информацию для расчета пускорегулирующего аппарата, зажигающего устройства и светильника) ГОСТ Р 53340-2009 Приборы геодезические. Общие технические условия Geodetic instruments. General specifications (Настоящий стандарт распространяется на геодезические приборы и устанавливает их классификацию, технические требования и методы испытаний. Настоящий стандарт не распространяется на приборы, применяемые для производства маркшейдерских, гидрометеорологических и гидрографических работ )

Страница 26

Страница 1

Untitled document

ГОСТ Р ИСО ТО 13569— 2007

ющих защитных мер. Защитные меры являются результатом оценки и определения величины возможных

потерь, которые могут произойти в случае использования идентифицированных уязвимостей системы од

ной или более угрозами. К активам организации, которые обычно подвергаются оценке риска, относят:

аппаратуру и оборудование, прикладные программы, базы данных организации, системы связи и компью

терные операционные системы.

Примеры метода проведения оценок риска и типичного процесса оценки риска приведены вприложе

нии С. Дополнительные модели оценки риска представлены в {2]. [5]. [20]. [21]. Дополнительные модели в

качестве примера также приведены в приложении С и не предполагают их использования организацией

непосредственно в качестве технологических карт внедрения.

8.2 Процесс оценки риска

Финансовые и другие организации испытывают влияние рисков, связанные с их бизнесом. Риски,

относящиеся к информационным активам организации, принимают различные формы и должны подвер

гаться тщательному анализу. Оценки риска нужны при изучении уязвимостей, угроз и рисков для информа

ции. Каждое банковское приложение должно обеспечивать контекст и знание рабочих процессов, а также

потенциальные угрозы и зоны уязвимости. Данное знание имеет значение для проведения оценки риска.

Оценка риска представляет собой трехступенчатый процесс:

Первая ступень — оценка рисков потенциальных угроздля каждой зоны уязвимости путем заполне

ния таблицы оценки риска (см. приложение С):

Вторая ступень — присвоение комбинированного уровня риска каждой зоне уязвимости путем запол

нения таблицы оценки риска (см. приложение С).

Третья ступень — определение подходящих политик безопасности и защитных мер. используя ре

зультаты второй ступени и имеющиеся меры управления.

Более подробный список категорий риска и их применение в процессе оценки риска представлены в

приложении С.

8.3 Рекомендации по обеспечению безопасности и принятие риска

Оценка риска может проводиться:

- для оценивания риска на уровне организации;

- в рамках взаимосвязанной совокупности систем;

- для отдельной системы или приложений;

- для конкретных критических функций внутри системы.

Не следует ожидать, что оценка риска на уровне организации является только комбинацией всех

критических функций организации.

Уязвимости и угрозы постоянно меняются по мере появления новых технологий обнаружения уязви

мостей всистемах, введения новых или модернизированных продуктов, определяемых ростом и развити

ем организации. Поэтому степень детализации и выводы оценки риска для разных систем могут сильно

различаться в рамках организации и для сходных систем в разных организациях.

Тем не менее любая оценка риска должна завершаться формированием набора рекомендаций по

обеспечению информационной безопасности оцененной системы. В наборе рекомендаций риски, связан

ные с системой, рассматриваются как реализованные. В обязанность управляющихделами входит приня

тие этих рисков. Во многих случаях допускается применять дополнительные меры управления (или они

могут быть применены на этапе проектирования или разработки)для снижения рисковдо более приемлемо го

уровня. Принятие рисковдолжно регулироваться практическими приемами обеспечения безопасности

организации. При рассмотрении исключений из политики управляющийделамидолжен работать над гаран

тированием соответствия политике вбудущем или принятием долговременной исключительной ситуации

как остаточного риска вместе с группой по обеспечению информационной безопасности.

9 Выбор и внедрение защитных мер

9.1 Снижение риска

Любая система обладает уязвимостями, посредством которых нарушители могут угрожать организа

ции финансовыми убытками, падением продуктивности или утратой престижа. Минимизация и ослабление

этих рисков является общей обязанностью управляющихделами и группы по обеспечению информацион

ной безопасности, работающих вместе сдругими группами в финансовом учреждении. Существует много

аспектов менеджмента риска, и наиболее значимые уже обсуждались, например, приверженность высше

го руководства кобеспечению информационной безопасности: ответственность руководителя службы обес

печения информационной безопасности, отвечающего за внедрение и управление программой обеспече

ния безопасности, и в целом за программу обеспечения безопасности.