Уменьшение рисков

Процесс уменьшения риска

После того как результаты оценки рисков получены, возникает задача разделить риски на приемлемые и неприемлемые. Для неприемлемых рисков необходимо применять процедуры их уменьшения.

В общем случае уменьшение риска может быть достигнуто посредством применения одной или комбинации следующих операций, таких как принятие риска, уклонение от него, ограничение, планирование, исследование и подтверждение, передача риска.

Общая схема процесса уменьшения риска иллюстрирует эти вопросы. Соответствующие точки применения действий средств защиты на рисунке помечены словом “да”.

Таблица – Источники угроз

Основным методом снижения риска является применение соответствующих средств защиты (контроля). Для уменьшения риска используется следующая методология, описывающая подход к применению средств защиты:

• Шаг 1. Присвоение приоритетов действиям. Результат шага 1 – ранжированные (от высокого до низкого) риски.

• Шаг 2. Оценка рекомендуемых вариантов защиты. Результат – список подходящих средств защиты.

• Шаг 3. Проведение анализа затрат и результатов. Результат шага 3 – анализ затрат и результатов, описывающий стоимость и результаты применения средств защиты.

• Шаг 4. Выбор средств защиты. Результат шага 4 – список выбранных средств.

• Шаг 5. Назначение ответственных. Результат – список ответственных персон.

• Шаг 6. Разработка плана реализации защиты. На этом шаге разрабатывается план реализации (применения) средств защиты (план действий). Результат шага 6 – план применения средств защиты.

• Шаг 7. Применение выбранных средств защиты. Результат – остаточный риск.

Рис. 2 Общая схема процесса уменьшения риска

При применении рекомендованных средств для уменьшения риска руководство организации рассматривает технические, управленческие и операционные средства защиты или их комбинацию, чтобы максимизировать эффективность защиты для своей ИТ-системы и организации.