ГОСТ Р ИСО/МЭК 27005-2010; Страница 13

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53994.2.11-2010 Автоматические электрические управляющие устройства бытового и аналогичного назначения. Часть 2.11. Частные требования к регуляторам энергии Automatic electrical controls for household and similar use. Part 2.11. Particular requirements for energy regulators (Настоящий стандарт устанавливает требования к регуляторам энергии для использования в, на или во взаимодействии с оборудованием для бытового и аналогичного применения, включая электрические управляющие устройства для нагрева, кондиционирования воздуха и аналогичного применения. В оборудовании можно использовать электричество, газ, нефтепродукты, твердое топливо, солнечную тепловую энергии и пр. или их комбинацию. Настоящий стандарт не применяют к регуляторам энергии, предназначенным исключительно для промышленного использования. Регуляторы энергии для приборов, не предназначенных для бытового использования, но которые, тем не менее, могут быть источником опасности для людей, например приборы, используемые неспециалистами в магазинах, в легкой промышленности и на фермах, входят в область распространения настоящего стандарта) ГОСТ Р ИСО 10485-2010 Испытание гаек пробной нагрузкой на конической шайбе Cone proof load test on nuts (Настоящий стандарт устанавливает метод испытания пробной нагрузкой на конической шайбе для гаек:. - с номинальным диаметром резьбы d от 5 до 39 мм включительно;. - классов точности А и В;. - классов прочности от 8 до 12) ГОСТ Р 53957-2010 Икра лососевая зернистая пастеризованная. Технические условия Pasteurized grained salmon caviare. Specifications (Настоящий стандарт распространяется на пастеризованную зернистую лососевую икру)

Страница 13

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27005—2010

Цель идентификации риска — определить, что могло бы произойти при нанесении возможного ущер

ба. и получить представление о том. как. где и почему мог иметь место этот ущерб. Этапы, описанные

ниже, должны объединять входные данные для деятельности по количественной оценке риска.

П р и м е ч а н и е — Виды деятельности, описанные ниже, могут быть выполнены в различном порядке, в

зависимости от применяемой методологии.

8.2.1.2 Определение активов

Входные данные. Сфера действия и границы проведения оценки риска, перечень, включающий вла

дельцев. местоположение, функцию и т. д.

Действие. Должны быть определены активы, входящие в установленную сферудействия [связано с

ИСО/МЭК 27001, пункт 4.2.1. перечисление d) 1)].

Руководство по реализации. Активом является что-либо, имеющее ценность для организации и, сле

довательно. нуждающееся в защите. При определении активов следует иметь в виду, что информацион

ная система состоит не только из аппаратных и программных средств.

Определение активов следует проводить с соответствующей степенью детализации, обеспечиваю

щей информацию, достаточную для оценки риска. Степень детализации, используемая при определении

активов, влияет на общий объем информации, собранной во время оценки риска. Эта информация может

быть болеедетализирована при последующих итерациях оценки риска.

Для установления учетности и ответственности в отношении каждого актива должен бытьопределен

владелец. Владелец актива может не обладать правами собственности на актив, но он несет ответствен

ность за его получение, разработку, поддержку, использование и безопасность. Чаще всего владелец

актива является наиболее подходящим лицом, способным определить реальную ценность актива для орга

низации (см. 8.2.2 на предмет определения ценности активов).

Границей анализа является периметрактивоворганизации, управляемый врамках процесса менедж

мента риска ИБ.

Более подробную информацию об определении активов и их ценности в части ИБ можно найти в

приложении В.

Выходные данные. Перечень активов, подлежащих менеджменту риска, и перечень бизнес-процес

сов. связанных с активами, а также их значимость.

8.2.1.3 Определение угроз

Входные данные. Информация об угрозах, полученная в результате анализа инцидента от владель

цев активов, пользователей, а также из других источников, включая списки внешних угроз.

Действие. Угрозы и их источники должны быть определены [связано с ИСО/МЭК 27001. пункт 4.2.1,

перечисление d) 2)].

Руководство по реализации. Угроза может причинить ущерб активам организации, таким как инфор

мация, процессы и системы. Угрозы могут возникать в результате природных явлений или действий людей,

они могут быть случайными или умышленными. Должны быть установлены и случайные, и преднамерен

ные источники угроз. Угрозы могут проистекать как из самой организации, так и из источника вне ее преде

лов. Угрозы должны определяться в общем и по виду (например неавторизованные действия, физический

ущерб, технические сбои), а затем, где это уместно, отдельные угрозы определяются внутри родового

класса. Это означает, что ни одна угроза, включая неожиданные угрозы, не будет упущена, но объем

требуемой работы, несмотря наэто. сокращается.

Некоторые угрозы могут влиять более чем на один актив. В таких случаях они могут быть причиной

различных влияний в зависимости от того, на какие активы оказывается воздействие.

Входные данные для определения и количественной оценки вероятности возникновения угроз

(см. 8.2.2.3) могут быть получены от владельцев активов или пользователей, персонала отдела кадров,

руководства организации и специалистов в области ИБ, экспертов в области физической безопасности,

специалистов юридического отдела и других структур, а также от юридических организаций, метеорологи

ческих служб, страховых компаний, национальных правительственных учреждений. При анализе угроз

должны учитываться аспекты среды и культуры.

Опыт, извлеченный из инцидентов, и предыдущие оценки угроздолжны быть учтены в текущей оцен

ке. При необходимости для заполнения перечня общих угроз может быть целесообразным справиться в

других реестрах угроз (возможно, специфичныхдля конкретной организации или бизнеса). Списки угроз

и их статистику можно получить от промышленных предприятий, федерального правительства,

юридичес ких организаций, страховых компаний и т. д.