что такое остаточный риск
Информационная безопасность
Практика информационной безопасности
Страницы
четверг, 4 июня 2009 г.
ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 8
Если общий или остаточный риск слишком высок для компании, она может купить страховку, чтобы перенести риск на страховую компанию.
Если компания решает прекратить деятельность, которая вызывает риск, это называется избежанием риска. Например, компания может запретить использование сотрудниками программ передачи мгновенных сообщений (IM – Instant Messenger), вместо того, чтобы бороться с множеством рисков, связанных с этой технологией.
Другим подходом является снижение риска до уровня, считающегося приемлемым для компании. Примером может быть внедрение межсетевого экрана, проведение обучения сотрудников и т.д.
И последний подход заключается в осознанном принятии риска компанией, которая осознает его уровень, размеры потенциального ущерба, и, тем не менее, решает жить с этим риском и не внедрять контрмеры. Для компании целесообразно принять риск, когда анализ затрат / выгоды показывает, что расходы на контрмеры превышают размеры потенциальных потерь.
Ключевым вопросом при принятии риска является понимание того, почему это является наилучшим выходом из конкретной ситуации. К сожалению, в наше время многие ответственные лица в компаниях принимают риски, не понимая в полной мере, что они принимают. Обычно это связано с относительной новизной процессов управления рисками в области безопасности, недостаточным уровнем образования и опытом работы этих людей. Когда руководителям бизнес-подразделений вменяются обязанности по борьбе с рисками в их подразделениях, чаще всего они принимают любые риски, т.к. их реальные цели связаны с производством компанией готовой продукции и выводом ее на рынок, а вовсе не с рисками. Они не хотят увязать в этой глупой, непонятной и раздражающей безопасности.
Принятие риска должно быть основано на нескольких факторах. В частности, нужно ответить на следующие вопросы. Потенциальные потери меньше стоимости контрмер? Сможет ли компания жить с той «болью», которую причинит ей принятие этого риска? Второй вопрос имеет отношения в том числе и к бесплатным решениям. Например, если компания примет этот риск, она должна будет добавить еще три шага в свой производственный процесс. Имеет ли это смысл для нее? В другом случае, принятие риска может привести к возрастанию количества инцидентов безопасности – готовы ли компания справиться с этим?
Человек или группа, принимающая риск, должны понимать потенциальные последствия этого решения. Предположим, было установлено, что компания не нуждается в защите имен клиентов, но она должна защищать другие сведения, такие как номера социального страхования, номера счетов и т.д. При этом ее деятельность останется в рамках действующего законодательства. Но что будет, если ее клиенты узнают что компания не защищает должным образом их имена? Ведь они из-за отсутствия знаний по этому вопросу могут подумать, что это может стать причиной «кражи личности», что приведет к серьезному удару по репутации компании, с которым она может и не справиться. Восприятие клиентов часто не обосновано, и всегда существует вероятность, что они перенесут свой бизнес в другую компанию, и вам нужно считаться с этой потенциальной возможностью.
Рисунок 1-8 показывает, как может быть создана программа управления рисками, которая объединяет все понятия, описанные в настоящем разделе.
Активный риск против остаточного: знайте разницу
Опубликовано 10.07.2021 · Обновлено 10.07.2021
Активный риск и остаточный риск – это два разных типа портфельных рисков, которыми инвесторы, консультанты и управляющие портфелями могут пытаться управлять и принимать решения. Ниже приводится описание каждой меры риска, примеры расчетов и некоторые различия между ними.
Что такое активный риск?
Активный риск инвестиций или портфеля разница между доходностью и возвращения базового индекса для этой ценной бумаги или портфеля. Этот риск также часто называют ошибкой отслеживания. Измерение активного риска позволяет количественно оценить риск, которому подвержен этот портфель или инвестиция из-за активных управленческих решений, принимаемых управляющим портфелем, консультантом или отдельным инвестором.
Обычной практикой является сопоставление отдельных инвестиций и целых портфелей с соответствующим индексом, чтобы помочь в оценке относительной эффективности и риска. Если инвестиция полностью пассивна и идентична своей контрольной точке, активный риск практически отсутствует, за исключением небольших изменений, связанных с расходами на комиссию за управление. Когда инвестиции следуют активной стратегии, доходность начинает отклоняться от эталонного показателя, и в портфель вводится активный риск.
