ГОСТ Р ИСО/МЭК 27013-2014; Страница 15

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 56137-2014 Протезирование и ортезирование. Контроль качества протезов и ортезов нижних конечностей с индивидуальными параметрами изготовления (Настоящий стандарт устанавливает виды, методы и порядок контроля качества наружных протезов и ортезов (ортопедических аппаратов и туторов) нижних конечностей с индивидуальными параметрами изготовления. Настоящий стандарт предназначен для применения федеральными государственными унитарными протезно-ортопедическими предприятиями и организациями других форм собственности, изготавливающими изделия по заказам инвалидов-пользователей. Настоящий стандарт не распространяется на контроль качества систем «человек-протез (ортез)») ГОСТ 8.259-2004 Государственная система обеспечения единства измерений. Счетчики электрические индукционные активной и реактивной энергии. Методика поверки State system for ensuring the uniformity of measurements. Electrical induction active and reactive energy meters. Methods of verification (Настоящий стандарт распространяется на электрические индукционные однофазные и трехфазные счетчики по ГОСТ 6570, применяемые для учета активной и реактивной энергии переменного тока частотой от 45 до 65 Гц, и устанавливает методику их первичной и периодической поверок. Настоящий стандарт может быть распространен на находящиеся в эксплуатации счетчики, выпущенные до введения в действие ГОСТ 6570, а также импортные счетчики) ГОСТ Р ИСО/МЭК 27033-3-2014 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления (В настоящем стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями. Для каждого сценария в ней представлены подробные руководства по угрозам безопасности, методам проектирования безопасности и мерам и средствам контроля и управления, требуемым для уменьшения связанных рисков. Информация, содержащаяся в настоящем стандарте, предназначена для использования при пересмотре технической архитектуры/вариантов проектирования безопасности, а также при выборе и документировании предпочтительной технической архитектуры/проектирования безопасности и связанных с ними мер и средств контроля и управления, в соответствии с ИСО/МЭК 27033-2)

Страница 15

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27013—2014

Чтобы согласовать эти точки зрения, организация должна решить, как осуществлять менедж

мент инцидентов, которые находятся в области действия обеих систем менеджмента.

Менеджмент проблем определяется в ИСО/МЭК 20000-1 как процесс определения основной

причины возникновения одного или нескольких инцидентов, чтобы свести к минимуму влияние инци

дентов или избежать его. В ИСО/МЭК 20000-1 это является отдельным процессом. В ИСО/МЭК 27001

менеджмент проблем явно не раскрыт, хотя на него ссылаются в требованиях к менеджменту инци

дентов информационной безопасности, обработке риска и корректирующим мерам.

В интегрированной системе менеджмента процесс менеджмента проблем должен быть надле

жащим образом определен. Если СМИБ реализуется до интеграции со СМУ. то может быть полезна, по

возможности, самая ранняя интеграция лучших практических приемов менеджмента проблем СМУ,

как части СМИБ. благодаря ее пользе для всех систем менеджмента.

Оба стандарта требуют от организации анализа данных и изменений по инцидентам.

Инциденты, которые вызывают риск информационной безопасности, должны классифициро

ваться как инциденты информационной безопасности. Не менее важно для соответствия обоим стан

дартам. чтобы процесс менеджмента инцидентов отражал необходимое соответствие дополнитель

ным требованиям информационной безопасности в ИСО/МЭК 27001.

Следует отметить, что мера и средство контроля и управления из А13.2.2 ИСО/МЭК 27001:2005

охватывает изучение инцидентов безопасности, и это частично совпадает с менеджментом проблем из

подраздела 8.2 ИСО/МЭК 20000-1:2011. Кроме того, идентификацию и оценку уязвимостей, необ

ходимую по ИСО/МЭК 27001 для оценки риска информационной безопасности, следует рассматри

вать как процесс анализа данных, которые могут быть использованы в качестве входной информации

для менеджмента проблем.

Следующей проблемой, требующей описания, является проблема реагирования на инциденты.

Целью любой организации должно быть быстрое восстановление услуги после инцидента информа

ционной безопасности, затронувшего услугу. Однако это может уменьшить вероятность расследова

ния инцидента безопасности с целью выяснения его причины. При интеграции СМУ и СМИБ следует

заботиться об обеспечении уверенности в соответствии требованиям менеджмента инцидентов ин

формационной безопасности. Например, меры и средства контроля и управления информационной

безопасности могут включать сбор, хранение и предоставление свидетельств для дисциплинарных и

правовых целей. Более того, оба стандарта требуют соответствия правовым и нормативным требо

ваниям.

Необходимо осознавать, что в случае инцидента информационной безопасности требование

получения свидетельств может означать, что затронутая услуга может быть не восстановлена в за

планированные сроки. ИСО/МЭК 20000-1 требует от поставщика услуг учитывать срочность обработ ки

инцидента и его последствия. Это может означать, что потребуется дополнительное время, преж де

чем будет принято решение в отношении инцидента информационной безопасности. При опреде

лении приоритетности разрешения проблемы следует учитывать важность получения свидетельств

информационной безопасности, иначе они могут быть утрачены при восстановлении услуги.

В некоторых случаях инциденты информационной безопасности могут быть отнесены к серьез

ным инцидентам, на основании определения серьезного инцидента, согласованного с клиентом в со

ответствии с подразделом 8.1 ИСО/МЭК 20000-1:2011. Согласно требованиям отчетности по услугам,

приведенным в подразделе 6.2 ИСО/МЭК 20000-1:2011 и требованиям менеджмента серьезных ин

цидентов в подразделе 8.1 ИСО/МЭК 20000-1. высшее руководство должно быть информировано обо

всех серьезных инцидентах. К ним относят также и инциденты информационной безопасности. Это

обеспечивается надлежащей подготовкой ответственного лица, назначенного для осуществления

менеджмента инцидентов информационной безопасности. Следовательно, в рамках интегрированной

системы менеджмента таким происшествием следует управлять, как серьезным инцидентом.

О серьезных инцидентах не следует заявлять, как о допускающих задержку принятия решения о

сборе свидетельств в отношении инцидентов информационной безопасности. Например, если уста

новлено. что через веб-сайт осуществляется обработка платежей клиентов, то он может быть ском

прометирован. Время сбора свидетельств и восстановления услуг должно быть адекватным образом

включено в требования услуг, каталог услуг и в соглашения об уровне услуг (SLA).

В определении информационной безопасности ИСО/МЭК 20000-1 использует понятие «дося

гаемость (accessibility)», а ИСО/МЭК 27001 использует понятие «доступность (availability)». Это разли

чие существует, потому что понятие «доступность» определено по-разному в двух стандартах (см.

приложение В).