Оценка рисков
Что такое Оценка рисков?
Оценка рисковСтруктурированная деятельность в рамках управления рисками, в ходе которой выявляются угрозы, уязвимости и последствия для конкретных активов и определяется итоговый рейтинг риска для принятия решений по обработке.
Оценка рисков объединяет идентификацию, анализ и оценивание риска для заданной области: системы, бизнес-процесса, поставщика или нового проекта. Аналитики собирают данные об угрозах, описывают уязвимости, оценивают вероятность и влияние на бизнес и формируют приоритизированный перечень рисков относительно критериев организации. Методы варьируются от качественных тепловых карт до количественных подходов, таких как FAIR или симуляции Монте-Карло; результаты попадают в реестр рисков и планы обработки. Оценка рисков также является требованием регуляторов: NIST SP 800-30, ISO/IEC 27005, DPIA по GDPR и HIPAA Security Rule.
● Примеры
- 01
Оценка по NIST SP 800-30 для новой SaaS-платформы расчёта заработной платы.
- 02
Ежегодная оценка ISO 27005 в поддержку сертификационного аудита ISO 27001.
● Частые вопросы
Что такое Оценка рисков?
Структурированная деятельность в рамках управления рисками, в ходе которой выявляются угрозы, уязвимости и последствия для конкретных активов и определяется итоговый рейтинг риска для принятия решений по обработке. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Оценка рисков?
Структурированная деятельность в рамках управления рисками, в ходе которой выявляются угрозы, уязвимости и последствия для конкретных активов и определяется итоговый рейтинг риска для принятия решений по обработке.
Как работает Оценка рисков?
Оценка рисков объединяет идентификацию, анализ и оценивание риска для заданной области: системы, бизнес-процесса, поставщика или нового проекта. Аналитики собирают данные об угрозах, описывают уязвимости, оценивают вероятность и влияние на бизнес и формируют приоритизированный перечень рисков относительно критериев организации. Методы варьируются от качественных тепловых карт до количественных подходов, таких как FAIR или симуляции Монте-Карло; результаты попадают в реестр рисков и планы обработки. Оценка рисков также является требованием регуляторов: NIST SP 800-30, ISO/IEC 27005, DPIA по GDPR и HIPAA Security Rule.
Как защититься от Оценка рисков?
Защита от Оценка рисков обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Оценка рисков?
Распространённые альтернативные названия: Оценка киберрисков, ИТ-оценка рисков.
● Связанные термины
- compliance№ 936
Управление рисками
Скоординированный процесс выявления, анализа, оценки, обработки, мониторинга и коммуникации рисков для удержания их в пределах установленной организацией толерантности.
- compliance№ 937
Реестр рисков
Постоянно обновляемый перечень выявленных рисков с описанием, владельцем, оценками, мерами обработки и статусом, используемый для отслеживания подверженности рискам организации во времени.
- compliance№ 888
Качественный анализ рисков
Подход, при котором вероятность и последствия оцениваются по описательным шкалам (низкий/средний/высокий или 1-5), а не в денежных или вероятностных значениях.
- compliance№ 889
Количественный анализ рисков
Подход, при котором вероятность и последствия выражаются в числах — обычно в виде вероятностей и распределений денежных потерь — для принятия решений на основе данных.
- compliance№ 282
Оценка воздействия на защиту данных (DPIA)
Структурированная оценка, требуемая статьёй 35 GDPR, которая выявляет и снижает риски для прав и свобод людей до начала обработки персональных данных с высоким риском.
- appsec№ 1150
Моделирование угроз
Структурированный анализ, выявляющий активы, угрозы, уязвимости и меры защиты системы, чтобы безопасность закладывалась в дизайн, а не добавлялась после.