ГОСТ Р ИСО/МЭК ТО 13335-4-2007; Страница 7

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 52089-2003 Кофе. Термины и определения Coffee. Terms and definitions (Настоящий стандарт устанавливает термины и определения в области производства кофе. Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы в области производства кофе, входящих в сферу работ по стандартизации и/или использующих результаты этих работ) ГОСТ Р 52133-2003 Камины для жилых и общественных зданий. Общие технические условия Fireplaces for residential and public buildings. General specifications (Настоящий стандарт распространяется на металлические детали каминов, изготовленные в заводских условиях и устанавливаемые в жилых и общественных зданиях. В качестве топлива в каминах используют древесное топливо (дрова), древесные отходы и торф в свободном или уплотненном состоянии. Не допускается применять в качестве топлива каменный уголь. Вид климатического исполнения - УХЛ 4 категории 4.2 по ГОСТ 15150) ГОСТ Р 52134-2003 Трубы напорные из термопластов и соединительные детали к ним для систем водоснабжения и отопления. Общие технические условия Pressure thermoplastic pipes and their jointing elements for water-supply and heating systems. General specifications (Настоящий стандарт распространяется на напорные трубы из термопластов круглого сечения и соединительные детали к ним, транспортирующие воду, в том числе питьевую, и предназначенные для систем холодного и горячего водоснабжения и отопления зданий различного назначения)

Страница 7

Страница 1

Untitled document

ГОСТР ИСО/МЭКТО 13335-4—2007

В разделе 11 настоящего стандарта рассматривается ситуация, когда организация принимает реше

ние о необходимости проведения детального анализа рисков в связи с высоким уровнем проблем безопас

ности и потребностями организации. Руководство по анализу рисков приведено в ИСО/МЭК ТО 13335-3.

В разделе 11 настоящего стандарта приведено описание взаимосвязи ИСО/МЭК ТО 13335-3 с настоящим

стандартом, а также результаты использования методов, изложенных в ИСО/МЭК ТО 13335-3, которые

могут учитываться при выборе защитных мер. В разделе 11 также приведено описание других факторов,

способных влиять на выбор защитных мер. например, любые ограничения, которыедолжны быть приняты

во внимание, обязательные или иные требования, которые должны быть выполнены и т. д.

Подход, рассмотренный в разделе 11 настоящего стандарта, отличается от подходов в разделах 9

и 10 тем. что он содержит руководство для выбора пакета защитных мер. оптимальных для конкретной

ситуации. Этот подход не является базовым, но внекоторых случаях может быть использован для выбора

защитных мер вдополнение к мерам базовой безопасности. В качестве альтернативы этот подход может

быть применен без какой-либо связи с базовой безопасностью.

В разделе 12 представленоруководство (каталог) по выбору базового уровня безопасности организа

ции в целом или ее отдельных подразделений. Для такого выбора организациядолжна рассмотреть защит

ные меры, ранее идентифицированные для систем ИТ или групп систем ИТ. и определить общий пакет

защитных мер. В зависимости от степени конфиденциальности, потребности обеспечения безопасности и

ограничений могут быть выбраны разные уровни базовой безопасности. В данном разделе рассмотрены

преимущества и недостатки различных уровней базовой безопасности, которые могут помочь принятию

подходящего решения для каждой организации.

Краткое резюме содержания настоящего стандарта приведено в разделе 13. а в приложениях А — Н

краткий обзор инструкций, на которые есть ссылки в разделе 8.

6 Введение к выбору защитных мер и концепции базовой безопасности

В настоящем разделе приведен краткий обзор процесса выбора защитных мер, а также способа и

времени применения в этом процессе концепции базовой безопасности. Существуютдва главных подхода к

выбору защитных мер: использование базового подхода и выполнениедетальногоанализа риска. Выпол

нение детального анализа риска может проводиться различными подходами, один из которых подробно

изложен в ИСО/МЭКТО 13335-3 и называется детальным анализом риска. В ИСО/МЭКТО 13335-3 также

рассматриваются преимущества и недостатки разных подходов к оценке риска и, следовательно, выбору

защитных мер.

Проведениедетального анализа риска позволяет всесторонне рассмотреть риск. Результатыдеталь

ного анализа могут применяться для выбора защитных мер. вызванныхэтими рисками, и подобные защит

ные меры должны быть внедрены. Таким образом, можно избежать крайностей вобеспечении безопаснос

ти систем ИТ организации. Так как для анализа риска требуется много времени, усилий и проведение

многочисленныхэкспертиз, тоон более подходитдля систем ИТ с высоким уровнем риска, тогда как более

простой подход считается достаточным для систем с низким уровнем риска. Использование анализа риска

высокого уровня позволяет выявлять системы с более низким уровнем риска. Анализ риска высокого уров

ня не должен быть формализованным или сложным. Защитные меры для систем с более низким уровнем

риска могут быть выбраны путем применения защитных мер по базовой безопасности. Этот уровень обес

печения безопасности может быть не ниже минимального уровня безопасности, установленного организа

цией для каждого типа системы ИТ. Уровень базовой безопасности (далее — базовый подход)достигается

путем реализации минимального пакета защитных мер. известных как базовые защитные меры.

Вследствие различий в процессах выбора защитных мер в настоящем стандарте рассматриваются

два пути применения базового подхода:

- в случае, если рекомендуются защитные меры в соответствии с типом ихарактеристиками рассмат

риваемой системы ИТ;

- в случае, если рекомендуются защитные меры в соответствии сугрозами и проблемами безопасно

сти. а также в зависимости от рассматриваемой системы ИТ.

Пути выбора защитных мер приведены на рисунке 2. На рисунке 2 также показаны взаимоотношения

между ИСО/МЭК Т0 13335-3 и настоящим стандартом.

Базовый подход следует выбирать в зависимости от ресурсов, которые могут быть потрачены на

процесс выбора выявленных проблем безопасности, типа и характеристик рассматриваемой системы ИТ.

Если организация не желает тратить (по какой-либо причине) много времени и усилий на выбор защитных