Есть две общепринятые методики расчета активного риска. В зависимости от того, какой метод используется, активный риск может быть положительным или отрицательным. Первый метод расчета активного риска – вычесть доходность эталона из доходности инвестиций. Например, если паевой инвестиционный фонд вернул 8% в течение года, а соответствующий контрольный индекс 5%, активный риск будет:
Это показывает, что 3% дополнительной прибыли было получено либо от выбора активной ценной бумаги, либо от выбора времени на рынке, либо от комбинации того и другого. В этом примере активный риск имеет положительный эффект. Однако, если бы доходность инвестиций составляла менее 5%, активный риск был бы отрицательным, что указывало бы на то, что выбор ценных бумаг и / или решения о времени выхода на рынок, которые отклонялись от эталонного показателя, были неверными решениями.
Второй способ расчета активного риска, который используется чаще, – это использовать стандартное отклонение разницы между инвестиционной и эталонной доходностью с течением времени. Формула:
Активный риск = квадратный корень из (((доходность (портфель) – доходность (эталон)) ² / (N – 1))
Например, предположим следующую годовую доходность паевого инвестиционного фонда и его контрольный индекс:
Первый год: фонд = 8%, индекс = 5%
Второй год: фонд = 7%, индекс = 6%
Третий год: фонд = 3%, индекс = 4%
Четвертый год: фонд = 2%, индекс = 5%
Квадратный корень из суммы квадратов разностей, деленный на (N – 1), равен активному риску (где N = количество периодов):
Что такое остаточный риск?
Остаточный риск – это риски компании, такие как забастовки, результаты судебных разбирательств или стихийные бедствия. Этот риск известен как диверсифицируемый риск, поскольку он может быть устранен путем достаточной диверсификации портфеля. Не существует формулы для расчета остаточного риска; вместо этого он должен быть экстраполирован путем вычитания систематического риска из общего риска.
Хотя расчет систематического риска (также известного как рыночный риск или недиверсифицируемый риск) выходит за рамки данной статьи, общий риск часто называют стандартным отклонением. Предположим, портфель инвестиций имеет стандартное отклонение 15%, а систематический риск, как известно, составляет 8%. Остаточный риск будет равен:
Различия между активным риском и остаточным риском
Активный риск возникает из-за решений по управлению портфелем, которые отклоняют портфель или инвестицию от их пассивного эталона. Активный риск напрямую связан с решениями человека или программного обеспечения. Активный риск создается за счет принятия активной инвестиционной стратегии вместо полностью пассивной. Остаточный риск присущ каждой компании и не связан с более широкими рыночными движениями.
Активный риск и остаточный риск – это, по сути, два разных типа рисков, которыми можно управлять или устранять, хотя и по-разному. Чтобы исключить активный риск, придерживайтесь чисто пассивной инвестиционной стратегии. Чтобы исключить остаточный риск, инвестируйте в достаточно большое количество различных компаний внутри и за пределами отрасли компании.
остаточный риск
2.18 остаточный риск (residual risk): Риск, остающийся после его обработки.
3.16 остаточный риск: Риск, остающийся после предпринятых защитных мер (ГОСТ Р 51898).
3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].
2.10 остаточный риск (residual risk): Риск, остающийся после снижения риска.
2.12 остаточный риск (residual risk): Риск, остающийся после предпринятых защитных мер ([2], пункт 3.9).
3.24 остаточный риск (residual risk): Риск, оставшийся после принятия мер безопасности.
3.9 остаточный риск: Риск, остающийся после применения защитных мер [1].
3.4.11 остаточный риск: Риск, остающийся после обработки риска.
3.12 остаточный риск (residual risk): Риск, остающийся после принятия защитных мер (см. рисунок 1).
— риск, остающийся после защитных мер, предпринятых конструктором;
— риск, остающийся после всех предпринятых защитных мер.
3.90 остаточный риск: Риск, остающийся после принятия мер, направленных на обеспечение безопасности.
3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].
3.9 остаточный риск: Риск, остающийся после предпринятых защитных мер.
2.27 остаточный риск (residual risk): Риск (2.1), сохраняющийся после воздействия на риск (2.25).
