ГОСТ Р 53647.1—2009
о) обеспечение поставок, услуги сторонних организаций и поставщиков (запасы).
При определении необходимогоуровня ресурсоворганизациядолжна учесть потребностипричас
тныхсторон.
Комментарий к 6.4— Технологии подразумевают использование оборудования в самом широ
ком смысле в соответствии с потребностями организации. Технологиимогут включать: програм
мное обеспечение и оборудование в области ИТ. телекоммуникационное оборудование,
специализированные станки, оборудование для пищевой промышленности, герметизации, а также
другую технику, существенно важную дляпроизводства.
Недоступность, неточность или недостаточная актуализация записей или информации по
незавершенному производству могут помешать или существенно задержать возобновление дея
тельности организации. Требования по обеспечению подобной информацией необходимо учиты
вать привыборе способа управлениязаписями в общей стратегии МНБ (см. раздел 7).
6.5Оценка угроз критическим видам деятельности организации
6.5.1 В зависимости от целей применения МНБ необходимо проводить анализ риска с точки зре
ния непрерывности критических видов деятельности организации и риска их нарушения. Критические
виды деятельности должны поддерживаться такими ресурсами, как персонал, производственные пло
щади. технологии, информация, запасы и причастные стороны. Организациядолжна оценить потенци
альные угрозы для этих ресурсов, уязвимость каждого вида ресурса и потенциальное воздействие
при превращении угрозы винцидент, который может вызвать нарушение еедеятельности.
6.5.2 Выборподходак оценке риска — этосамостоятельноерешениеорганизации, однаковажно,
чтобы этот подход соответствовал всем требованиям организации.
6.5.3 ИСО/МЭК 27001 (см. [4]) устанавливает структуру подхода к оценке риска и обязательные
элементы, которыедолжны включать процессоценки риска. Типовыми элементами являются:
- определение критериев принятия риска. Должны быть описаны условия, при которых организа
ция можетпринять риск:
- идентификация приемлемых уровней риска. Независимоот выбранного подхода к оценке риска
организациядолжна идентифицировать приемлемый риск;
- анализ риска. Необходимо, чтобы подход организации к оценке риска учитывал все понятия и
положения, рассмотренные 8 6.5.4— 6.5.6.
6.5.4 Конкретные угрозы могут бытьописаны какопасные события или действия, которые могут в
какой-томомент оказатьнегативноевоздействиена ресурсы, например, такие угрозы, какпожар, навод
нение. нарушение энергоснабжения, потеря персонала, невыход персонала на работу, компьютерные
вирусы или отказ компьютерных аппаратных средств.
6.5.5 Уязвимые места — это недостатки («слабые места») в ресурсах, которые могут подпасть
подвоздействиеугроз, например, неустойчивостьработы одногоэлементасистемы, отдельные несоот
ветствияв противопожарной защите, неустойчивостькскачкам напряженияэлектросети, неукомплекто
ванность персоналом, незащищенность или неустойчивость отдельных частей информационных
технологий итщ.
6.5.6 Воздействие на бизнес (см. 6.2.3) может явиться следствием воздействия опасных событий
на уязвимые места.
Комментарий к 6.5 — При оценке угроз целесообразно использоватьрегистры риска, состав
ленные другими подразделениями организации и/илистороннимиорганизациями.
6.6 Выбордействий
6.6.1 Краткий обзор
В результате АВБ и оценки рискаорганизация должна идентифицироватьсоответствующие меры
для того, чтобы:
- уменьшить вероятность нарушенийдеятельности;
- сократить периоднарушенийдеятельности:
- ограничить воздействие нарушений на ключевые виды продукции иуслуги организации.
Эти предпринимаемые меры известны какснижение потерь иобработка риска.
Стратегии снижения потерь могут быть использованы в сочетаниисдругими вариантами, когда не
все риски могут быть предотвращены или уменьшеныдо приемлемогоуровня. Организация может при
менитьодну, болееоднойили все стратегии(6.6.2—6.6.5)для каждогокритическоговидадеятельности.
13