Информационная безопасность



              

Измерение рисков - часть 2


  • Низкий риск
  • Средний риск
  • Высокий риск

    Риск, связанный с определенным событием, зависит от двух факторов и может быть определен так:

    Таблица 2. Определение риска в зависимости от двух факторов

    Negligible Minor Moderate Serious Critical
    A Низкий риск Низкий риск Низкий риск Средний риск Средний риск
    B Низкий риск Низкий риск Средний риск Средний риск Высокий риск
    C Низкий риск Средний риск Средний риск Средний риск Высокий риск
    D Средний риск Средний риск Средний риск Средний риск Высокий риск
    E Средний риск Высокий риск Высокий риск Высокий риск Высокий риск

    Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций. Подобный подход к оценке рисков достаточно распространен.

    При разработке (использовании) методик оценивания рисков необходимо учитывать следующие особенности:

    • Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки.
    • Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.

    Оценка рисков по трем факторам. В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. Угрозу и уязвимость определим следующим образом:

    Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

    Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.

    Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

    Р происшествия = Р угрозы * Р уязвимости

    Соответственно, риск определяется следующим образом:

    РИСК = P угрозы * Р уязвимости * ЦЕНА ПОТЕРИ

    Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная.


    Содержание  Назад  Вперед