[Руководство ИСО 73:2009, определение 3.8.1.6]
3.30 остаточный риск (residual risk): Риск, оставшийся после обработки риска.
остаточный риск: Риск, остающийся после того, как приняты защитные меры.
3.1.7 остаточный риск (residual risk): Риск, остающийся после принятия мер защиты.
3.23 остаточный риск (residual risk): Риск (3.1), остающийся после обработки риска (3.19).
3.8.1.6 остаточный риск: Риск, оставшийся после обработки риска (3.8.1).
3.4.12 остаточный риск (residual risk): Риск, остающийся после применения защитных мер безопасности.
Полезное
Смотреть что такое «остаточный риск» в других словарях:
остаточный риск — Риск, остающийся после принятия защитных мер (см. рисунок 1). Примечание В настоящем стандарте различаются: риск, остающийся после защитных мер, предпринятых конструктором; риск, остающийся после всех предпринятых защитных мер. [ГОСТ Р ИСО 12100… … Справочник технического переводчика
Остаточный риск — степень опасности подрыва кораблей на минах в районе, где было произведено траление. EdwART. Толковый Военно морской Словарь, 2010 … Морской словарь
Остаточный риск нарушения информационной безопасности — 3.53. Остаточный риск нарушения информационной безопасности: Риск, остающийся после обработки риска нарушения ИБ. Источник: Стандарт Банка России Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие … Официальная терминология
Риск остаточный — остаточный риск риск, остающийся после предпринятых защитных мер;. Источник: Решение Комиссии Таможенного союза от 18.10.2011 N 827 (ред. от 18.09.2012) О принятии технического регламента Таможенного союза Безопасность автомобильных дорог… … Официальная терминология
РИСК ОСТАТОЧНЫЙ — Residual risk См. РИСК НЕСИСТЕМАТИЧЕСКИЙ Словарь бизнес терминов. Академик.ру. 2001 … Словарь бизнес-терминов
Риск, неопределенность и прибыль (книга) — Риск, неопределённость и прибыль (англ. Risk, Uncertainty and Profit, 1921) произведение американского экономиста Ф. Найта. Содержание 1 Содержание 2 Идеи 3 Переводы … Википедия
Риск, неопределенность и прибыль — Риск, неопределённость и прибыль (англ. Risk, Uncertainty and Profit, 1921) произведение американского экономиста Ф. Найта. Содержание 1 Содержание 2 Идеи 3 Переводы 4 Ссылки // … Википедия
ГОСТ Р ИСО 31000-2010: Менеджмент риска. Принципы и руководство — Терминология ГОСТ Р ИСО 31000 2010: Менеджмент риска. Принципы и руководство оригинал документа: 2.21 анализ риска (risk analysis): Процесс понимания природы риска (2.1) и определения уровня риска (2.23). Примечание 1 Анализ риска обеспечивает… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р ИСО 17666-2006: Менеджмент риска. Космические системы — Терминология ГОСТ Р ИСО 17666 2006: Менеджмент риска. Космические системы оригинал документа: 2.3 индекс риска (index risk): Оценка в баллах, характеризующая значимость риска, который является сочетанием вероятности возникновения и тяжести… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации
Что такое вторичный и остаточный риск в проекте?
Несмотря на данное обещание хотя бы иногда писать в блог во время отпуска после свадьбы, я этого, конечно, не делала. У меня, конечно, есть оправдание – я в Таиланде очень сильно отравилась, пару дней провалялась с температурой под 40, и никакие набранные с собой в товарном количество таблетки-порошки ситуацию не исправили. Самое обидное – я до этого была в десятке азиатских стран и ни разу не было никаких проблем. В любом случае вины с себя не снимаю, совесть мучает, буду исправляться. Поэтому сегодня давайте поговорим о наболевшем – о том, что такое вторичный и остаточный риск и как он может повлиять на ваш проект, на моем печальном отпускном примере.
Итак, что такое остаточный риск в проекте (на английском он называется residual risk)?
