ГОСТ Р ИСО/МЭК ТО 13335-3-2007; Страница 19

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 55212-2012 Координация изоляции для оборудования в низковольтных системах. Часть 2-2. Рассмотрение вопросов, связанных с интерфейсом. Руководство по применению (Настоящий стандарт обеспечивает обзор различных разновидностей пробойных перенапряжений, которые могут возникать в низковольтных установках и оборудовании, и в частности рассматривает:. - размах и длительность типичного пробоя, являющегося случайным событием;. - информацию по перенапряжениям, возникающим в результате взаимодействия между силовой системой питания и подключенными к ней системами;. - общее руководство, когда принимается во внимание выход интерфейс в зависимости от координации изоляции;. - общее руководство относительно защиты от импульсных перенапряжений предназначенной для мест общей доступности и рассматриваемые риски, включая взаимодействия в системе;. - временные перенапряжения грозового характера и другие факторы, которые рассматриваются в связи с координацией изоляции, в первую очередь связанные с контролем защиты посредством применения оборудования защиты от импульсных перенапряжений) ГОСТ Р 50571.7.705-2012 Электроустановки низковольтные. Часть 7-705. Требования к специальным электроустановкам или местам их расположения. Электроустановки для сельскохозяйственных и садоводческих помещений (Настоящий стандарт распространяется на все части стационарных электроустановок сельскохозяйственных и садоводческих помещений (коровников, телятников, свинарников, овчарен, конюшен, биофабрик, птицеводческих помещений, теплиц, построек типа загонов, в которых находятся сельскохозяйственные животные (крупный рогатый скот, лошади, свиньи, овцы), хранилищ для сена, соломы, комбикормов, а также на все виды кормоцехов и складских помещений) и устанавливает требования по электробезопасности, защите от пожара людей и сельскохозяйственных животных, выбору и применению электрооборудования) ГОСТ Р МЭК 60034-7-2012 Машины электрические вращающиеся. Часть 7. Классификация типов конструкций, монтажных устройств и расположения коробок выводов (Код IM) (Настоящий стандарт касается кодировки IM – классификации типов конструкций, монтажных устройств и расположения коробок выводов)

Страница 19

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК ТО 13335-3—2007

щий данные актив, вначале обозначенный как «досье на преступников», разбивают на два: «текстдосье на

преступников» и «изобразительная информация кдосье на преступников».

После завершения оценки угроз составляют перечень идентифицированных угроз, активов или групп

активов, подверженныхэтим угрозам, а также определяютстепень вероятности реализации угроз с разбив

кой на группы высокой, средней и низкой вероятности.

9.3.5 Оценка уязвимости

Этот вид оценки предполагает идентификацию уязвимостей окружающей среды, организации, про

цедур, персонала, менеджмента, администрации, аппаратныхсредств, программногообеспечения или ап

паратура связи, которые могли бы быть использованы источником угроз для нанесения ущерба активам и

деловой деятельности организации, осуществляемой с их использованием. Само по себе наличие уязви

мостей не наносит ущерба, поскольку для этого необходимо наличие соответствующей угрозы. Наличие

уязвимости при отсутствии такой угрозы не требует применения защитных мер. ноуязвимостьдолжна быть

зафиксирована и вдальнейшем проверена на случай изменения ситуации. Следует отметить, что некор

ректно использующиеся, а также неправильно функционирующие защитные меры безопасности могут сами

по себе стать источниками появления уязвимостей.

Понятие «уязвимость» можно отнести к свойствам или атрибутам актива, которые могут использо

ваться иным образом или для иных целей, чем те.для которых приобретался или изготавливалсяданный

актив. Например, одним изсвойств электрически стираемого перепрограммируемого постоянного устрой

ства (ЭСППЗУ) является то. что хранящаяся в нем информация может быть стерта или заменена (одно

изсвойств конструкции ЭСППЗУ). Однако наличие такого свойства означает также возможность несанк

ционированного уничтожения информации, хранящейся на ЭСППЗУ. т. е. мы имеем дело с возможной

уязвимостью.

В процессе оценки уязвимости происходит идентификация уязвимостей, в которых могут быть реали

зованы возможные угрозы, а также оценка вероятного уровня слабости, т. е. легкости реализации угрозы.

Например, отдельные виды активов можнолегко продать, скрыть или переместить— эти ихсвойства могут

быть связаны с наличием уязвимости. Исходные данныедля оценки уязвимости должны быть получены от

владельцев или пользователей актива, специалистов по обслуживающим устройствам, экспертов по про

граммным и аппаратным средствам систем информационных технологий. Примерами уязвимостей могут

быть:

- незащищенные подсоединения (например к Интернету);

- неквалифицированныепользователи;

- неправильный выбор и использование пароля доступа;

- отсутствиедолжного контролядоступа (логического и/или физического);

- отсутствие резервных копий информационныхданных или программного обеспечения:

- расположение ресурсов в районах, подверженных затоплению.

Примеры других общих уязвимостей приведены в приложении D.

Важно оценить, насколько велика степень уязвимости или насколько легко ее можно использовать.

Степень уязвимости следует оценивать по отношению к каждой угрозе, которая может использовать эту

уязвимость в конкретной ситуации. Например, система может оказаться уязвимой к угрозе нелегального

проникновения при идентификации пользователя и несанкционированного использования ресурсов. С од

ной стороны, степеньуязвимости поотношению кнелегальномупроникновению при идентификации пользо

вателя может быть высокой всвязи с отсутствием аутентификации пользователей. Сдругой стороны сте

пень уязвимости по отношению к несанкционированному использованию ресурсов может быть низкой,

посколькудаже при отсутствии аутентификации пользователей способы несанкционированного использо

вания ресурсов ограничены.

После завершения оценки уязвимостей должен быть составлен перечень уязвимостей и проведена

оценка степени вероятности возможной реализации отмеченных уязвимостей, например «высокая», «сред

няя» или «низкая».

9.3.6 Идентификация существующих/планируомых защитных мер

Использование идентифицированных после рассмотрения результатов анализа риска защитных мер

должно проводиться с учетом уже существующих или планируемых защитных мер. Действующие или

планируемые защитные меры должны быть частью общего процесса, во избежание не вызываемых необ

ходимостью затрат труда и средств, т. е. дублирования защитных мер. Кроме того, использование дей

ствующих или планируемых защитных мер может происходить бездолжного обоснования. В этом случае

необходимо проверить, следует ли заменить меры обеспечения безопасности новыми, более обоснован

ными. или сохранить прежние (например по экономическим соображениям).