Анализ риска (информационного) [ Risk analysis ] —
1. Систематическое использование информации для определения источников и оценки риска количественной.
Примечание 1. Анализ риска обеспечивает базу для оценивания риска, мероприятий по снижению риска и принятия риска.
Примечание 2. Информация может включать в себя исторические данные, результаты теоретического анализа, информированное мнение и касаться причастных сторон [ ГОСТ Р 51897-2002 ].
2. Систематическое использование информации для выявления опасности и оценки риска количественной [ ГОСТ Р 51898-2002 ], [ ГОСТ Р ИСО/МЭК 27002-2012 ].
3. Системный подход к определению величины риска [ ГОСТ Р ИСО/МЭК 19791-2008 ].
4. Систематический процесс определения величины риска [ ГОСТ Р ИСО/МЭК 13335-1-2006 ].
5. Процесс изучения характеристик и слабых сторон системы, проводимый с использованием расчетов вероятностных, с целью определения ожидаемого ущерба в случае возникновения неблагоприятных событий. Задача анализа риска состоит в определении степени приемлемости того или иного риска в работе системы [ Комов-09 ].
6. Систематическое использование информации для определения источников риска и оценки риска количественной [ ГОСТ Р ИСО/МЭК 27001-2006 ].
7. Систематическое использование информации для выявления угроз безопасности информации, уязвимостей системы информационной и оценки количественной вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и системы информационной, предназначенной для обработки этой информации [ ГОСТ Р 50922-2006 ].
8. Процесс изучения природы и характера риска и определения уровня риска. Как правило, анализ риска включает в себя установление причинно-следственных связей опасного события с его источниками и последствиями.
Примечание 1. Анализ риска обеспечивает базу для проведения сравнительной оценки риска и принятия решения об обработке риска.
Примечание 2. Анализ риска включает в себя количественную оценку риска [ ГОСТ Р 51897-2011 ].
8. Выявление угроз безопасности информации, уязвимостей системы информационной, оценка вероятностей реализации угроз с использованием уязвимостей и оценка последствий реализации угроз для информации и системы информационной, используемой для обработки этой информации [ Р 50.1.056-2005 ].