Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки.
Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков. Для этого существуют специальные процедуры проверки.
Подобные методики широко применяются при проведении анализа рисков базового уровня.
Оценка рисков по трем факторам.
В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. Угроза и уязвимость определяются следующим образом:
Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Рпроисшествия = Ругрозы * Руязвимости
Соответственно риск определяется следующим образом:
РИСК = Pугрозы * Руязвимости * ЦЕНА ПОТЕРИ
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.
Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:
риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.
риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.
═
риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.
Матрица может быть определена следующим образом — Таб. 4. В данной таблице уровни уязвимости Н, С, В означают соответственно: низкий, средний, высокий уровни.
Таблица 4. Определение риска в зависимости от трех факторов
═ | Уровень угрозы | ||||||||
═ | Низкий | Средний | Высокий | ||||||
═ | Уровни уязвимостей | Уровни уязвимостей | Уровни уязвимостей | ||||||
Степень серьезности происшествия (цена потери) | Н | С | В | Н | С | В | Н | С | В |
Negligible | |||||||||
Minor | |||||||||
Moderate | |||||||||
Serious | |||||||||
Critical |
Подобные таблицы используются как в "бумажных" вариантах методик оценки рисков, так и в различного рода инструментальных средствах — ПО анализа рисков.
В последнем случае матрица задается разработчиками ПО и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария.
Дата добавления: 2015-12-29; просмотров: 1029;