ГОСТ Р ИСО/МЭК 27005-2010; Страница 16

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53994.2.11-2010 Автоматические электрические управляющие устройства бытового и аналогичного назначения. Часть 2.11. Частные требования к регуляторам энергии Automatic electrical controls for household and similar use. Part 2.11. Particular requirements for energy regulators (Настоящий стандарт устанавливает требования к регуляторам энергии для использования в, на или во взаимодействии с оборудованием для бытового и аналогичного применения, включая электрические управляющие устройства для нагрева, кондиционирования воздуха и аналогичного применения. В оборудовании можно использовать электричество, газ, нефтепродукты, твердое топливо, солнечную тепловую энергии и пр. или их комбинацию. Настоящий стандарт не применяют к регуляторам энергии, предназначенным исключительно для промышленного использования. Регуляторы энергии для приборов, не предназначенных для бытового использования, но которые, тем не менее, могут быть источником опасности для людей, например приборы, используемые неспециалистами в магазинах, в легкой промышленности и на фермах, входят в область распространения настоящего стандарта) ГОСТ Р ИСО 10485-2010 Испытание гаек пробной нагрузкой на конической шайбе Cone proof load test on nuts (Настоящий стандарт устанавливает метод испытания пробной нагрузкой на конической шайбе для гаек:. - с номинальным диаметром резьбы d от 5 до 39 мм включительно;. - классов точности А и В;. - классов прочности от 8 до 12) ГОСТ Р 53957-2010 Икра лососевая зернистая пастеризованная. Технические условия Pasteurized grained salmon caviare. Specifications (Настоящий стандарт распространяется на пастеризованную зернистую лососевую икру)

Страница 16

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27005—2010

8.2.2 Установление значения2’ риска

8.2.2.1 Методология установления значения риска

Анализ риска может быть выполнен с различной степеньюдетализации в зависимости от критичности

активов, распространенности известных уязвимостей и прежних инцидентов, касавшихся организации. Ме

тодология установления значения риска может быть качественной, количественной, или комбинированной, в

зависимости от обстоятельств. На практике установление качественного значения часто используется

вначале для получения общих сведений об уровне риска и выявления основных значений рисков. По

зднее может возникнуть необходимость в осуществлении более специфичногоустановления количествен

ного анализа основных значений рисхов. посколькуобычно выполнение качественного анализа по сравне

нию с количественным является менее сложным и затратным.

Форма анализа должна согласовываться с критериями оценки риска, разработанными какчасть уста

новления контекста.

Далее более подробно описываютсядетали методолоши установления значения риска.

Для установления качественного значения используется шкала квалификации атрибутов, с помо

щью которой описываются величины возможных последствий (например низкий, средний и высокий)

и вероятности возникновения этих последствий. Преимущество установления качественного значения за

ключается в доступности для понимания всем соответствующим персоналом, а недостатком — зависи

мость от субъективного выбора шкалы.

Такие шкалы могут бытьадаптированы или скорректированы в соответствии собстоятельствами,для

разных рисков могут использоваться разные описания. Установление качественного значения может ис

пользоваться:

- как начальная деятельность по тщательной проверке дпя идентификации рисков, требующих более

детального анализа;

- там. где этот вид анализа способствует принятию решения;

- там. где числовые данные или ресурсы являются неадекватными для установления количествен

ного значения.

Качественный анализ должен использовать фактическую информацию и доступные данные.

Для установления количественной оценки используется шкала с числовыми значениями (а не описа

тельные шкалы, используемые при установлении качественного значения) как последствий, так и вероят

ности. с применением данных из различных источников. Качество анализа зависит от точности и полноты

числовых значений и от обоснованности используемых моделей. В большинстве случаев для установле ния

количественного значения используются фактические данные за прошедший период. Преимущество

заключается в том, что установление количественного значения может быть напрямую связано с целями

информационной безопасности и проблемами организации. Недостатки количественного подхода могут

иметь место, когда фактические проверяемые данные недоступны, поэтому создается иллюзия ценности и

точности установления количественного значения риска.

Способ выражения последствий риска и вероятности его возникновения, а также способы их комби

нирования для получения информации об уровне риска изменяются в зависимости от вида риска и цели,

для достижения которойдолжны использоваться выходныеданные оценки риска. При анализе риска сле

дует учитывать неопределенность и изменяемость последствий риска, а также вероятность его возникно

вения и сообщать о них эффективным образом.

8.2.2.2 Оценка последствий

Входные данные. Перечень определенных значимых сценариев инцидентов, включая выявление уг

роз. уязвимостей и затронутых активов, а также последствий для активов и бизнес-процессов.

Действие. Должно быть оценено влияние на бизнес организации, которое может быть результатом

предполагаемых или фактических инцидентов ИБ с учетом последствий нарушения ИБ, таких, как потеря

конфиденциальности, целостности или доступности активов (связано с ИСО/МЭК 27001,4.2.1, перечисле

ние е) 1)].

Руководство по реализации. После определения всех проверяемых активов, присвоенная им цен

ностьдолжна учитываться при оценке последствий.

Контекст настоящего пункта стандарта требует использования термина «установление значения риска»

(risk estimation), отличного от термина «количественная оценка риска» (risk estimation), определенного

ГОСТ Р 51897.