Под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда (Федеральный закон «О техническом регулировании» № 184-ФЗ). Оценка рисков — это оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения. Управление рисками — процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат (ГОСТ Р 51897 «Менеджмент риска. Термины и определения» и ГОСТ Р ИСО/МЭК17799 «Информационная технология. Практические правила управления информационной безопасностью»).
Начальным этапом является идентификация риска, то есть процесс нахождения, составления перечня и описания элементов риска. Риск может быть оценен, оценка представляет собой общий процесс анализа риска и его оценивания. Анализ риска состоит в систематическом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска — это процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.
В результате обмена информацией о риске и его осознании может быть принято решение о его обработке, то есть о выборе и осуществлении мер по модификации, либо решение о принятии риска. Обработка риска подразумевает планирование финансовых средств на соответствующие расходы (финансирование риска).
Система управления рисками в платежной системе (Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе») есть комплекс мероприятий и способов снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы с учетом размера причиняемого ущерба. Оператор платежной системы (организация, определяющая правила платежной системы, а также выполняющая иные обязанности в соответствии с упомянутым законом) обязан определить одну из следующих используемых в платежной системе организационных моделей управления рисками в платежной системе:
— самостоятельное управление рисками в платежной системе оператором платежной системы;
— распределение функций по оценке и управлению рисками между оператором платежной системы, операторами услуг платежной инфраструктуры и участниками платежной системы;