Вообще это понятие пришло в проектный менеджмент из БЖД или охраны труда. Поэтому в соответствии с классическим определением, остаточный риск – это риск, остающийся после того, как вы предприняли ряд мер для снижения первоначального риска, соотношение вероятности и влияния которого достаточно низко, чтобы вы этот риск для себя приняли и оставили «на авось». Важно понимать, что полностью исключить риск нельзя, можно только снизить, причем в какой-то момент придется остановиться, иначе стоимость снижения риска превысить выгоды, получаемые от проекта.
А вторичный риск (secondary risk) – это риск, которого не было раньше, но который появляется после того, как были предприняты меры для снижения первоначального риска.
Сразу к моему примеру – вы едете в свадебное путешествие в более-менее развитую, но все-таки экзотическую страну. И один из рисков, который вы учитываете в первую очередь – это, разумеется, риск отравиться какой-нибудь вкусной местной едой и проваляться половину отпуска в кровати (или просидеть на унитазе, как повезет). Если вы отравитесь – весь отпуск пойдет насмарку, поэтому влияние риска очень высоко (проект просто будет провален). Вероятность риска – тоже очень высокая, все-таки местные тараканы – это не сама привычная еда для вашего желудка.
Поэтому вы, как разумный человек, гуглите «как собрать аптечку в таиланд без смс и регистрации», тратите кучу денег в аптеке и (если вы очень разумный) консультируетесь со знакомым доктором. После того, как вы купили половину аптеки, на первый взгляд, риск отравления должен снизиться (понятно, что мы говорим не о самом отравлении, а о его последствиях, для краткости).
Тут у нас появляется понятие вторичного риска. Казалось бы, лекарства есть, что еще нужно? Однако нужно как минимум вспомнить, что авиакомпании не так уже редко теряют чемоданы и у вас есть шанс остаться без своей любовно собранной аптечки, и лучше положить аптечку в ручную кладь. А после этого, снизив риск остаться без аптечки, лучше еще раз подумать и вспомнить, что в ручную кладь нельзя класть жидкости более 100мл, и ваш Энтерос-гель отберут на контроле. Поэтому Энтерос-гель вернуть в чемодан, а для страховки прикупить пачку активированного угля, который менее эффективен, но зато точно не вызовет ни у кого вопросов. Таким образом, мы максимально обезопасили себя от того, чтобы не остаться без аптечки. Можно было бы продолжать и дальше, например, задаться вопросом «А если у меня украдут сумку с ручной кладью в аэропорту?» и купить второй комплект лекарств в чемодан. Но какова вероятность, что это произойдет? Так как она совсем невелика, вы на этот риск «забиваете», считаете его остаточным и ничего по этому поводу не делаете.
Но это была половина дела, теперь возвращаемся к началу. Купив аптечку мы, предположим, наполовину снизили вероятность пролежать неделю в кровати вместо моря и кокосов. Однако даже оставшаяся половина – это слишком много, чтобы так рисковать отпуском, поэтому вы идете и гуглите «туристическая страховка в Таиланд».
Я, кстати, покупаю страховку обычно на турстраховка.ру, удобно, что можно сравнить цены разных страховых сразу, и без наценок. Не реклама, личный опыт.
Если времени много – то еще гуглите и отзывы о страховых компаниях, чтобы снизить вероятность того, что на месте страховая найдет отмазку и никакой помощи вам не окажет. Покупаете страховку, делаете 2 копии – одну будете таскать с собой, вторую отдаете своему спутнику (а то вдруг вы будете не в состоянии сказать где она), оригинал храните в сейфе отеля. Тем самым вы снизили вторичный риск того, что тогда, когда вам понадобится помощь, полис окажется потерянным или его не будет под рукой (или он пострадает от морской воды, если вы будете сознательно таскать с собой везде оригинал, особенно на пляже). Поздравляю, вы только что еще более значительно снизили риск остаться без отпуска, а при самом плохом раскладе – и без здоровья, вы молодец. Очередной остаточный риск – что страховая окажется шаражкой, которая не окажет никакой помощи, вы считаете достаточно несерьезным (вы же читали отзывы, они всем помогали!) и решаете не обращать на него внимание.
