Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

     3 Термины и определения


В настоящем стандарте применены термины по ИСО/МЭК 27001, ИСО/МЭК 27002, а также следующие термины с соответствующими определениями:

3.1 влияние (impact): Неблагоприятное изменение уровня достигнутых бизнес-целей.

3.2 риск информационной безопасности (information security risk): Возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации.

Примечание - Он измеряется исходя из комбинации вероятности события и его последствия.

3.3 предотвращение риска (risk avoidance): Решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее.

[ИСО/МЭК Руководство 73:2002]*

________________

* В Российской Федерации действует ГОСТ Р 51897.

3.4 коммуникация риска (risk communication): Обмен информацией о риске или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами.

[ИСО/МЭК Руководство 73:2002]

3.5 количественная оценка риска (risk estimation): Процесс присвоения значений вероятности и последствий риска.

[ИСО/МЭК Руководство 73:2002]


Примечания

1 В контексте данного национального стандарта количественная оценка риска рассматривается как деятельность (activity), а не как процесс (process).

2 В контексте данного национального стандарта применительно к количественной оценке риска вместо термина "возможность, вероятность" (probability) используется термин "вероятность" (likelihood).

3.6 идентификация риска (risk identification): Процесс нахождения, составления перечня и описания элементов риска.

[ИСО/МЭК Руководство 73:2002]


Примечание - В контексте данного национального стандарта применительно к идентификации риска вместо термина "процесс" (process) используется термин "деятельность" (activity).

3.7 снижение риска (risk reduction): Действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском.

[ИСО/МЭК Руководство 73:2002]


Примечание - В контексте данного национального стандарта применительно к количественной оценке риска вместо термина "возможность, вероятность" (probability) используется термин "вероятность" (likelihood).

3.8 сохранение риска (risk retention): Принятие бремени потерь или выгод от конкретного риска.

[ИСО/МЭК Руководство 73:2002]