ГОСТ Р ИСО/МЭК 27005-2010; Страница 12

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53994.2.11-2010 Автоматические электрические управляющие устройства бытового и аналогичного назначения. Часть 2.11. Частные требования к регуляторам энергии Automatic electrical controls for household and similar use. Part 2.11. Particular requirements for energy regulators (Настоящий стандарт устанавливает требования к регуляторам энергии для использования в, на или во взаимодействии с оборудованием для бытового и аналогичного применения, включая электрические управляющие устройства для нагрева, кондиционирования воздуха и аналогичного применения. В оборудовании можно использовать электричество, газ, нефтепродукты, твердое топливо, солнечную тепловую энергии и пр. или их комбинацию. Настоящий стандарт не применяют к регуляторам энергии, предназначенным исключительно для промышленного использования. Регуляторы энергии для приборов, не предназначенных для бытового использования, но которые, тем не менее, могут быть источником опасности для людей, например приборы, используемые неспециалистами в магазинах, в легкой промышленности и на фермах, входят в область распространения настоящего стандарта) ГОСТ Р ИСО 10485-2010 Испытание гаек пробной нагрузкой на конической шайбе Cone proof load test on nuts (Настоящий стандарт устанавливает метод испытания пробной нагрузкой на конической шайбе для гаек:. - с номинальным диаметром резьбы d от 5 до 39 мм включительно;. - классов точности А и В;. - классов прочности от 8 до 12) ГОСТ Р 53957-2010 Икра лососевая зернистая пастеризованная. Технические условия Pasteurized grained salmon caviare. Specifications (Настоящий стандарт распространяется на пастеризованную зернистую лососевую икру)

Страница 12

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27005—2010

- разработка процесса менеджмента риска ИБ, подходящего для данной организации;

- выявление и изучение причастных сторон.

- определение ролей и обязанностей всех сторон, как внутренних, так и внешних по отношению к

организации;

- установление требуемых взаимосвязей между организацией и причастными сторонами, а также вза

имодействия с высокоуровневыми функциями менеджмента риска организации (например, менеджмента

операционного риска), а также взаимодействия сдругими значимыми проектами и видами деятельности;

- определение путей передачи принятия решений на более высокий уровень и/илидругим специали

стам;

- определение подлежащих ведению документов.

Эта организационная структура должна одобряться соответствующим руководством организации.

П р и м е ч а н и е — ИСО/МЭК 27001 требует определения и выделения ресурсов, необходимых для

установления, реализации, функционирования, мониторинга, пересмотра, поддержки и улучшения СМИБ

[см. пункт 5.2.1. перечисление а)]. Организационная структура для операций менеджмента риска может рассмат

риваться как один из ресурсов, требуемых ИСО/МЭК 27001.

8 Оценка риска информационной безопасности

8.1 Общее описание оценки риска информационной безопасности

П р и м е ч а н и е — В ИСО/МЭК 27001 деятельность по оценке риска определяется как процесс.

Входные данные Установленные основные критерии, сферадействия и границы, структура процесса

менеджмента риска информационной безопасности, принятыедля организации.

Действие. Риски должны быть идентифицированы, количественно или качественно охарактеризова

ны. для них должны быть назначены приоритеты в соответствии с критериями оценки риска и целями орга

низации.

Руководство по реализации. Риск представляет собой комбинацию последствий, вытекающих из не

желательного события и вероятности возникновения события. Оценка риска количественно или качествен но

характеризует риски и дает возможность руководителям назначатьдля них приоритеты всоответствии с

осознаваемой ими серьезностью или другими установленными критериями.

Процесс оценки риска состоит из;

- анализа риска (в соответствии с 8.2), включающего идентификацию риска (в соответствии с 8.2.1) и

установление значения риска (в соответствии с 8.2.2):

- оценки риска (в соответствии с 8.3).

В процессе оценки риска устанавливается ценность информационных активов, выявляются потенци

альные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие

меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются

возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществля

ется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста.

Оценка риска часто проводится за две (или более) итерации. Сначала проводится высокоуровневая

оценка для идентификации потенциально высоких рисков, служащих основанием длядальнейшей оценки.

Следующая итерация может включатьдальнейшее углубленное рассмотрение потенциальновысоких рис

ков. В тех случаях, когда полученная информация недостаточна для оценки риска, проводится более

детальный анализ, возможно, по отдельным частям сферы действия, и, возможно, с использованием

иного метода.

Выбор подхода к оценке риска в зависимости от задач и целей оценки риска осуществляет руковод

ство организации.

Обсуждение подходов к оценке риска ИБ можно найти в приложении Е.

Выходные данные. Перечень оцененных рисков в соответствии с назначенными приоритетами со

гласно критериям оценки риска.

8.2 Анализ риска

8.2.1 Идентификация риска

8.2.1.1 Введение видентификацию риска