173

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 151-200

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов Оценка рисков эмитента в платежной системе банковских карт 173 По определениям стандартов ГОСТ Р 51897-2002 «Менеджмент рис ка. Термины и определения» и ГОСТ Р ИСО/МЭК 17799-2005 «Инфор¬ мационная технология. Практические правила управления инфор¬ мационной безопасностью» оценка рисков — это оценка угроз, их по следствий, уязвимости информации и средств ее обработки, а также ве роятности их возникновения. Управление рисками — процесс выявле¬ ния, контроля и минимизации или устранения рисков безопасности, оказывающий влияние на информационные системы в рамках допусти¬ мых затрат. К системам менеджмента информационной безопасности примени¬ мы требования ГОСТ Р ИСО/МЭК 27001-2006 «Информационная тех¬ нология. Методы и средства обеспечения безопасности. Системы менедж¬ мента информационной безопасности. Требования». Система менедж мента информационной безопасности — часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, под¬ держки и улучшения информационной безопасности. Первоначальным этапом является идентификация риска, т. е. процесс нахождения, составления перечня и описания элементов риска. Риск мо¬ жет быть оценен; оценка представляет собой общий процесс анализа риска и собственно его оценивание. Анализ риска состоит в системати¬ ческом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска — это процесс срав¬ нения количественно оцененного риска с заданными критериями риска для определения его значимости. В результате обмена информации о риске и его осознании может быть принято решение по его обработке, т. е. выборе и осуществлению мер по его модификации, либо решение о принятии риска. Обработка риска подразумевает планирование финансовых средств на соответст¬ вующие расходы (финансирование риска). Риск может быть предотвращен в результате принятия решения о «невхождении» в рискованную ситуацию или действия, предупреж¬ дающего вовлечение в нее. Если предотвратить риск не удается, его можно перенести, т. е. разделить с другой стороной бремя потерь от него.