Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»
Download 0.83 Mb.
|
Управления рисками учебное пособие
|
Оценка риска ИБ (англ. 18 п$к а88е88теШ):
общий процесс идентификации, анализа и оценивания риска ИБ [3]; оценка угроз ИБ, их последствий, уязвимостей информации и средств ее обработки, а также вероятности их возникновения [16]; целостный процесс анализа и оценки значимости риска ИБ [1, 2]; целостный процесс анализа и оценивания риска ИБ [1, 9, 15]; систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков ИБ, связанных с использованием информационных активов организации на всех стадиях их жизненного цикла [11].
Идентификация рисков ИБ (англ. 18 пзк ШепЫ/гсаНоп) - деятельность [3], процесс [3, 4, 9] по нахождению (выявлению), составлению перечня, исследованию и описанию элементов рисков ИБ (источников или опасности, событий, последствий и вероятностей). Она включает идентификацию источников риска, событий, их причин и возможных последствий. Идентификация риска может включать статистические данные, теоретический анализ, обоснованную точку зрения и заключение специалиста, а также потребности заинтересованной стороны. Количественная оценка или установление значения рисков ИБ (англ. 18 пзк езИтаИоп) - деятельность [3], или процесс (как деятельность) [4, 9] по присвоению значений вероятности и последствий рисков ИБ. Количественная оценка рисков ИБ может учитывать стоимость, прибыль, интересы причастных сторон и другие переменные, рассматриваемые при оценивании рисков ИБ. Оценивание риска ИБ (англ. 18 пзк еуа1иаИоп) - процесс сравнения количественно оцененного риска с данными критериями риска для определения значимости риска ИБ. Этот же процесс в [1, 2] называется оценка значимости риска ИБ. Или это процесс сравнения результатов анализа риска с установленными критериями риска для определения, является ли риск и/или его величина приемлемыми или допустимыми . Такое определение может быть использовано для содействия решениям по принятию или обработке риска ИБ [4, 9]. Правила, по которым оценивают значимость риска ИБ, называются критериями риска ИБ [3, 9]. Это аспекты, которые основываются на целях организации и внешнем и внутреннем контексте и могут быть установлены на основании стандартов, законов, политик и других требований. Они могут включать в себя соответствующие стоимость и прибыль, требования законодательства и договорных обязательств, социально-экономические и экологические аспекты, озабоченность причастных и заинтересованных сторон, приоритеты и другие затраты на оценку риска ИБ. Обработка рисков ИБ (англ. 18 пзк 1геа1теп1): процесс изменения риска ИБ [3]; процесс выбора и реализации мер по изменению риска ИБ [1, 2]; процесс выбора и осуществления защитных мер, снижающих риски ИБ, или мер по переносу, принятию или уходу от рисков ИБ [14]; процесс выбора и осуществления мер по модификации (изменению) рисков ИБ. Меры по обработке рисков ИБ могут включать в себя их избежание, оптимизацию, перенос или сохранение [1, 4, 9, 15]. Download 0.83 Mb. Do'stlaringiz bilan baham: 
|