ГОСТ Р ИСО/МЭК 27005-2010; Страница 15

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53994.2.11-2010 Автоматические электрические управляющие устройства бытового и аналогичного назначения. Часть 2.11. Частные требования к регуляторам энергии Automatic electrical controls for household and similar use. Part 2.11. Particular requirements for energy regulators (Настоящий стандарт устанавливает требования к регуляторам энергии для использования в, на или во взаимодействии с оборудованием для бытового и аналогичного применения, включая электрические управляющие устройства для нагрева, кондиционирования воздуха и аналогичного применения. В оборудовании можно использовать электричество, газ, нефтепродукты, твердое топливо, солнечную тепловую энергии и пр. или их комбинацию. Настоящий стандарт не применяют к регуляторам энергии, предназначенным исключительно для промышленного использования. Регуляторы энергии для приборов, не предназначенных для бытового использования, но которые, тем не менее, могут быть источником опасности для людей, например приборы, используемые неспециалистами в магазинах, в легкой промышленности и на фермах, входят в область распространения настоящего стандарта) ГОСТ Р ИСО 10485-2010 Испытание гаек пробной нагрузкой на конической шайбе Cone proof load test on nuts (Настоящий стандарт устанавливает метод испытания пробной нагрузкой на конической шайбе для гаек:. - с номинальным диаметром резьбы d от 5 до 39 мм включительно;. - классов точности А и В;. - классов прочности от 8 до 12) ГОСТ Р 53957-2010 Икра лососевая зернистая пастеризованная. Технические условия Pasteurized grained salmon caviare. Specifications (Настоящий стандарт распространяется на пастеризованную зернистую лососевую икру)

Страница 15

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27005—2010

Руководство по реализации. Уязвимости могут быть выявлены в следующих областях.

- организация работ:

- процессы и процедуры;

- установившийся порядок управления;

- персонал;

- физическая среда;

- конфигурация информационной системы;

- аппаратные средства, программное обеспечение и аппаратура связи;

- зависимость от внешних сторон.

Наличие уязвимости само по себе не наносит ущерба, поскольку необходимо наличие угрозы, кото

рая сможет воспользоваться ею. Для уязвимости, которой не соответствует определенная угроза, может

не потребоваться внедрение средства контроля и управления, но она должна осознаваться и подвергаться

мониторингу на предмет изменений. Следует отметить, что неверно реализованное, неправильно функци

онирующее или неправильно используемое сродство контроля и управления само может стать уязвимо

стью. Меры и средства контроля и управления могут быть эффективными или неэффективными в зависи

мости от среды, в которой они функционируют. Сдругой стороны, угроза, которой не соответствует опреде

ленная уязвимость, может не приводить к риску.

Уязвимости могут быть связаны со свойствами актива. Способ и цели использования актива могут

отличаться от планируемых при приобретении или создании актива. Необходимо учитывать уязвимости,

возникающие из разных источников, например те. которые являются внешними или внутренними по отно

шению к активу.

Примеры уязвимостей и методы ихоценки можно найти в приложении D.

Выходные данные. Перечень уязвимостей, связанных с активами, угрозами и мерами и средствами

контроля и управления; перечень уязвимостей, не связанных с выявленной угрозой, подлежащей рас

смотрению.

8.2.1.6 Определение последствий

Входные данные. Перечень активов, бизнес-процессов, угроз и уязвимостей, где это уместно, свя

занных с активами, и их значимость.

Действие. Должны быть определены последствия для активов, вызванные потерей конфиденциаль

ности. целостности и доступности [см. ИСО/МЭК 27001. пункт 4.2.1. перечисление d) 4)].

Руководство по реализации. Последствием может быть снижение эффективности, неблагоприятные

операционные условия, потеря бизнеса, ущерб, нанесенный репутации и т. д.

Эта деятельность определяет ущерб или последствия для организации, которые могут быть обуслов

лены сценарием инцидента. Сценарий инцидента — это описание угрозы, использующей определенную

уязвимость или совокупность уязвимостей в инциденте ИБ (см. ИСО/МЭК 27002, раздел 13). Влияние сце

нариев инцидентов обусловливается критериями влияния, определяемыми в течениедеятельности по ус

тановлению контекста. Влияние может затрагивать один или несколько активов, а также часть актива.

Поэтому активам может назначаться ценность, обусловленная как их финансовой стоимостью, так и по

следствиями для бизнеса в случае их порчи или компрометации. Последствия могут быть временными или

постоянными, как это бывает в случае разрушения активов.

П р и м е ч а н и е — В ИСО/МЭК 27001 описывается происхождение сценариев инцидентов как «недостат

ков безопасности».

Организации должны определять операционные последствия сценариев инцидентов наоснове (ноне

ограничиваясь);

- времени на расследование и восстановление;

- потерь (рабочего) времени;

- упущенной возможности;

- охраны труда и безопасности;

- финансовых затрат на приобретение специфических навыков, необходимых для устранения неисп

равности;

- репутации и иного «неосязаемого капитала».

Подробности, касающиеся оценки технических уязвимостей, можно найти в В.З (приложение В).

Выходные данные. Перечень сценариев инцидентов с их последствиями, связанными с активами и

бизнес-процессами.