Воздействие

Воздействие - это результат инцидента информационной безопасности, вызванного угрозой и нанесшего ущерб ее активу. Результатом воздействия могут стать разрушение конкретного актива, повреждение ИТТ, нарушение их конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности. Непрямое воздействие может включать в себя финансовые потери, потерю доли рынка или репутации. Контроль за воздействием позволяет достичь равновесия между предполагаемыми последствиями инцидента и стоимостью защитных мер. Следует учитывать вероятность возникновения инцидента. Это особенно важно в тех случаях, когда ущерб при каждом возникновении инцидента невелик, но суммарный эффект накопившихся со временем инцидентов может быть существенным. Оценка воздействия является важным элементом оценки риска и выбора защитных мер.

Риск

Сценарий риска описывает, как определенная угроза или группа угроз могут использовать уязвимость или группу уязвимостей подверженного угрозе актива. Риск характеризуется комбинацией двух факторов: вероятностью возникновения инцидента и его разрушительным воздействием. Любое изменение активов, угроз, уязвимостей или защитных мер может оказать значительное влияние на риск. Раннее обнаружение или знание обо всех этих изменениях увеличивает возможности по принятию необходимых мер для обработки риска. Обработка риска включает в себя устранение, снижение, перенос и принятие риска.

Следует учитывать, что риск никогда не устраняется полностью. Принятие остаточного риска является частью заключения о соответствии уровня безопасности потребностям организации. Руководство организации должно быть поставлено в известность обо всех остаточных рисках, их опасных последствиях и вероятности возникновения инцидентов. Решение о принятии риска должно приниматься специалистами, имеющими право принимать решение о допустимости опасных последствий при возникновении инцидента и применении дополнительных мер защиты в случае, если уровень остаточного риска неприемлем.