Чтобы уж совсем быть уверенным, что все будет отлично, вы закидываете на отдельную карточку тысячу долларов, храните ее в сейфе, Если вы маньяк или у вас основания полагать, что ваш банк за границей вас может подвести (так говорит гугл или были прецеденты) – вы снижаете этот вторичный риск, и таких карточек берете две, разных банков, одну носите с собой, другую храните в сейфе. И не забываете сказать спутнику пин-коды (тут, правда, возникает риск того, что он с вашими карточками сбежит, но, учитывая что вы едете в свадебное путешествие, это прямо совсем уж остаточный риск, куда он денется). Теперь если что – вам точно хватит на вызов коммерческой скорой помощи, и ваш отпуск будет спасен. Для полной уверенности можно заранее телефон этой скорой найти и записать себе и спутнику номер в свои смартфоны, и положить пару тысяч на этот телефон, чтобы был запас в роуминге.
Итого, что мы имеем? Запас таблеток, страховой полис, запас денег, с таким арсеналом вы закрывает риск настолько, насколько его вообще можно закрыть, и с чистой совестью собираетесь дальше. Все, с возможным отравлением разобрались, переходим к следующему риску проекта «Свадебное путешествие», их в списке всего 35 осталось…
Что касается меня – запас таблеток не помог (то есть этот барьер отвалился еще в тот момент, когда стало понятно, что никаким парацетамолом я температуру 40 сбить не могу, а Энтерос-гель не оказывает вообще никакого эффекта, т.е. отравление слишком сильное, чтобы справиться с ним своими силами. Переходим к п.2 (уж он-то должен помочь) – звоним в Альфастрахование и просим вызвать скорую, полчаса регистрируем страховой случай (тут-то нам и пригодились деньги на телефоне) и узнаем, что «скорую мы не вызываем, потому что она дорогая, добирайтесь полтора часа до госпиталя по темному серпантину своим ходом». Понимаем, что при температуре 41 наступает летальный исход и встретить его на горной дороге как-то грустно, даем себе честное слово засудить страховую при возвращении, и приступаем к казавшемуся таким невероятным п.3 – вызываем платную скорую за 40 000 российских рублей (понятно, что сделать деньги на туристах тут не пытается только ленивый), получаем свой укол, набор местных таблеток-порошков и план лечения от тайского врача и буквально через 2 дня приходим в себя и продолжаем есть опасную, но такую вкусную экзотическую еду.
Кстати, про отравление, это банально, но не забывайте следовать простым детским правилам типа “руки перед едой надо мыть” и “плохо пахнет – лучше не ешь”.
Если вы хотите узнать больше о рисках и о том, как с ними работать – вы можете приобрести наш большой курс по управлению рисками. Шаблон реестра рисков проекта и чек-лист для идентификации рисков в подарок!
Приложение Е (справочное). Определение цели обеспечения доверия
Определение цели обеспечения доверия
В идеале цель обеспечения доверия является результатом оценки и обработки риска. Остаточный риск является риском, остающимся после его обработки. Остаточный риск должен быть приемлемым и быть принятым заинтересованными сторонами. Если он неприемлем, то следует его обработка, например, запрашивают дополнительные меры безопасности.
Е.2 Менеджмент рисков
При внедрении любой меры безопасности и ее шкалы руководствуются менеджментом риска. Менеджмент риска является процессом идентификации, управления и устранения или минимизации последствий неблагоприятных событий, способных воздействовать на активы, имеющие приемлемую себестоимость.
Возможными видами обработки рисков являются:
Остающийся после обработки риск является остаточным. Хорошей практикой является эксплуатация продукта только при приемлемом и принятом остаточном риске. Предназначенная для внедрения политика безопасности системы соответствует этапу «смягчение» обработки риска и является результатом оценки риска.
Сам менеджмент риска и полученная в результате политика безопасности системы могут пройти процесс обеспечения доверия.
Е.3 Модель безопасности
В отношении приведенного ниже рисунка Д.1 можно сформулировать следующие положения:
— модель безопасности является схематическим описанием группы объектов и взаимосвязей, посредством которых заданный набор услуг по обеспечению безопасности предоставляется системой или в рамках системы;
— архитектура безопасности представлена планом и совокупностью принципов, которые считаются частью проектирования безопасности системы:
услуги по обеспечению безопасности, требуемые от системы для выполнения требований пользователей,
элементы системы, требуемые для выполнения услуг,
уровни производительности, необходимые в элементах системы для работы в условиях угроз;
— мера обеспечения безопасности является процессом (или устройством, осуществляющим подобный процесс), который может применяться для выполнения услуги по обеспечению безопасности, предоставляемой системой или в рамках системы, например механизмом предупреждения событий, мерой по обнаружению атак, мерой по восстановлению после события.
