ГОСТ Р ИСО/МЭК 27005-2010; Страница 44

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 53994.2.11-2010 Автоматические электрические управляющие устройства бытового и аналогичного назначения. Часть 2.11. Частные требования к регуляторам энергии Automatic electrical controls for household and similar use. Part 2.11. Particular requirements for energy regulators (Настоящий стандарт устанавливает требования к регуляторам энергии для использования в, на или во взаимодействии с оборудованием для бытового и аналогичного применения, включая электрические управляющие устройства для нагрева, кондиционирования воздуха и аналогичного применения. В оборудовании можно использовать электричество, газ, нефтепродукты, твердое топливо, солнечную тепловую энергии и пр. или их комбинацию. Настоящий стандарт не применяют к регуляторам энергии, предназначенным исключительно для промышленного использования. Регуляторы энергии для приборов, не предназначенных для бытового использования, но которые, тем не менее, могут быть источником опасности для людей, например приборы, используемые неспециалистами в магазинах, в легкой промышленности и на фермах, входят в область распространения настоящего стандарта) ГОСТ Р ИСО 10485-2010 Испытание гаек пробной нагрузкой на конической шайбе Cone proof load test on nuts (Настоящий стандарт устанавливает метод испытания пробной нагрузкой на конической шайбе для гаек:. - с номинальным диаметром резьбы d от 5 до 39 мм включительно;. - классов точности А и В;. - классов прочности от 8 до 12) ГОСТ Р 53957-2010 Икра лососевая зернистая пастеризованная. Технические условия Pasteurized grained salmon caviare. Specifications (Настоящий стандарт распространяется на пастеризованную зернистую лососевую икру)

Страница 44

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27005—2010

После того как эти факторы оценены, решение становится проще. Если цели актива крайне важны для

ведения бизнеса организации или если активы имеют высокий уровень риска, то для конкретного информацион

ного актива (или его части) должна быть проведена вторая итерация, детальная оценка риска.

Здесь применяется следующее общее правило: если отсутствие ИБ может привести к значительным небла

гоприятным последствиям для организации, ее бизнес-процессов или ее активов, то необходима вторая итера

ция оценки риска на более детальном уровне для идентификации потенциальных рисков.

Е.2 Детальная оценка риска информационной безопасности

Детальный процесс оценки риска ИБ включает тщательное определение и установление ценности активов,

оценку угроз этим активам иоценку уязвимостей. Результаты этой деятельности используются для оценки рисков, а

затем для определения способа обработки риска.

Детальная последовательность действий обычно требует продолжительного времени, значительных уси

лий и компетентности и поэтому может быть наиболее пригодной для информационных систем с высоким уров

нем риска.

Окончательным этапом детальной оценки риска ИБ является оценка общих рисков, находящаяся в фокусе

данного приложения.

Последствия могут оцениваться несколькими методами, включая количественные, например денежные, и

качественные меры (с использованием таких определений, как «умеренные» или «серьезные») или их комбина

ции. Для оценки вероятности возникновения угрозыдолжны быть установлены временные рамки, в которых актив

будет обладать ценностью или нуждаться в защите. На вероятность возникновения конкретной угрозы оказывают

влияние следующие факторы:

- привлекательность актива или возможное воздействие — применимо при рассмотрении умышленной

угрозы со стороны персонала;

- простота преобразования актива, использующего уязвимость за вознаграждение. — применимо при рас

смотрении умышленной угрозы со стороны персонала;

- технические возможности действующего фактора угрозы — применимо при рассмотрении умышленной

угрозы со стороны персонала;

- чувствительность уязвимости к использованию — применимо к техническим и нетехническим уязвимос

тям.

Во многих методах используются таблицы и объединяются субъективные и эмпирические меры. Важно,

чтобы организация использовала метод, который является для нее наиболее удобным, в котором организация

уверена и который будет обеспечивать повторяемость результатов. Несколько примеров, основанных на табли цах

методов, приведено ниже.

Е.2.1 Пример 1— Таблица с заранее определенными значениями

В методах оценки риска данного вида фактические или предполагаемые физические активы оцениваются

с точки зрения стоимости замены или восстановления (т. е. количественные меры). Эта стоимость затем перево

дится в ту же качественную шкалу, которая используется для информации (см. ниже). Фактические или предпола

гаемые программные активы оцениваются таким же образом, как и физические активы. — определяется сто

имость приобретения или восстановления, а затем переводится в ту же качественную шкалу, которая использует ся

для информации. Кроме того, если считается, что любая прикладная программа имеет собственные присущие ей

требования в отношении конфиденциальности или целостности (например, если исходный текст программы сам

по себе является коммерчески критичным), она оценивается таким же образом, как и информация.

Ценность информации определяется из опросов отдельных представителей бизнес-менеджмента (вла

дельцев информации), которые могут авторитетно судить о данных с целью определения ценности и критичности

фактически используемых данных или данных, которые должны храниться, обрабатываться или оцениваться.

Опросы облегчают оценку значимости и критичности информации с точки зрения сценариев наихудших вариан тов.

возникновение которых можно предполагать исходя из неблагоприятных последствий для бизнеса, обуслов ленных

несанкционированным раскрытием, несанкционированной модификацией, недоступностью в течение различных

периодов времени и разрушением.

Ценность определяется использованием принципов определения ценности информации, которые охва

тывают следующие проблемы:

- личная безопасность:

- личная информация:

- юридические и нормативные обязательства:

-соблюдение законов;

- коммерческие и экономические интересы:

- финансовые потери/нарушение деятельности:

- общественный порядок:

- политика и операции бизнеса;

- потеря «неосязаемого капитала»;

- договор или соглашение с клиентом.