ГОСТ Р ИСО/МЭК 27005-2010; Страница 18

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53994.2.11-2010 Автоматические электрические управляющие устройства бытового и аналогичного назначения. Часть 2.11. Частные требования к регуляторам энергии Automatic electrical controls for household and similar use. Part 2.11. Particular requirements for energy regulators (Настоящий стандарт устанавливает требования к регуляторам энергии для использования в, на или во взаимодействии с оборудованием для бытового и аналогичного применения, включая электрические управляющие устройства для нагрева, кондиционирования воздуха и аналогичного применения. В оборудовании можно использовать электричество, газ, нефтепродукты, твердое топливо, солнечную тепловую энергии и пр. или их комбинацию. Настоящий стандарт не применяют к регуляторам энергии, предназначенным исключительно для промышленного использования. Регуляторы энергии для приборов, не предназначенных для бытового использования, но которые, тем не менее, могут быть источником опасности для людей, например приборы, используемые неспециалистами в магазинах, в легкой промышленности и на фермах, входят в область распространения настоящего стандарта) ГОСТ Р ИСО 10485-2010 Испытание гаек пробной нагрузкой на конической шайбе Cone proof load test on nuts (Настоящий стандарт устанавливает метод испытания пробной нагрузкой на конической шайбе для гаек:. - с номинальным диаметром резьбы d от 5 до 39 мм включительно;. - классов точности А и В;. - классов прочности от 8 до 12) ГОСТ Р 53957-2010 Икра лососевая зернистая пастеризованная. Технические условия Pasteurized grained salmon caviare. Specifications (Настоящий стандарт распространяется на пастеризованную зернистую лососевую икру)

Страница 18

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27005—2010

Например, информационная система может иметь уязвимость по отношению к угрозам имитации лич

ности пользователя и злоупотреблению ресурсами. Уязвимость, связанная с имитацией личности пользо

вателя. может быть высокой из-за отсутствия аутентификации пользователей. С другой стороны, вероят

ность злоупотребления ресурсами может быть низкой, несмотря на отсутствие аутентификации пользова

телей. поскольку способы злоупотребления ресурсами ограничены.

В зависимости от требуемой точности активы могут быть сгруппированы или разбиты на элементы,

и может возникать необходимость соотнесения сценариев с элементами. Например в зависимости от мес

тоположения характер угроз в отношении одних и тех же видов активов может меняться или может разли

чаться эффективность существующих мер и средств контроля и управления.

Выходныеданные. Вероятностьдействия сценариев инцидентов (в количественном или качествен

ном выражении).

8.2.2.4 Установление значений уровня рисков

Входные данные. Переченьсценариев инцидентов с их последствиями, касающимися активов и биз

нес-процессов, и их вероятность (в количественном или качественном выражении).

Действие. Должны быть установлены значения уровня рисков для всех значимых сценариев инци

дентов [связано с ИСО/МЭК 27001, пункт 4.2.1, перечисление е) 4)].

Руководство по реализации. При установлении значений рисков присваиваются значения вероятнос

ти возникновения риска и его последствий. Эти значения могут быть выражены качественно или количе

ственно. Установление значений рисков основывается на оцененных последствиях и их вероятности. Кро

ме того, оно может также учитывать стоимость и эффективность, проблемы причастных сторон и другие

переменные, используемые при оценке риска. Установленное значение риска является комбинацией зна

чений вероятности сценария инцидента и его последствий.

В приложении Е приводятся примеры различных методов и подходов к установлению значения рис

ков ИБ.

Выходные данные. Перечень рисков с уровнями присвоенных значений.

8.3 Оценка риска

Входные данные. Перечень рисков с уровнями присвоенных значений и критериями оценки риска.

Действие. Должны сравниваться уровни рисков с критериями оценки рисков и критериями принятия

рисков [связано с ИСО/МЭК 27001, пункт 4.2.1, перечисление е) 4)).

Руководство по реализации. Характер решений, связанных с оценкой рисков, и критерии оценки рис

ков. которые будут использованы для принятия этих решений, должны определяться при установлении

контекста. Эти решения и контекстдолжны болеедетально анализироваться наэтапе получения большего

объема информации о конкретных идентифицированных рисках. Для оценки рисков организация должна

сравнивать установленные значения рисков (с использованием выбранных методов, рассматриваемых в

приложении Е) с критериями оценки риска, выбранными на этапе установления контекста.

Критерии оценки риска, используемые для принятия решений, должны согласовываться с опреде

ленным внешним и внутренним контекстом менеджмента риска ИБ и учитывать цели организации, мнения

причастных сторон и т. д. Решения, связанные с оценкой риска, обычно основываются на приемлемом

уровне риска. Однако также должны учитываться последствия, вероятность, степень уверенности при

идентификации и анализе риска. Совокупность множества рисков низкого и среднего уровня в итоге может

иметь результатом общий риск более высокого уровня.

При этом необходимо учитывать следующее.

- свойства ИБ — если один критерий не актуален для организации (например, потеря конфиденци

альности). то все риски, влияющие на этот критерий, могут быть также не актуальными;

- значимость бизнес-процесса или деятельности, поддерживаемых конкретным активом или совокуп

ностью активов, если процесс определен как имеющий низкую значимость, связанным с ним рискам сле

дует уделять меньше внимания, чем рискам, влияющим на более важные процессы или деятельность.

Оценка риска основывается на понимании риска, полученном при анализе риска, и используется при

принятии решений о будущих действиях. Решения должны включать в себя следующее;

- необходимость в некой деятельности;

- приоритеты при обработке риска с учетом установленных значений уровней рисков.

На стадии оценки риска вдополнение к рискам с установленными значениями должны приниматься

в расчет договорные, юридические и нормативные требования.

Выходныеданные. Переченьрисков сназначенными приоритетами всоответствии с критериями оценки

рисков, касающимися сценариев инцидентов, которые приводят кэтим рискам.