Обработка рисков
Что такое Обработка рисков?
Обработка рисковРешение и действия по изменению риска, обычно через принятие, снижение, передачу или избежание, на основе принятых организацией критериев риска.
Обработка рисков — этап цикла управления рисками, на котором оценённым рискам сопоставляется реакция. Классические варианты: принять (жить с остаточным риском), снизить (внедрить контроли для уменьшения вероятности или последствий), передать (страхование, договорные положения, аутсорсинг) или избегать (прекратить или перестроить деятельность). План обработки фиксирует владельцев, стоимость, сроки, целевой остаточный риск и контроли, заимствованные из таких рамок, как Приложение А ISO/IEC 27001 или NIST SP 800-53. План отслеживается в реестре рисков и пересматривается при отказах контролей, изменении угроз или эволюции целей бизнеса. Эффективная обработка пропорциональна риску и согласована с аппетитом и толерантностью.
● Примеры
- 01
Внедрение MFA и условного доступа для снижения риска захвата учётных записей.
- 02
Покупка киберстрахования для передачи части финансовых потерь от программы-вымогателя.
● Частые вопросы
Что такое Обработка рисков?
Решение и действия по изменению риска, обычно через принятие, снижение, передачу или избежание, на основе принятых организацией критериев риска. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Обработка рисков?
Решение и действия по изменению риска, обычно через принятие, снижение, передачу или избежание, на основе принятых организацией критериев риска.
Как работает Обработка рисков?
Обработка рисков — этап цикла управления рисками, на котором оценённым рискам сопоставляется реакция. Классические варианты: принять (жить с остаточным риском), снизить (внедрить контроли для уменьшения вероятности или последствий), передать (страхование, договорные положения, аутсорсинг) или избегать (прекратить или перестроить деятельность). План обработки фиксирует владельцев, стоимость, сроки, целевой остаточный риск и контроли, заимствованные из таких рамок, как Приложение А ISO/IEC 27001 или NIST SP 800-53. План отслеживается в реестре рисков и пересматривается при отказах контролей, изменении угроз или эволюции целей бизнеса. Эффективная обработка пропорциональна риску и согласована с аппетитом и толерантностью.
Как защититься от Обработка рисков?
Защита от Обработка рисков обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Обработка рисков?
Распространённые альтернативные названия: Реагирование на риск, План снижения рисков.
● Связанные термины
- compliance№ 936
Управление рисками
Скоординированный процесс выявления, анализа, оценки, обработки, мониторинга и коммуникации рисков для удержания их в пределах установленной организацией толерантности.
- compliance№ 935
Оценка рисков
Структурированная деятельность в рамках управления рисками, в ходе которой выявляются угрозы, уязвимости и последствия для конкретных активов и определяется итоговый рейтинг риска для принятия решений по обработке.
- compliance№ 937
Реестр рисков
Постоянно обновляемый перечень выявленных рисков с описанием, владельцем, оценками, мерами обработки и статусом, используемый для отслеживания подверженности рискам организации во времени.
- compliance№ 923
Остаточный риск
Риск, остающийся после применения запланированных контролей и мер обработки, который организация должна принять, передать или обрабатывать дополнительно.
- compliance№ 557
ISO/IEC 27001
Международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ), по которому организации могут пройти официальную сертификацию.
- compliance№ 737
NIST SP 800-53
Публикация NIST с исчерпывающим каталогом мер защиты и приватности для федеральных информационных систем США и многих организаций частного сектора.
● См. также
- № 934Аппетит к риску
- № 938Толерантность к риску