ГОСТ Р ИСО/МЭК 27005-2010; Страница 42

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53994.2.11-2010 Автоматические электрические управляющие устройства бытового и аналогичного назначения. Часть 2.11. Частные требования к регуляторам энергии Automatic electrical controls for household and similar use. Part 2.11. Particular requirements for energy regulators (Настоящий стандарт устанавливает требования к регуляторам энергии для использования в, на или во взаимодействии с оборудованием для бытового и аналогичного применения, включая электрические управляющие устройства для нагрева, кондиционирования воздуха и аналогичного применения. В оборудовании можно использовать электричество, газ, нефтепродукты, твердое топливо, солнечную тепловую энергии и пр. или их комбинацию. Настоящий стандарт не применяют к регуляторам энергии, предназначенным исключительно для промышленного использования. Регуляторы энергии для приборов, не предназначенных для бытового использования, но которые, тем не менее, могут быть источником опасности для людей, например приборы, используемые неспециалистами в магазинах, в легкой промышленности и на фермах, входят в область распространения настоящего стандарта) ГОСТ Р ИСО 10485-2010 Испытание гаек пробной нагрузкой на конической шайбе Cone proof load test on nuts (Настоящий стандарт устанавливает метод испытания пробной нагрузкой на конической шайбе для гаек:. - с номинальным диаметром резьбы d от 5 до 39 мм включительно;. - классов точности А и В;. - классов прочности от 8 до 12) ГОСТ Р 53957-2010 Икра лососевая зернистая пастеризованная. Технические условия Pasteurized grained salmon caviare. Specifications (Настоящий стандарт распространяется на пастеризованную зернистую лососевую икру)

Страница 42

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27005—2010

что некоторые из потенциальных уязвимостей, идентифицированных автоматизированными инструментальны ми

средствами поиска уязвимостей, могут не представлять реальных уязвимостей в контексте системной среды.

Например некоторые из этих средств поиска определяют потенциальные уязвимости, не учитывая среду и требо

вания сайта. Некоторые из уязвимостей, отмеченных автоматизированными инструментальными средствами

поиска уязвимостей, глотутвдействительности не быть уязвимостями для конкретного сайта, а быть сконфигуриро

ванными таким образом, как этого требует среда. Таким образом, этот метод тестирования может давать ошибоч

ные результаты исследования.

Другим методом, который может использоваться для выявления уязвимостей системы ИКТ во время про

цесса оценки риска, является тестирование и оценка безопасности. Он включает всебя разработку и осуществле

ние плана тестирования (например, сценарий тестирования, процедуры тестирования и ожидаемые результаты

тестирования). Цель тестирования безопасности системы состоит в тестировании эффективности мер и средств

контроля и управления безопасности системы ИКТ. которые были применены в операционной среде. Задача

заключается в том. чтобы удостовериться, что применяющиеся меры и средства контроля и управления соответ

ствуют утвержденной спецификации безопасности для программных и аппаратных средств, обеспечивают реали

зацию политики безопасности организации или соответствуют отраслевым стандартам.

Тестирование на проникновение может использоваться как дополнение к проверке мер и средств контроля

и управления безопасности и обеспечение защиты различных аспектов системы ИКТ. Когда тестирование на

проникновение используется в процессе оценки риска, оно может применяться для оценки способности системы

ИКТ противостоять умышленным попыткам обойти защиту системы. Его задача состоит в тестировании системы

ИКТ с точки зрения источника угрозы и выявлении потенциальных сбоев вструктурах защиты системы ИКТ.

Проверка кодов является наиболее тщательным (но также и самым дорогостоящим) способом оценки уяз

вимостей.

Результаты этих видов тестирования безопасности помогут выявить уязвимости системы.

Важно отметить, что методы и средства тестирования на проникновение могут давать ложные результаты,

если уязвимость не была успешно использована. Чтобы использовать конкретную уязвимость, нужно знать точную

систему/приложение/исправления, установленные на тестируемой системе. Если во время тестирования эти дан

ные неизвестны, успешное использование конкретной уязвимости может быть невозможным (например достичь

удаленного обратного соединения), однако по-прежнему возможно взломать или перезапустить тестируемый

процесс или систему. В таком случае тестируемый объект тоже должен считаться уязвимым.

Методы могут включать следующие виды деятельности:

- опрос сотрудников и пользователей;

- анкетирование;

- физический осмотр;

- анализ документов.