ГОСТ Р ИСО/МЭК 27005-2010; Страница 17

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53994.2.11-2010 Автоматические электрические управляющие устройства бытового и аналогичного назначения. Часть 2.11. Частные требования к регуляторам энергии Automatic electrical controls for household and similar use. Part 2.11. Particular requirements for energy regulators (Настоящий стандарт устанавливает требования к регуляторам энергии для использования в, на или во взаимодействии с оборудованием для бытового и аналогичного применения, включая электрические управляющие устройства для нагрева, кондиционирования воздуха и аналогичного применения. В оборудовании можно использовать электричество, газ, нефтепродукты, твердое топливо, солнечную тепловую энергии и пр. или их комбинацию. Настоящий стандарт не применяют к регуляторам энергии, предназначенным исключительно для промышленного использования. Регуляторы энергии для приборов, не предназначенных для бытового использования, но которые, тем не менее, могут быть источником опасности для людей, например приборы, используемые неспециалистами в магазинах, в легкой промышленности и на фермах, входят в область распространения настоящего стандарта) ГОСТ Р ИСО 10485-2010 Испытание гаек пробной нагрузкой на конической шайбе Cone proof load test on nuts (Настоящий стандарт устанавливает метод испытания пробной нагрузкой на конической шайбе для гаек:. - с номинальным диаметром резьбы d от 5 до 39 мм включительно;. - классов точности А и В;. - классов прочности от 8 до 12) ГОСТ Р 53957-2010 Икра лососевая зернистая пастеризованная. Технические условия Pasteurized grained salmon caviare. Specifications (Настоящий стандарт распространяется на пастеризованную зернистую лососевую икру)

Страница 17

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27005—2010

Значение влияния на бизнес может быть выражено в качественной или количественной формах. Тем

не менее более наглядным является метод присвоения денежного выражения, который, как правило, дает

больше информации для принятия решений и. следовательно, делает процесс принятия решений более

эффективным.

Определение ценности активов начинается с классификации активов в соответствии с их критичнос

тью сточки зрения важности активовдля осуществления бизнес-целей организации. Затем ценность акти

вов определяется с использованием двух мер:

- восстановительной стоимости актива — стоимости его очистки с целью восстановления и замены

информации (если это возможно);

- последствийдля бизнеса от потери или компрометации актива, например возможные неблагоприят

ные последствия для бизнеса и/или законодательные или регулирующие последствия раскрытия, моди

фикации. недоступности и/или разрушения информации, а такжедругих информационных активов.

Это определение ценности может быть установлено на основеанализа влияния на бизнес. Ценность,

определяемая последствиями для бизнеса, обычно значительно выше просто восстановительной стоимо

сти и зависит от значимости актива для организации при выполнении ее бизнес-целей.

Определение ценности активов является ключевым фактором оценки влияния сценария инцидента,

поскольку инцидент может затрагивать более одного актива (например, зависимые активы), или только

часть актива. Различные угрозы и уязвимости могут иметь различное влияние на активы, например потеря

конфиденциальности, целостности и доступности. Поэтому оценка последствий связана с определением

ценности активов или становится связанной, исходя из анализа влияния на бизнес.

Последствия или влияние на бизнесмогут определяться путем моделирования результатов события

или совокупности событий, экстраполяции экспериментальных исследований или данных за прошедшее

время.

Последствия могут быть выражены с помощью денежных, технических персональных критериев вли

яния или других критериев, значимых для организации. В отдельных случаях для определения послед

ствий. различающихся по времени, месту, группам или ситуациям, требуется более одного цифрового

значения.

Последствия, различающиеся по времени или финансам, должны измеряться с использованием

того же подхода, который применяется вотношении вероятности угрозы и уязвимости. Должна поддержи

ваться последовательность количественного или качественного подхода.

В приложении В приводится более подробная информация, касающаяся определения ценности акти

вов и оценки влияния.

Выходные данные. Перечень оцененных последствий сценария инцидентов, выраженных с учетом

активов и критериев влияния.

8.2.2.3 Оценка вероятности инцидента

Входные данные Перечень определенных значимых сценариев инцидентов, включая определение

угроз, затрагиваемые активы, используемые уязвимости и последствия для активов и бизнес-процессов.

Кроме того, перечни всех существующих и планируемых мер и средств контроля и управления, уровень

их эффективности, реализации и использования.

Действие. Должна быть оценена вероятность действия сценариев инцидентов (связано с ИСО/

МЭК 27001. пункт 4.2.1. перечисление е) 2)].

Руководство по реализации. После определения сценариев инцидентов необходимо оценить вероят

ность действия каждого сценария и его влияние с использованием качественного или количественного

метода установления значения. Необходимо принимать во внимание частоту возникновения угроз и про

стоту использования уязвимости, с учетом:

- опыта и соответствующей статистики вероятности возникновения угроз:

- для источников умышленных угроз— мотивации и возможности, которые будут меняться с течени

ем времени, ресурсов, доступныхдля потенциальных нарушителей, а также восприятия потенциальным

нарушителем привлекательности и уязвимости активов;

- для источников случайных угроз — территориальных факторов, например близость к химическому

или нефтеперерабатывающему заводу, возможность экстремальных погодных условий и факторов, кото

рые могут вызывать ошибки персонала и сбои оборудования;

- уязвимостей какотдельных, так и в совокупности;

- существующих мер и средств контроля и управления и того, насколько эффективно они снижают

уязвимости.