Поняття ризику, олександр Астахов - мистецтво управління інформаційними ризиками

ISO 27005 конкретизує поняття інформаційного ризику, розкладаючи його на активи, загрози, вразливості і збитки. Згідно ISO 27005: «Ризик інформаційної безпеки - це потенційна можливість використання вразливостей активу або групи активів конкретної загрози для заподіяння шкоди організації».

Різні визначення поняття «інформаційний ризик»:

Ризик невизначеність, що припускає можливість втрат (збитків) (СТО БР Іббсе).

Ризик потенційна проблема.

Ризик ймовірні втрати організації в результаті інцидентів.

Поняття ризику, дане в ISO 27005, мабуть, є найбільш повним. Однак можна оперувати і більш простими і легко запам'ятовуються визначеннями. Наприклад, ризик можна розглядати просто як потенційну проблему або як ймовірні втрати організації в результаті інцидентів. У стандарті БанкаУкаіни СТО БР Іббсе ризик визначається як «невизначеність, що припускає можливість втрат».

Таким чином, ризик є комплексною величиною, завжди визначається через комбінацію ряду інших величин. Це обумовлює помилки у визначенні та описі конкретних ризиків, нерідко допускаються навіть фахівцями, що викликає труднощі при оцінці ризиків.

Опис факторів ризику, таких як загрози, інциденти, уразливості і види шкоди, окремо не є описом ризику. Про ризик можна говорити тільки в тому випадку, якщо всі фактори ризику розглядаються в сукупності. Тільки комбінація оцінних значень для погроз, вразливостей і шкоди дозволяє отримати оцінку ризику.

Щоб не перетворювати цю книгу в підручник з основ інформаційної безпеки, ми винесли всі ключові визначення, пов'язані з управлінням інформаційними ризиками, в Додаток № 0. Рекомендується вивчити це важливий додаток, що базується на міжнародних стандартах, звертаючи увагу на різні фактори і елементи процесу управління ризиком . Правильне розуміння термінології - істотна частина успіху в оволодінні майстерністю управління ризиками.