Оценка информационных рисков (количественная модель).

Осуществляется на основе экспертной оценки, либо анализа атак.

Параметры:

• ARO - годовая частота происшествия. Зависит от установленной системы защиты и от квалификации персонала.
• SLE - ожидаемый ущерб от одной успешно проведенной атаки.
• ALE - ожидаемый годовой ущерб (ALE = ARO * SLE).

Должны учитываться возможные стихийные бедствия, перебои в электропитании, статистика отказов оборудования.

Определение стоимости информационных активов:

1. Осязаемый актив: ПО, которое в результате атак приходит в негодность, аппаратная часть сетевое обеспечение.
2. Неосязаемые активы: затраты на работу по восстановлению всего, что пришло в негодность в результате атаки.

Оценка рисков:

1. Модель нарушителя - внутренние(А), внешние(В), классификация по степени опасности с указанием характеристик и возможностей каждой группы.
2. Идентификация угроз с указанием: ресурса, его ценности (AV), модели нарушителя, уязвимости ресурса (EF), вероятности реализации угрозы (ARO), ущерба от реализации угрозы (SLE), показателя риска (АLЕ).
3. Сам расчет стоимости риска и его вероятности (ALE = ARO * SLE, SLE = EF * AV). EF - показывает, в какой степени тот или иной ресурс уязвим по отношению к угрозе. Классификация угроз по степеням:

· Минимальная угроза.

· Средняя угроза - можно восстановить ресурсы.

· Максимальная угроза - ресурсы требуют полной замены после воздействия на них.

4. Определение методики управления рисками.

· Возможность принятия риска.

· Снижение в процессе управления

· Некоторые риски могут быть переданы - т.е. потенциальный ущерб перекладывается на страховщиков.

5. Управление рисками. Таблица снижения рисков с указанием: всех ресурсов, угроз для каждого, Начального риска, остаточного риска и % его снижения.