В матрице или таблице можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.
На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале, например от 1 до 5, для каждого ресурса, которому угрожает опасность. (Колонка b в таблице).
На втором шаге по заранее заданной шкале, например от 1 до 5, оценивается вероятность реализации каждой угрозы.
На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения (b x c). Однако необходимо помнить, что операция умножения определена для количественных шкал. Для ранговых (качественных) шкал измерения, каковыми являются показатель негативного воздействия и вероятность реализации угрозы, к примеру, совсем не обязательно показатель риска, соответствующий ситуации b=1,c=3 будет эквивалентен b=3, c=1. Соответственно, должна быть разработана методика оценивания показателей рисков применительно к конкретной организации.
На четвертом шаге угрозы ранжируются по значениям их фактора риска.
В рассматриваемом примере для наименьшего негативного воздействия и для наименьшей возможности реализации угрозы выбран показатель 1.
Таблица 3.4 Ранжирование рисков
| Дескриптор угрозы | B Показатель негативного воздействия (ресурса) | C Возможность реализации угрозы (субъективная оценка) | Показатель риска | Ранг риска |
| Угроза A | ||||
| Угроза B | ||||
| Угроза C | ||||
| Угроза D | ||||
| Угроза E | ||||
| Угроза F |
Данная процедура позволяет сравнивать и ранжировать угрозы с различными негативными воздействиями и вероятностями реализации. В определенных случаях дополнительно могут приниматься во внимание стоимостные показатели.
Разделение рисков на приемлемые и неприемлемые
Другой способ оценивания рисков состоит в разделении их только на приемлемые и неприемлемые риски. Подход основывается на том, что количественные показатели рисков используются только для того, чтобы их упорядочить, и определить, какие действия необходимы в первую очередь. Но этого можно достичь и с меньшими затратами.
Матрица, используемая в данном подходе, содержит не числа, а только символы Д (риск допустим) и Н (риск недопустим). Например, может быть использована следующая матрица:
Таблица 3.5 Разделение рисков на приемлемые и неприемлемые
| Показатель ценности ресурса | Показатель возможности реализации угрозы | ||||
| Д | Д | Д | Д | Н | |
| Д | Д | Д | Н | Н | |
| Д | Д | Н | Н | Н | |
| Д | Н | Н | Н | Н | |
| Н | Н | Н | Н | Н |
Вопрос о том, как провести границу между приемлемыми и неприемлемыми рисками остается на усмотрение аналитика, подготавливающего данную таблицу и руководящих специалистов в области информационной безопасности.
Пример оценки рисков по трем факторам
По каждой группе ресурсов связанной с данной угрозой, оценивается уровень угрозы (вероятность реализации) и уровень уязвимости (степень легкости, с которой реализованная угроза способна привести к негативному воздействию). Оценивание производится в качественных шкалах.
В начале определим уровни угроз, уязвимостей, тяжести последствий и рисков
Уровни угроз:
Низкий (Н) – Реализация данной угрозы маловероятно, за последние 2 года подобных случаев не зафиксировано.
Средний (С) – Угроза может реализоваться в течение 1 года с вероятностью около 0.3.
Высокий (В) – Угроза скорее всего реализуется в течении года и возможно не один раз.
Уровни уязвимостей:
Низкий (Н) – защищенность системы очень высока, реализация угроз почти никогда не приводит к происшествию.
Средний (С) – Защищенность системы средняя, реализация около 30% угроз приводит к происшествию
Высокий (В) – Защищенность системы низкая, реализация угрозы практически всегда приводит к происшествию.
