ГОСТ Р ИСО/МЭК ТО 13335-4-2007; Страница 48

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 52089-2003 Кофе. Термины и определения Coffee. Terms and definitions (Настоящий стандарт устанавливает термины и определения в области производства кофе. Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы в области производства кофе, входящих в сферу работ по стандартизации и/или использующих результаты этих работ) ГОСТ Р 52133-2003 Камины для жилых и общественных зданий. Общие технические условия Fireplaces for residential and public buildings. General specifications (Настоящий стандарт распространяется на металлические детали каминов, изготовленные в заводских условиях и устанавливаемые в жилых и общественных зданиях. В качестве топлива в каминах используют древесное топливо (дрова), древесные отходы и торф в свободном или уплотненном состоянии. Не допускается применять в качестве топлива каменный уголь. Вид климатического исполнения - УХЛ 4 категории 4.2 по ГОСТ 15150) ГОСТ Р 52134-2003 Трубы напорные из термопластов и соединительные детали к ним для систем водоснабжения и отопления. Общие технические условия Pressure thermoplastic pipes and their jointing elements for water-supply and heating systems. General specifications (Настоящий стандарт распространяется на напорные трубы из термопластов круглого сечения и соединительные детали к ним, транспортирующие воду, в том числе питьевую, и предназначенные для систем холодного и горячего водоснабжения и отопления зданий различного назначения)

Страница 48

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК ТО 13335-4—2007

Аспекты, формирующие риск (воздействия, угрозы, уязвимости), являются главной целью защитных мер.

Существуют следующие пути борьбы защитных мер против этихаспектов:

- угрозы — защитные меры могут снижать вероятность возникновения угрозы (например рассмотре

ние угрозы потери данных вследствие ошибокпользователя, курсобучения пользователей, направленный

на снижение числа ошибок) или в случае запланированной вредоносной атаки (воздействия) сдерживать

угрозу путем увеличения технической сложности, которую надо преодолетьдля достижения успешности

атаки;

- уязвимость— защитные меры могут снятьуязвимость или сделать ее менее серьезной (например,

если внутренняя сеть, подсоединенная к внешней сети, уязвима для несанкционированного доступа, то

реализация соответствующей межсетевой защиты делает это соединение более надежным, а разъедине

ние снимает этууязвимость);

- воздействие — защитные меры могут снизить воздействие или помочь его избежать (например,

если вредное воздействие заключается в недоступности информации, то оно может быть снижено путем

создания копий, хранящихся в безопасном месте, а также разработки и внедрения плана непрерывности

бизнеса). Если существуютзаписи аудита, то анализ и средства предупреждения могутобеспечить раннее

обнаружение инцидента и снизить вредное воздействие на бизнес.

От того, как и где используется конкретная защитная мера, во многом зависят те выгоды, которые

получает организация от ее реализации. Очень часто угрозы могут относиться к нескольким уязвимостям.

Поэтому, если применяется защитная мера, предотвращающая одну угрозу, то одновременно она может

защищать несколько уязвимостей системы. Обратное утверждение тоже верно — мера безопасности, пре

дохраняющая однууязвимость, может быть принята против нескольких угроз. Эти выгоды следует учиты

вать при выборе защитных мер.Дополнительные выгоды должны быть подтверждены документальнодля

того, чтобы иметь полную картину требований безопасности, которым удовлетворяют защитные меры.

Обычно, защитные меры могут обеспечить один или более типов защиты: предупреждение, сдержи

вание. обнаружение, снижение, восстановление, корректировку, мониторинг и осведомленность. Выбор

защитных мер вданном случае зависит от особенностей ситуации и предназначении защитных мер. Во

многих случаях защитные меры направлены на обеспечение нескольких типов защиты, что приносит до

полнительные выгоды. Подобные защитные меры, предоставляющие многочисленные выгоды, должны

быть выбраны в первую очередь.

Организациядолжна поддерживать в разумных пределах балансбезопасности и воздействий. Если

слишком много внимания уделяется одному типу защиты, то маловероятно, что общий уровень безопасно

сти будет эффективен. Например, если большинство сдерживающих защитных мер используется без адек

ватных мер обнаружения для определения того, когда сдерживание уже не работает, то общая безопас

ность не будетэффективной.

Предложенные защитные меры необходимо до их реализации сравнить с существующими мерами

по обеспечению безопасности, чтобы оценить, какие меры могут быть усилены или усовершенствованы. В

любом случае это будет дешевле, чем внедрять новую защиту.

Во время выбора защитных мер важно сравнить расходы по реализации защиты со стоимостью

активов и оценить возврат вложений с точки зрения снижения рисков. Расходы на реализацию и техничес

кое обслуживание могут быть выше стоимости самой защиты, и это следует учитывать при выборе защит

ных мер.

Технические ограничения, например требования кфункционированию, управляемости (требования к

операционной поддержке) и вопросам совместимости могут затруднять использование некоторых защит

ных мер. В этих случаях специалисты по системам ИТ и обеспечению безопасности должны работать

совместно для выработки оптимальных решений. Если защитные меры снижают эффективность функцио

нирования систем, то эти специалисты по системам ИТ и обеспечению безопасности должны находить

решение, обеспечивающее эффективную работу системы ИТ при гарантированном достаточном уровне

безопасности.

Для таких аспектов, как охрана неприкосновенности и юридическая защита личной информации, мо

жет потребоваться наличие специальных защитных мер. Таким образом, организациядолжна исследовать

и идентифицировать базовые защищаемыеэлементы.