Присущий риск
Что такое Присущий риск?
Присущий рискУровень риска, существующий для деятельности или актива до применения каких-либо контролей и мер снижения, отражающий «сырое» воздействие угроз.
Присущий риск — отправная точка анализа рисков: вероятность и последствия сценария угрозы в предположении отсутствия каких-либо контролей. Он помогает заинтересованным сторонам понять естественную подверженность бизнес-деятельности (например, приём карточных платежей онлайн или хранение регулируемых медицинских данных) и сравнивать её между портфелями. Специалисты по рискам используют этот показатель для определения масштаба необходимых контролей и оценки того, опускает ли действующая система контролей остаточный риск ниже аппетита. ISO/IEC 27005 и COSO ERM явно разделяют присущий и остаточный риск, чтобы избежать двойного учёта эффекта контролей.
● Примеры
- 01
Присущий риск хранения миллионов платёжных карт на высоконагруженной e-commerce-платформе.
- 02
Присущий риск эксплуатации критической инфраструктуры, подверженной воздействию государственных акторов.
● Частые вопросы
Что такое Присущий риск?
Уровень риска, существующий для деятельности или актива до применения каких-либо контролей и мер снижения, отражающий «сырое» воздействие угроз. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Присущий риск?
Уровень риска, существующий для деятельности или актива до применения каких-либо контролей и мер снижения, отражающий «сырое» воздействие угроз.
Как работает Присущий риск?
Присущий риск — отправная точка анализа рисков: вероятность и последствия сценария угрозы в предположении отсутствия каких-либо контролей. Он помогает заинтересованным сторонам понять естественную подверженность бизнес-деятельности (например, приём карточных платежей онлайн или хранение регулируемых медицинских данных) и сравнивать её между портфелями. Специалисты по рискам используют этот показатель для определения масштаба необходимых контролей и оценки того, опускает ли действующая система контролей остаточный риск ниже аппетита. ISO/IEC 27005 и COSO ERM явно разделяют присущий и остаточный риск, чтобы избежать двойного учёта эффекта контролей.
Как защититься от Присущий риск?
Защита от Присущий риск обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Присущий риск?
Распространённые альтернативные названия: Брутто-риск, Риск до контролей.
● Связанные термины
- compliance№ 923
Остаточный риск
Риск, остающийся после применения запланированных контролей и мер обработки, который организация должна принять, передать или обрабатывать дополнительно.
- compliance№ 935
Оценка рисков
Структурированная деятельность в рамках управления рисками, в ходе которой выявляются угрозы, уязвимости и последствия для конкретных активов и определяется итоговый рейтинг риска для принятия решений по обработке.
- compliance№ 936
Управление рисками
Скоординированный процесс выявления, анализа, оценки, обработки, мониторинга и коммуникации рисков для удержания их в пределах установленной организацией толерантности.
- compliance№ 937
Реестр рисков
Постоянно обновляемый перечень выявленных рисков с описанием, владельцем, оценками, мерами обработки и статусом, используемый для отслеживания подверженности рискам организации во времени.
- compliance№ 888
Качественный анализ рисков
Подход, при котором вероятность и последствия оцениваются по описательным шкалам (низкий/средний/высокий или 1-5), а не в денежных или вероятностных значениях.
- compliance№ 889
Количественный анализ рисков
Подход, при котором вероятность и последствия выражаются в числах — обычно в виде вероятностей и распределений денежных потерь — для принятия решений на основе данных.