ГОСТ Р 59503-2021/ISO/IEC TR 27016:2014 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:
3.1 ожидаемые потери в годовом исчислении; ALE (annualized loss expectancy, ALE): Ожидаемые материальные потери (3.13), связанные с активом, из-за актуальных рисков в течение года.
Примечание - Показатель ALE рассчитывается следующим образом: ALE=SLE·ARO, где SLE - потенциальный ущерб от реализации единичной угрозы, ARO - ожидаемая годовая частота реализации угрозы.
3.2 прямая ценность (direct value): Ценность, определяемая ценностью идентичной замены или замещения в случае повреждения либо потери информационного актива.
Примечание - Этот показатель имеет положительное значение при отсутствии повреждения актива, однако рассматривается как потеря при наступлении соответствующего события.
3.3 экономический фактор (economic factor): Компонент или информация, влияющие на стоимость актива.
3.4 экономическое сравнение (economic comparison): Анализ взаимоисключающих или альтернативных вариантов распределения ресурсов.
3.5 экономическое обоснование (economic justification): Элементы экономической модели, создаваемые для поддержки выделения ресурсов.
3.6 добавленная экономическая ценность (economic value added): Индикатор сравнения чистой операционной прибыли и общей стоимости капитала.
3.7 экономика (economics): Эффективное использование ограниченных ресурсов.
3.8 ожидаемый убыток (expected value): Потеря стоимости на предприятии, связанная с повреждением или потерей информационного актива.
Примечание - Этот показатель имеет положительное значение при отсутствии повреждения актива, однако рассматривается как потеря при наступлении соответствующего события.
3.9 расширенный убыток (extented value): Ожидаемый убыток, помноженный на количество раз его возникновения.
3.10 косвенный убыток (indirect value): Потеря стоимости, связанная с затратами на замену или восстановление информационного(ых) актива(ов) в случае его (их) повреждения или потери.
Примечание - Этот показатель имеет положительное значение при отсутствии повреждения актива, однако рассматривается как отрицательный при наступлении соответствующего события.
3.11 экономическая модель информационной безопасности (information security economics): Эффективное использование ограниченных ресурсов для управления информационной безопасностью.
3.12 менеджмент информационной безопасности; ISM (information security management, ISM): Управление аспектами сохранения конфиденциальности, целостности и доступности информации.
3.13 потеря (loss): Уменьшение ценности актива.
Примечание - В контексте экономической модели информационной безопасности (3.11) потери выражаются положительными значениями. В настоящем стандарте понятие стоимости всегда имеет отрицательное значение при отсутствии указания на обратное.
3.14 рыночная стоимость (market value): Наивысшая цена, которую готов уплатить подготовленный, готовый к покупке и дееспособный покупатель и наименьшая цена, приемлемая для продавца.
3.15 чистая стоимость (net present value): Сумма показателей текущей стоимости (3.16) отдельных денежных потоков одного предприятия.
3.16 текущая стоимость (present value): Оцениваемая в данный момент сумма денежных средств или их потоков с учетом указанного коэффициента окупаемости.
3.17 неэкономическое преимущество (non economic benefit): Преимущество, за которое не производится оплата.
3.18 стоимость возможности (opportunity cost): Расчетная будущая стоимость определенного(ых) мероприятия(й) по обеспечению ИБ.
3.19 ценность возможности (opportunity value): Расчетная будущая выгода от определенного(ых) мероприятия(й) по обеспечению ИБ.
3.20 нормативные требования (regulatory requirements): Обязательные требования к ресурсам, связанные с определенным рынком.
3.21 коэффициент окупаемости инвестиций (return on investment): Уровень доходности (или убыточности) с учетом суммы вложенных в экономическую единицу средств за определенный период.
3.22 общественнозначимые ценности (societal value): Общепринятое представление о плохом и хорошем.