ГОСТ Р ИСО/МЭК 27005-2010; Страница 14

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53994.2.11-2010 Автоматические электрические управляющие устройства бытового и аналогичного назначения. Часть 2.11. Частные требования к регуляторам энергии Automatic electrical controls for household and similar use. Part 2.11. Particular requirements for energy regulators (Настоящий стандарт устанавливает требования к регуляторам энергии для использования в, на или во взаимодействии с оборудованием для бытового и аналогичного применения, включая электрические управляющие устройства для нагрева, кондиционирования воздуха и аналогичного применения. В оборудовании можно использовать электричество, газ, нефтепродукты, твердое топливо, солнечную тепловую энергии и пр. или их комбинацию. Настоящий стандарт не применяют к регуляторам энергии, предназначенным исключительно для промышленного использования. Регуляторы энергии для приборов, не предназначенных для бытового использования, но которые, тем не менее, могут быть источником опасности для людей, например приборы, используемые неспециалистами в магазинах, в легкой промышленности и на фермах, входят в область распространения настоящего стандарта) ГОСТ Р ИСО 10485-2010 Испытание гаек пробной нагрузкой на конической шайбе Cone proof load test on nuts (Настоящий стандарт устанавливает метод испытания пробной нагрузкой на конической шайбе для гаек:. - с номинальным диаметром резьбы d от 5 до 39 мм включительно;. - классов точности А и В;. - классов прочности от 8 до 12) ГОСТ Р 53957-2010 Икра лососевая зернистая пастеризованная. Технические условия Pasteurized grained salmon caviare. Specifications (Настоящий стандарт распространяется на пастеризованную зернистую лососевую икру)

Страница 14

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27005—2010

Используя списки угроз или результаты предыдущих оценок угроз, не следует забывать о том. что

происходит постоянная смена значимых угроз, особенно, если изменяются бизнес-среда или информаци

онные системы.

Более подробную информацию о типах угроз можно найти в приложении С.

Выходные данные. Перечень угроз с определением их вида и источника.

8.2.1.4 Определение существующих мер и средств контроля и управления

Входные данные. Документация по морам и средствам контроля и управления, планы по реализации

обработки риска.

Действие. Должны быть определены существующие и планируемые меры и средства контроля и

управления.

Руководство по реализации. Во избежание лишней работы или расходов, например, при дублирова

нии мер и средств контроля и управления, необходимо определить существующие меры и средства конт

роля и управления. Кроме того, при определении существующих мер и средств контроля и управления

следует провести проверку, чтобы убедиться в правильности функционирования мер и средств контроля и

управления — обращение к существующим отчетам по аудиту СМИБ должны сокращать время, затрачи

ваемое на решение этой задачи. Ненадлежащее функционирование мер и средств контроля и управления

может стать причиной уязвимости. Следует уделить внимание ситуации, когда выбранные меры и средства

контроля и управления (или стратегия) не выполняют своих функций, и для эффективного и своевремен

ного реагирования на идентифицированные риски требуютсядополнительные меры и средства контроля и

управления. В СМИБ. в соответствии с ИСО/МЭК 27001. это поддерживается измерением эффективности

мер и средств контроля и управления. Один из способов количественной оценки действия мер и средств

контроля и управления — выявить, как оно снижает вероятность возникновения угрозы, затрудняет ис

пользование уязвимости и возможности влияния инцидента. Проверки, проводимые руководством, и отче

ты по аудиту также обеспечивают информацию об эффективности существующих мор и средств контроля

и управления.

Меры и средства контроля и управления, которые планируется реализовать всоответствии с плана

ми реализации обработки риска, должны быть определены тем же самым способом, который уже был

реализован.

Существующие или планируемые меры и средства контроля и управления могут быть отнесены к

разряду неэффективных, недостаточных или необоснованных. Если их посчитали необоснованными или

недостаточными, меру и средство контроля и управления необходимо подвергнуть проверке, чтобы опре

делить, подлежат ли они удалению, замене более подходящими, или стоит оставить их, например из

соображений стоимости.

Для определения существующих или планируемых мер и средств контроля и управления могут быть

полезны следующие мероприятия:

- просмотрдокументов, содержащих информацию о средствах контроля (например, планы обработки

рисков), если процессы менеджмента ИБ документированы должным образом, то информация о всех су

ществующих или планируемых мерах и средствах контроля и управления, а также о состоянии их реали

зации должна бытьдоступна;

- проверка, проводимая совместно с сотрудниками, отвечающими за ИБ (например, сотрудником,

занимающимся обеспечением ИБ. сотрудником, отвечающим за безопасность информационной системы,

комендантом здания или руководителем работ) и пользователями, касающаяся того, какие меры и сред

ства контроля и управления действительно реализованы для рассматриваемого информационного процес

са или информационной системы;

- обход здания с целью осмотра физических средств контроля, сравнение существующих средств

контроля с перечнем тех. которыедолжны быть реализованы, и проверка существующих средств контроля

на предмет правильной и эффективной работы;

- рассмотрение результатов внутренних аудитов.

Выходные данные. Перечень всех существующих и планируемых мер и средств контроля и управ

ления. их нахождение и состояние использования.

8.2.1.5 Выявление уязвимостей

Входные данные. Перечни известных угроз, перечни активов и существующих мер и средств контро

ля и управления.

Действие. Необходимо выявитьуязвимости, которые могут быть использованы угрозами для нанесе

ния ущерба активам или организации (связано с ИСО/МЭК 27001, пункт 4.2.1. перечисление d) 3)).