ГОСТ Р ИСО/МЭК 27005-2010; Страница 22

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53994.2.11-2010 Автоматические электрические управляющие устройства бытового и аналогичного назначения. Часть 2.11. Частные требования к регуляторам энергии Automatic electrical controls for household and similar use. Part 2.11. Particular requirements for energy regulators (Настоящий стандарт устанавливает требования к регуляторам энергии для использования в, на или во взаимодействии с оборудованием для бытового и аналогичного применения, включая электрические управляющие устройства для нагрева, кондиционирования воздуха и аналогичного применения. В оборудовании можно использовать электричество, газ, нефтепродукты, твердое топливо, солнечную тепловую энергии и пр. или их комбинацию. Настоящий стандарт не применяют к регуляторам энергии, предназначенным исключительно для промышленного использования. Регуляторы энергии для приборов, не предназначенных для бытового использования, но которые, тем не менее, могут быть источником опасности для людей, например приборы, используемые неспециалистами в магазинах, в легкой промышленности и на фермах, входят в область распространения настоящего стандарта) ГОСТ Р ИСО 10485-2010 Испытание гаек пробной нагрузкой на конической шайбе Cone proof load test on nuts (Настоящий стандарт устанавливает метод испытания пробной нагрузкой на конической шайбе для гаек:. - с номинальным диаметром резьбы d от 5 до 39 мм включительно;. - классов точности А и В;. - классов прочности от 8 до 12) ГОСТ Р 53957-2010 Икра лососевая зернистая пастеризованная. Технические условия Pasteurized grained salmon caviare. Specifications (Настоящий стандарт распространяется на пастеризованную зернистую лососевую икру)

Страница 22

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27005—2010

торинга информационной системы и осуществлении незамедлительныхдействий по прекращению атаки,

прежде чем она приведет копределенному уровню ущерба.

Следует заметить, что может быть возможным перенести ответственностьза менеджмент рисха, но,

как правило, невозможно перенести ответственность за ущерб. Клиенты обычно воспринимают неблагоп

риятное влияние ущерба как ошибкуорганизации.

10 Принятие риска информационной безопасности

Входные данные. Наличие плана обработки риска и оценки остаточного риска является необходи

мым условием решения руководства организации о принятии риска.

Действие. Должно быть принято решение о принятии рисков и установлена ответственность за это

решение, что должно быть официально зарегистрировано [это связано с ИСО/МЭК 27001, пункт 4.2.1,

перечисление h)].

Руководство по реализации. В планах обработки рисковдолжен быть описан способ оценки рисков,

которые следует обрабатывать, для того чтобы соответствовать критериям принятия рисков (см. 7.2 «Ос

новные критерии»). Важно, чтобы ответственные руководители проверяли и поддерживали предлагаемые

планы обработки рисков и вытекающие из них остаточные риски, а также регистрировали все условия,

связанные с такой поддержкой.

Критерии принятия риска могут быть более многогранными, чем только определение того, находится

ли остаточный риск выше или ниже единого порогового значения.

В некоторыхслучаях уровеньостаточного риска может не соответствовать критериям принятия рис

ка. поскольку применяемые критерии не учитывают превалирующих обстоятельств. Например, может быть

доказано, что необходимо принимать риски по причине привлекательности выгод или по причине

значи тельных расходов, связанныхсо снижением риска. Такие обстоятельства показывают, что критерии

приня тия риска неадекватны и должны быть по возможности пересмотрены. Однако не всегда бывает

возмож ным пересмотреть критерии принятия риска своевременно. В таких случаях руководители,

принимающие решения, могут быть обязаны принять риски, которые не соответствуют стандартным

критериям принятия рисков. Если это необходимо, руководитель, принимающий решение, должен дать

комментарий, касаю щийся рисков, с обоснованием решения, выходящего за рамки стандартного

критерия принятия рисков.

Выходные данные. Перечень принятых рисков с обоснованием рисков, не соответствующих стан

дартным критериям принятия риска организации.

11 Коммуникация риска информационной безопасности

Входные данные. Вся информация о рисках, полученная в результатедеятельности по менеджменту

риска (см. рисунок 1).

Действие. Должен осуществляться обмен информацией о риске или ее совместное использование

лицом, принимающим решение, и другими причастными сторонами.

Руководство по реализации. Коммуникация риска представляет собой деятельность, связанную с

достижением соглашения о том. как осуществлять менеджмент риска путем обмена и/или совместного

использования информации о риске лицами, принимающими решения, и другими причастными сторонами.

Информация включает в себя наличие, характер, форму, вероятность, серьезность, обработку и приемле

мость рисков, но этими факторами не ограничивается.

Эффективная коммуникация между причастными сторонами имеет большое значение, поскольку

она может оказывать существенное влияние на решения, которые должны быть приняты. С помощью ком

муникации сотрудники, отвечающие за осуществление менеджмента риска, и лица, относящиеся к заинте

ресованным кругам,достигают понимания основы, на которой принимаются решения, и причины необходи

мости выполнения определенныхдействий. Коммуникация являетсядвунаправленным процессом.

Осознание риска может быть разным из-за различий в предположениях, понятиях, потребностях,

проблемах и беспокойствах причастных сторон, связанных с риском или обсуждаемыми проблемами.

Причастные стороны, как правило, выносят суждения о приемлемости риска на основе своего осознания

риска. Поэтомуочень важно обеспечить, чтобы осознание риска причастными сторонами, а также осозна

ние ими выгод могло быть определено и документировано, а лежащие воснове причины были четко поня ты

и учтены.