ГОСТ Р ИСО/МЭК 27000-2012; Страница 12

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 55116-2012 Биотопливо твердое. Технические характеристики и классы топлива. Часть 4. Щепа для непромышленного использования (Настоящий стандарт устанавливает технические характеристики и классы качества древесной щепы для непромышленного использования. . Стандарт распространяется на древесную щепу, полученную из следующих видов сырья:. - лесных деревьев и насаждений;. - побочных продуктов и отходов лесоперерабатывающей промышленности;. - использованной древесины) ГОСТ Р 55190-2012 Устройства комплектные распределительные в металлической оболочке (КРУ) на номинальное напряжение до 35 кВ. Общие технические условия (Настоящий стандарт распространяется на комплектные распределительные устройства заводской сборки в металлической оболочке (КРУ) переменного тока с частотой 50 и 60 Гц на номинальные напряжения до 35 кВ включительно для внутренней и наружной установки. Оболочки могут иметь фиксированные и съемные компоненты и могут быть заполнены жидкостью или газом для обеспечения изоляции) ГОСТ Р 55274-2012 Упаковка. Транспортные упаковки для опасных грузов. Упаковки для опасных грузов, контейнеры средней грузоподъемности для насыпных грузов и крупногабаритные упаковки. Руководство по применению ГОСТ Р ИСО 9001-2008 (Настоящий стандарт содержит методические указания по менеджменту качества применительно к изготовлению, измерению и мониторингу упаковок для опасных грузов, контейнеров средней грузоподъемности для насыпных грузов (IBC) и крупногабаритных упаковок утвержденной конструкции. Стандарт может использоваться только в сочетании с ГОСТ Р ИСО 9001-2008)

Страница 12

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27000—2012

Например, сродства контролядоступа, которые могут бытьтехническими (логическими), физическими,

административными (организационными), или их комбинация гарантируют, что доступ к

информационным активам разрешен и ограничен на основании требований бизнеса и требований

безопасности.

Принятие СМИБ важнодля защиты информационныхактивов. Это позволяеторганизации:

- повысить гарантии того, что ее информационные активы в достаточной мере на непрерывной

основе защищены от угроз информационной безопасности;

- поддерживать структурированную и всестороннюю системудля идентификации и оценки угроз

информационнойбезопасности, выбора иприменениясоответствующихсредств управления и измере

ния и улучшения их эффективности;

- непрерывно улучшатьее среду контроля;

- соответствовать юридическим и регулирующим требованиям.

3.5Внедрение, контроль, поддержка и улучшение СМИБ

3.5.1 Общие положения

Организация должна предпринимать следующие меры по внедрению, контролю, поддержке и

улучшению ее СМИБ:

- определениеинформационныхактивовисвязанныхсними требованийбезопасности (см.3.5.2);

- оценка рисков информационной безопасности (см. 3.5.3);

- выбор и реализация соответствующих средств управления для управления неприемлемыми

рисками (см. 3.5.4);

- контроль, поддержка и повышение эффективности средств управления безопасностью, связан

ныхс информационными активами организации (см. 3.5.5).

Для гарантии эффективной непрерывной защиты информационных активов организации с

помощью СМИБ необходимо постоянно повторять шаги (а) — (d). чтобы выявлять изменения рисков,

стратегии организации илиделовых целей.

3.5.2 Определение требований информационной безопасности

В пределах общей стратегии и деловых целей организации, ее размера и географического рас

пространения требования информационной безопасности могут быть определены при анализе

следующих факторов:

- идентифицированные информационные активы и их ценность:

- деловые потребности вобработке ихранении информации;

- юридические, регулирующие идоговорные требования.

Проведение методической оценки рисков, связанныхс информационными активамиорганизации,

включаетесебяанализугроз информационнымактивам, уязвимостейинформационныхактивов иверо

ятностиугрозыинформационным активам, потенциальноговоздействиялюбого инцидента информаци

онной безопасности на информационные активы. Расходы на соответствующие меры и средства

контроля и управления безопасностью пропорциональны оцениваемому деловому воздействию в

случае осуществления риска.

3.5.3 Оценка рисков информационной безопасности

Управление рисками информационной безопасности требует соответствующей оценки риска и

метода обработки риска. Это может включать в себя оценку затрат и преимуществ, законных требова

ний. социальных, экономических и экологических аспектов, проблем заинтересованныхлиц, приорите

тов и других входов и переменных. Результаты оценки риска информационной безопасности помогут

выработать и провести соответствующие управленческие решения для действий и установления при

оритетов для управления рисками информационной безопасности, а также для реализации соответ

ствующих средств управления безопасностью для защиты от этих рисков. Стандарт ISO/IEC 27005

обеспечивает руководство менеджментомрисковинформационнойбезопасности,включая

рекомендации относительно оценки риска, обработки риска, принятия риска, коммуникации риска,

контроля риска ианализа риска.

3.5.4 Выбор и реализация средств управления информационной безопасностью

После определения требований к информационной безопасности и оценки рисков информацион

ной безопасностидля идентифицированных информационныхактивов (включая решениядля обработ

ки рисков информационной безопасности) должны быть выбраны и реализованы соответствующие

меры исредства контроля и управления, чтобы гарантировать, что риски информационной безопаснос ти

уменьшеныдо уровня, приемлемогодля организации. Меры и средства контроля иуправления могут

быть выбраны с помощью стандарта ISO/IEC 27002 или из других соответствующих наборов средств

управления. Также для удовлетворения специфических потребностей могут быть разработаны новые