Оценка риска (risk assessment):
• процесс идентификации информационных ресурсов системы и угроз этим ресурсам, а также возможных потерь (то есть потенциал потери), основанный на оценке частоты возникновения событий и размере ущерба. Рекомендуется перед введением новых информационных ресурсов выбрать контрмеры, позволяющие минимизировать возможные потери;
• составление списка рисков, ранжированных по цене и критичности. Список позволяет определить, где контрмеры должны примениться в первую очередь. Обычно невозможно предложить контрмеры, снижающие все аспекты рисков до нуля, так что некоторые остаточные риски сохраняются даже после того, как все доступные (по цене) контрмеры были приняты;
• изучение уязвимостей, угроз, вероятности, возможных потерь и теоретической эффективности контрмер. Определить ожидаемые потери и установить степень их приемлемости позволяет процесс оценки угроз и уязвимости, описываемый в общедоступной методике, ставшей стандартом де-факто;
• процесс, который включает идентификацию риска, анализ риска, оценку риска;
• оценка угроз, воздействия на уязвимости информационных ресурсов и информационных процессов, а также вероятности их возникновения |
|
