Пример оценки рисков по двум факторам

В матрице или таблице можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.

На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале, например от 1 до 5, для каждого ресурса, которому угрожает опасность. (Колонка b в таблице).

На втором шаге по заранее заданной шкале, например от 1 до 5, оценивается вероятность реализации каждой угрозы.

На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения (b x c). Однако необходимо помнить, что операция умножения определена для количественных шкал. Для ранговых (качественных) шкал измерения, каковыми являются показатель негативного воздействия и вероятность реализации угрозы, к примеру, совсем не обязательно показатель риска, соответствующий ситуации b=1,c=3 будет эквивалентен b=3, c=1. Соответственно, должна быть разработана методика оценивания показателей рисков применительно к конкретной организации.

На четвертом шаге угрозы ранжируются по значениям их фактора риска.

В рассматриваемом примере для наименьшего негативного воздействия и для наименьшей возможности реализации угрозы выбран показатель 1.

Таблица 3.4 Ранжирование рисков

Дескриптор угрозы	B Показатель негативного воздействия (ресурса)	C Возможность реализации угрозы (субъективная оценка)	Показатель риска	Ранг риска
Угроза A
Угроза B
Угроза C
Угроза D
Угроза E
Угроза F

Данная процедура позволяет сравнивать и ранжировать угрозы с различными негативными воздействиями и вероятностями реализации. В определенных случаях дополнительно могут приниматься во внимание стоимостные показатели.

Разделение рисков на приемлемые и неприемлемые

Другой способ оценивания рисков состоит в разделении их только на приемлемые и неприемлемые риски. Подход основывается на том, что количественные показатели рисков используются только для того, чтобы их упорядочить, и определить, какие действия необходимы в первую очередь. Но этого можно достичь и с меньшими затратами.

Матрица, используемая в данном подходе, содержит не числа, а только символы Д (риск допустим) и Н (риск недопустим). Например, может быть использована следующая матрица:

Таблица 3.5 Разделение рисков на приемлемые и неприемлемые

Показатель ценности ресурса	Показатель возможности реализации угрозы

	Д	Д	Д	Д	Н
	Д	Д	Д	Н	Н
	Д	Д	Н	Н	Н
	Д	Н	Н	Н	Н
	Н	Н	Н	Н	Н

Вопрос о том, как провести границу между приемлемыми и неприемлемыми рисками остается на усмотрение аналитика, подготавливающего данную таблицу и руководящих специалистов в области информационной безопасности.

Пример оценки рисков по трем факторам

По каждой группе ресурсов связанной с данной угрозой, оценивается уровень угрозы (вероятность реализации) и уровень уязвимости (степень легкости, с которой реализованная угроза способна привести к негативному воздействию). Оценивание производится в качественных шкалах.

В начале определим уровни угроз, уязвимостей, тяжести последствий и рисков

Уровни угроз:

Низкий (Н) – Реализация данной угрозы маловероятно, за последние 2 года подобных случаев не зафиксировано.
Средний (С) – Угроза может реализоваться в течение 1 года с вероятностью около 0.3.
Высокий (В) – Угроза скорее всего реализуется в течении года и возможно не один раз.

Уровни уязвимостей:

Низкий (Н) – защищенность системы очень высока, реализация угроз почти никогда не приводит к происшествию.
Средний (С) – Защищенность системы средняя, реализация около 30% угроз приводит к происшествию
Высокий (В) – Защищенность системы низкая, реализация угрозы практически всегда приводит к происшествию.