Остаточный риск
Что такое Остаточный риск?
Остаточный рискРиск, остающийся после применения запланированных контролей и мер обработки, который организация должна принять, передать или обрабатывать дополнительно.
Остаточный риск — это часть присущего риска, оставшаяся после того, как существующие или запланированные контроли уменьшили вероятность или последствия. Это ключевой показатель для принятия решений, поскольку контроли не идеальны, а угрозы меняются. Организации сравнивают остаточный риск с аппетитом и толерантностью: всё, что превышает их, требует дополнительной обработки, эскалации или формального принятия с задокументированным обоснованием и владельцем. Остаточный риск фиксируется в реестре рисков и периодически пересматривается, особенно при отказе контролей, изменении угроз или появлении новых зависимостей. Советы и регуляторы всё чаще требуют явной отчётности по остаточному риску в подтверждение обоснованности решений.
● Примеры
- 01
Остаточный риск утечки из-за фишинга после внедрения MFA, обучения и фильтрации почты.
- 02
Документально оформленное принятие остаточного риска унаследованной системы до её вывода из эксплуатации.
● Частые вопросы
Что такое Остаточный риск?
Риск, остающийся после применения запланированных контролей и мер обработки, который организация должна принять, передать или обрабатывать дополнительно. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Остаточный риск?
Риск, остающийся после применения запланированных контролей и мер обработки, который организация должна принять, передать или обрабатывать дополнительно.
Как работает Остаточный риск?
Остаточный риск — это часть присущего риска, оставшаяся после того, как существующие или запланированные контроли уменьшили вероятность или последствия. Это ключевой показатель для принятия решений, поскольку контроли не идеальны, а угрозы меняются. Организации сравнивают остаточный риск с аппетитом и толерантностью: всё, что превышает их, требует дополнительной обработки, эскалации или формального принятия с задокументированным обоснованием и владельцем. Остаточный риск фиксируется в реестре рисков и периодически пересматривается, особенно при отказе контролей, изменении угроз или появлении новых зависимостей. Советы и регуляторы всё чаще требуют явной отчётности по остаточному риску в подтверждение обоснованности решений.
Как защититься от Остаточный риск?
Защита от Остаточный риск обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Остаточный риск?
Распространённые альтернативные названия: Чистый риск, Риск после контролей.
● Связанные термины
- compliance№ 534
Присущий риск
Уровень риска, существующий для деятельности или актива до применения каких-либо контролей и мер снижения, отражающий «сырое» воздействие угроз.
- compliance№ 939
Обработка рисков
Решение и действия по изменению риска, обычно через принятие, снижение, передачу или избежание, на основе принятых организацией критериев риска.
- compliance№ 936
Управление рисками
Скоординированный процесс выявления, анализа, оценки, обработки, мониторинга и коммуникации рисков для удержания их в пределах установленной организацией толерантности.
- compliance№ 934
Аппетит к риску
Совокупный объём и виды риска, которые организация готова принимать для достижения стратегических целей, устанавливаемые советом директоров и высшим руководством.
- compliance№ 937
Реестр рисков
Постоянно обновляемый перечень выявленных рисков с описанием, владельцем, оценками, мерами обработки и статусом, используемый для отслеживания подверженности рискам организации во времени.
- compliance№ 733
NIST Risk Management Framework
Семишаговый процесс NIST, определённый в SP 800-37, который интегрирует управление рисками безопасности, приватности и цепочки поставок в жизненный цикл системы.