Сущность и понятие рисков проекта. Этапы управления рисками проекта

Согласно ГОСТ Р ИСО 31000-2010, риск – влияние неопределенности на цели. Риск равен произведению вероятности наступления событий на последствия от инцидентов. Согласно руководству ИСО 73:2009, управление рисками – систематическое применение политик, процедур и практик менеджмента к деятельности по обмену информацией, консультированию, установлению ситуации (контекста) и идентификации, анализу, оцениванию, воздействию на риск, мониторингу и пересмотру риска.
Процедура оценки рисков необходима для выстраивания эффективной системы управления информационной безопасности, принятия наиболее эффективных мер с экономической точки зрения. Внедрение любой системы защиты должно быть экономически оправданно. В рамках ИБ под риском будем понимать вероятность понести какие-либо потери (финансовые, репутационные и т.д.) в результате реализации какой-либо угрозы безопасности, либо эксплуатации действующей уязвимости

.
Процесс управления рисками состоит из нескольких этапов:
Инвентаризация анализируемого объекта;
Определение активов;
Анализ угроз безопасности информации;
Выявление уязвимостей;
Оценка рисков;
Реагирование на риск;
Определение способов и механизмов защиты;
Реализация выбранных способов;
Процедуру управления рисками необходимо начать с инвентаризации объекта, границ информационной системы, иных ресурсов, входящих в состав ИС. При оценке рисков собирается следующая информация:
Архитектура информационной системы;
Аппаратные средства;
Программное обеспечение;
Структура сети предприятия;
Обрабатываемые в ИС данные, их свойства;
Персонал, пользователи ИС;
Функционал ИС;
Степень критичности обрабатываемых данных и ИС в целом;
Требуемый уровень защищенности информационной системы.
После инвентаризации защищаемого объекта и определения активов определяются актуальные угрозы безопасности информации и уязвимости, эксплуатация которых позволит злоумышленнику реализовать угрозу безопасности