Анализ рисков — процесс идентификации рисков применительно к безопасности информационной системы, определения вероятности их осуществления и потенциального воздействия, а также дополнительных контрмер, ослабляющих (уменьшающих) это воздействие. Анализ рисков является частью управления рисками и синонимом термина "оценка рисков ", он включает в себя анализ угроз и уязвимостей.
Политика безопасности определяет согласованную совокупность механизмов и сервисов безопасности , адекватную защищаемым ценностям и окружению, в котором они используются.
Процесс управления рисками можно разделить на след. этапы:
1.Выбор анализируемых объектов и уровня детализации их рассмотрения.
2.Выбор методологии оценки рисков.
3.Идентификация активов.
4.Анализ угроз и их последствий, выявление уязвимых мест в защите.
5.Оценка рисков.
6.Выбор защитных мер.
7.Реализация и проверка выбранных мер.
8.Оценка остаточного риска.
По отношению к выявленным рискам возможны следующие действия: ликвидация риска (например, за счет устранения причины);
уменьшение риска (например, за счет использования доп-ых защитных средств); принятие риска (и выработка плана действия в соответствующих условиях); переадресация риска (например, путем заключения страхового соглашения).