На основе результатов оценки риска меры по обработке риска могут быть определены в рамках процесса разработки концепции безопасности.
В рамках концепции безопасности дается определение мер безопасности, которые определялись в контексте оценки риска как необходимые.
Объектом доверия, связанным с моделью безопасности, может быть анализ или проверка доступности и связности модели безопасности.
Методы обеспечения доверия, основанные на оценке риска, предлагают поэтапный подход с возрастающей детализацией от политики до определения выполненных мер безопасности.
Е.4 Политика безопасности организации
Системы ИТ следуют определенной политике безопасности системы ИТ, которая может следовать политике безопасности организации. Политика безопасности организации в основном базируется на оценке риска с учетом целей организации (например, бизнес-целей). Она применима ко всем проблемам безопасности организации и обязательна для руководства всеми усилиями по обеспечению безопасности.
В этих случаях политика безопасности организации модифицируется и адаптируется в иерархическом виде для всех подразделений организации и систем.
Любая политика безопасности должна периодически инспектироваться для учета всех изменений угроз, рисков и активов.
Политика безопасности может включать в себя следующие темы для обсуждения:
— область применения политики безопасности;
— подчеркивание важности безопасности;
— определение общих и конкретных ролей и обязанностей; распределение должностей;
— определение целей обеспечения безопасности;
— вопросы коммуникации, осведомленности, обучения и подготовки.
В крупных организациях для конкретного отдела, подразделения или филиала, а также при наличии разнообразных отдельных систем может потребоваться разработка более специфических политик безопасности. На уровне конкретной системы, услуги или продукта разработка принимает форму целевой политики безопасности ИТ, которая соответствует иерархии политик.
Возможная иерархия политик представлена на рисунке Е.2.
Для обеспечения зависимостей иерархии политик должны предприниматься соответствующие меры по обеспечению доверия. Дополнительным объектом обеспечения доверия может быть анализ или проверка доступности и согласованности политик безопасности.
Е.5 Применимая цель обеспечения доверия
Целью обеспечения любого доверия к безопасности является обеспечение уверенности в соответствии системы ИТ объекта руководящей политике на следующем более высоком уровне для гарантии соответствия объекта политике организации.
Таким образом, в данном случае доверие может быть производной оценки риска и/или политики безопасности организации.
Для многих операций с ИТ, в особенности ИТ средних или небольших организаций, определенная политика безопасности не предписывается. В этом случае можно использовать имеющуюся в наличии общую политику безопасности.
Данное положение также относится к случаю, когда пользователь внедряет стандартную систему безопасности, например, из справочников по базовой безопасности. Здесь доверие обеспечивается для общих потребностей среды, которые должны быть разъяснены в прилагаемых справочниках по базовой безопасности.
Другим подходом является применение имеющегося задания по безопасности или профиля защиты, который был подготовлен для данной целевой среды в соответствии с ИСО/МЭК 15408.
Е.6 Меры безопасности
Меры безопасности, определения которым даны в процессе менеджмента рисков, добавляют к функциональным требованиям объекта с целью производства технической спецификации или спецификации по поставке.
В случаях применения обобщенной политики политика безопасности, модель и архитектура предопределены и не изменяются. Однако в большинстве случаев предлагается сделать выбор или предлагается каталог, из которого выбирают меры безопасности, наиболее подходящие для конкретной ситуации с угрозами.
В данном случае очень важно проверить описание имеющихся целей безопасности, если весь применимый риск смягчается. Требование не относится к случаю, когда активы обладают особой ценностью и/или подвергаются особым угрозам. В этом случае и при наличии каких-либо сомнений следует провести специальную оценку риска, которая приведет к применению специальных мер. Эта гибридная технология показана на рисунке Е.3.
Объектом доверия, связанным с определением мер безопасности, может быть анализ или проверка доступности или связности модели безопасности.
Е.7 Пример: ИСО/МЭК 15408
В ИСО/МЭК 15408 используется следующая терминология:
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.