ГОСТ Р ИСО/МЭК 27005-2010; Страница 43

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53994.2.11-2010 Автоматические электрические управляющие устройства бытового и аналогичного назначения. Часть 2.11. Частные требования к регуляторам энергии Automatic electrical controls for household and similar use. Part 2.11. Particular requirements for energy regulators (Настоящий стандарт устанавливает требования к регуляторам энергии для использования в, на или во взаимодействии с оборудованием для бытового и аналогичного применения, включая электрические управляющие устройства для нагрева, кондиционирования воздуха и аналогичного применения. В оборудовании можно использовать электричество, газ, нефтепродукты, твердое топливо, солнечную тепловую энергии и пр. или их комбинацию. Настоящий стандарт не применяют к регуляторам энергии, предназначенным исключительно для промышленного использования. Регуляторы энергии для приборов, не предназначенных для бытового использования, но которые, тем не менее, могут быть источником опасности для людей, например приборы, используемые неспециалистами в магазинах, в легкой промышленности и на фермах, входят в область распространения настоящего стандарта) ГОСТ Р ИСО 10485-2010 Испытание гаек пробной нагрузкой на конической шайбе Cone proof load test on nuts (Настоящий стандарт устанавливает метод испытания пробной нагрузкой на конической шайбе для гаек:. - с номинальным диаметром резьбы d от 5 до 39 мм включительно;. - классов точности А и В;. - классов прочности от 8 до 12) ГОСТ Р 53957-2010 Икра лососевая зернистая пастеризованная. Технические условия Pasteurized grained salmon caviare. Specifications (Настоящий стандарт распространяется на пастеризованную зернистую лососевую икру)

Страница 43

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27005—2010

Приложение Е

(справочное)

Подходы к оценке риска информационной безопасности

Е.1 Высокоуровневая оценка риска информационной безопасности

Высокоуровневая оценка дает возможность определять приоритеты и хронологию действий. По разным

причинам, например, бюджетным, одновременная реализация всех мер и средств контроля и управления не

всегда возможна, и с помощью процесса обработки риска могут рассматриваться только наиболее критичные

риски. Также может быть преждевременным начинать детальный менеджмент риска, если реализация предус

матривается только через год или два. Для достижения этой цели высокоуровневая оценка может начаться с

высокоуровневой оценки последствий, а не с систематического анализа угроз, уязвимостей, активов и послед

ствий.

Причиной начать с высокоуровневой оценки является синхронизация с другими планами, связанными с

управлением изменениями (или обеспечением непрерывности бизнеса). Например не имеет смысла обеспечи

вать полную защиту системы или приложения, если в ближайшем будущем плакируется привлечь для работы с

ними внешние ресурсы, хотя, возможно, стоит выполнить оценку риска, чтобы определить целесообразность

заключения договора о привлечении внешних ресурсов.

Особенности итерации высокоуровневой оценки риска могут включать следующее.

Высокоуровневая оценка риска может быть связана с более глобальным рассмотрением организации и ее

информационных систем, когда технологические аспекты рассматриваются как независимые от проблем бизне са.

В результате этого анализ контекста больше сосредотачивается на бизнес- и эксплуатационной среде, чем на

технологических компонентах.

Высокоуровневая оценка риска может быть связана с более ограниченным перечнем угроз и уязвимостей,

сгруппированных в определенных сферах, или для ускорения процесса она может сосредотачиваться на сцена

риях риска или нападений вместо их компонентов.

Риски, представленные в высокоуровневой оценке риска, часто носят более общий характер, чем конкретно

идентифицированные риски. Когда сценарии или угрозы группируются в сферы, обработка риска предлагает

перечни мер и средств контроля и управления для конкретной сферы. Деятельность по обработке риска затем

стремится, прежде всего, предложить и выбрать общие меры и средства контроля и управления, являющиеся

действенными во всей системе.

Вследствие того, что при использовании высокоуровневой оценки риска редко рассматриваются технологи

ческие детали, она более уместна для обеспечения организационных и нетехнических средств контроля, а также

аспектов менеджмента технических средств контроля или ключевых и общих технических защитных мер. таких, как

резервное копирование и антивирусные программы.

Преимущества высокоуровневой оценки риска таковы:

- включение первоначального простого подхода, вероятно, необходимо для одобрения программы оценки

риска;

- должно быть возможным создание стратегической картины программы обеспечения безопасности орга

низации. т. е. она будет действовать как хорошая помощь в планировании:

- ресурсы и денежные средства могут быть применены там. где они наиболее полезны, и системы, вероят

но. больше всего нуждающиеся взащите, будут рассмотрены первыми.

Поскольку первоначальные анализы риска выполняются на высоком уровне и потенциально могут быть

менее точными, единственный возможный недостаток состоит в том. что некоторые бизнес-процессы или систе мы

не могут быть определены как нуждающиеся во вторичной, более детальной оценке риска. Этого можно

избежать, если существует адекватная информация обо всех аспектах организации, ее информации и системах,

включая информацию, полученную в результате оценка инцидентов ИБ.

При использовании высокоуровневой оценки риска рассматривается ценность для бизнеса информацион

ных активов и риски с точки зрения бизнеса организации. В первой точке принятия решения (см. рисунок 1)

несколько факторов помогают вопределении того, является ли высокоуровневая оценка адекватной для обработ

ки риска; этими факторами могут быть:

- бизнес-цели, которые должны быть достигнуты посредством использования различных информационных

активов;

- степень зависимости бизнеса организации от каждого информационного актива, т. е.. являются ли функ

ции. которые организация считает критичными для своего выживания или эффективного ведения бизнеса, зави

сящими от каждого актива или от конфиденциальности, целостности, доступности, неотказуемости. учетности.

подлинности и надежности информации, хранящейся и обрабатываемой в данном активе:

- уровень инвестиций в каждый информационный актив с точки зрения разработки, поддержки или замены

актива;

- информационные активы, которым организация напрямую присваивает ценность.