ГОСТ Р ИСО/МЭК 27013-2014; Страница 13

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 56137-2014 Протезирование и ортезирование. Контроль качества протезов и ортезов нижних конечностей с индивидуальными параметрами изготовления (Настоящий стандарт устанавливает виды, методы и порядок контроля качества наружных протезов и ортезов (ортопедических аппаратов и туторов) нижних конечностей с индивидуальными параметрами изготовления. Настоящий стандарт предназначен для применения федеральными государственными унитарными протезно-ортопедическими предприятиями и организациями других форм собственности, изготавливающими изделия по заказам инвалидов-пользователей. Настоящий стандарт не распространяется на контроль качества систем «человек-протез (ортез)») ГОСТ 8.259-2004 Государственная система обеспечения единства измерений. Счетчики электрические индукционные активной и реактивной энергии. Методика поверки State system for ensuring the uniformity of measurements. Electrical induction active and reactive energy meters. Methods of verification (Настоящий стандарт распространяется на электрические индукционные однофазные и трехфазные счетчики по ГОСТ 6570, применяемые для учета активной и реактивной энергии переменного тока частотой от 45 до 65 Гц, и устанавливает методику их первичной и периодической поверок. Настоящий стандарт может быть распространен на находящиеся в эксплуатации счетчики, выпущенные до введения в действие ГОСТ 6570, а также импортные счетчики) ГОСТ Р ИСО/МЭК 27033-3-2014 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления (В настоящем стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями. Для каждого сценария в ней представлены подробные руководства по угрозам безопасности, методам проектирования безопасности и мерам и средствам контроля и управления, требуемым для уменьшения связанных рисков. Информация, содержащаяся в настоящем стандарте, предназначена для использования при пересмотре технической архитектуры/вариантов проектирования безопасности, а также при выборе и документировании предпочтительной технической архитектуры/проектирования безопасности и связанных с ними мер и средств контроля и управления, в соответствии с ИСО/МЭК 27033-2)

Страница 13

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27013—2014

Даже если риски рассматриваются как в ИСО/МЭК 27001, так и в ИСО/МЭК 20000-1. природа

этих рисков различна. В ИСО/МЭК 20000-1 рассматриваются риски, касающиеся СМУ и услуг, тогда

как в ИСО/МЭК 27001 рассматриваются риски информационной безопасности и их влияние на орга

низацию. Критерии оценивания и обработки рисков могут быть различны в зависимости от того, свя

заны ли риски с предоставлением услуг, или конкретно с информационной безопасностью. Тем не

менее, метод, использованный для идентификации рисков, может быть одним и тем же в обоих слу

чаях. Некоторые риски, рассматриваемые в ИСО/МЭК 20000-1, например, риски поставщика, не ка

сающиеся затрат связанных со SLA1’, не будут считаться рисками с точки зрения ИСО/МЭК 27001.

Таким образом, риски, идентифицированные при использовании ИСО/МЭК 20000-1, нельзя считать

имеющими отношение к информационной безопасности, и наоборот.

Владение риском может различаться для двух подходов. Например, согласно ИСО/МЭК 20000-

1. организация очень редко владеет всеми рисками. От клиента могут ожидать одобрения остаточных

рисков, как часть своего SLA или плана обеспечения непрерывности услуг. В ИСО/МЭК 27001 вопрос

владения риском подробно не обсуждается, но на практике организация считается владельцем всех

рисков информационной безопасности.

Несовпадение вариантов менеджмента риска происходит по причине различий между двумя

стандартами относительно требований к менеджменту риска. Когда планируется совместная реали

зация обоих стандартов, организации должны быть внимательны к любым различиям критериев рис ка и

к влиянию, которое эти различия будут оказывать на обработку риска.

Организация должна принять один из двух подходов, представленных ниже:

a) использование для обоих стандартов единого подхода к менеджменту риска, включая оценку

риска, избегая при этом дублирования. Например, риск потери пригодности информационного актива

может быть общим для различных частей интегрированной системы менеджмента. Это является

наиболее эффективным подходом, поскольку он избегает дублирования попыток;

) использование отдельных методик оценки риска для двух стандартов. Если выбирается этот

вариант, то организация должна использовать терминологию, которая отличает оценку риска СМУ и

услуг от оценки риска информационной безопасности и СМИБ.

Там. где оценка риска и менеджмент риска являются определяющими для организации, приори

тетной должна быть реализация ИСО/МЭК 27001, чтобы воспользоваться его оценкой риска и руко

водством по менеджменту риска. Какой бы вариант не использовался, организации следует исполь

зовать согласованную и четкую терминологию. Это может потребовать формулирования требований

одного или обоих стандартов иначе, чем в опубликованной(ых) версии(й). Тем не менее, организация

по-прежнему должна обеспечивать уверенность в прослеживаемости требований обоих стандартов.

6.2.4 Различия в уровнях принятия риска

Если клиент доверил свои данные или системы заботам третьей стороны, то будут существо

вать различия между уровнем допустимого риска клиента и третьей стороны. Детально этот вопрос

не рассматривается ни одним стандартом, но организации необходимо осознавать проблемы и при

нимать четкое решение об уровнях риска, которые могут контролироваться разными сторонами.

Ниже описываются базовые проблемы;

a) клиент имеет мнение об уровне безопасности, приемлемом для его информации, находящей

ся под контролем третьей стороны. Это может не совпадать с уровнем безопасности, который третья

сторона считает достаточным;

) третья сторона также имеет собственную информацию, например, финансовую документа

цию. Третья сторона имеет мнение об уровне безопасности, приемлемом для этой информации;

c) клиент и третья сторона, возможно, будут вовлечены в разные обязательные к применению

правовые и нормативные условия, которые будут различаться в зависимости от страны или сектора

рынка. Это может приводить к различиям в их ожиданиях относительно информационной безопасно

сти или риска.

Связанные с информационной безопасностью ожидания и обязанности клиентов организации и

третьих сторон следует обсудить при первом возможном случае. Такие обсуждения важны как для

согласования области действия реализуемого проекта, так и для установления эксплуатационных

мер и средств контроля и управления для существующих услуг. В идеальном случае любые потенци

альные конфликты должны быть идентифицированы, а решения приняты и согласованы до их реали

зации.

" SLA—service level agreement (соглашение обуровне услуг).