3. Пошаговый расчет риска с данном программном обеспечении:

1. Ввод данных «Параметры»

Шаг 90: Вводим период времени и параметры типа валюты. Период времени [t] и тип валюты [с]. Данные параметры используются в качестве единицы рассчитывания финансовых ценностей. Например: когда [t] = 'год' и [с] = 'USD ', то финансовые ценности, такие как стоимость активов, выражается в долларах США в год. Если [t] параметр не указан, то расчет рассматривает денежные значения фиксированных значений один раз, не повторяющихся факторов с течением времени.

2. Ввод «Модель угроз»

Шаг 100: Вводим список активов банковской системы. Множество {A1, ..., АNа} включает в себя все системы активов, которые могут оказаться под угрозой. Каждый объект идентифицируется по уникальному ID, названию и присвоению значения актива (ValA), который представляет максимальное значение финансового ущерба, который может быть причинен системе из-за потери активов. Шаг 110: Ввод списка системных уязвимостей.

Множество {V1, ..., VNv} включает в себя все системы уязвимости, которые могут быть использованы для угрозы активам банковской системы. Каждый уязвимость идентифицируется по уникальному ID и названию.

{V1, ..., VNv} - набор системных уязвимостей.

Шаг 120: Вводный список системных контрмер. Множество {С1, ..., CNc} включает в себя все контрмеры, которые могут смягчить уязвимость системы. Каждые контрмеры определяются уникальным идентификатором, названием и присвоением ему ориентировочной стоимости реализации (IC), что представляет финансовую стоимость реализации контрмер. Каждые контрмеры также назначаются с логическим флагом реализации (IF), указывающее контрмеры, которые уже реализованы. {С1, ..., CNc} - набор системных контрмер.

IC (Ci) - Реализация стоимости i-й контрмер; стоимости IC ≥ 0.

IF (Ci) - Реализация флаг i-й контрмеры; значение IF = {истина, ложь}.

Шаг 130: Ввод списка системных угроз.

Множество {T1, ..., TNt} включает в себя все угрозы, которые могут угрожать системе активов. Каждая угроза идентифицируется по уникальному ID, названию и назначению с оценкой вероятности угрозы (TP), что материализуется в течение периода времени [t]. TP значение может колебаться между 0 и 1, где 0 означает, что угроза сценарий никогда и не воплотится в [t] периода и 1 означает, что она, безусловно, материализуется по крайней мере один раз в течение [t]. Если [t] параметр не указан, то значение TP ссылается на все время жизни системы.

{T1, ..., TNt} - набор системных угроз.

TP (Ti) - вероятность угрозы i-й угрозы; 0 ≤ значение TP ≤ 1.

3. Отношения вводных объектов

Шаг 140: Ввод отношений между угрозами и активами. Каждая угроза связана с угрозой активов (TA), которая включает в себя активы, что могут быть повреждены, если угроза материализуется. Каждая угроза назначается с относительной повреждения актива угрозы (RelTAD), который является уровень ущерба, который может быть вызван угрозой для каждого из активов в TA конкретной угрозы. Ущерб выражается в процентах, где 0% означает, что ущерб причинен в актив, если угроза материализуется и 100% означает, что ущерб, причиненный актива угроза полной и равной значению целом актива. TA (Ti) - Угроза активов г-й угрозы; непустое подмножество множества {A1, ..., АNа}, которые могут быть повреждены при I-й угрозы.

RelTAD (Ti, Aj) - относительный ущерб активов угрозы, которые могут быть вызваны г-й угрозу для j-го актива в TA (Ti), 0 ≤ значение RelTAD ≤ 100.

Шаг 150: Входные отношений между уязвимостях и контрмерах. Каждая из уязвимостей, связанных с уязвимостью контрмеры (VC), который включает в себя предоставление некоторых контрмер смягчения с уязвимостью.

VC (Vi) - Уязвимость контрмер i-й степени уязвимости; подмножество {С1, ...,CNc}, которые могут смягчить i-й уязвимости.

Шаг 160: Входные отношений между угроз и уязвимостей. Каждая из угроз, связанных с угрозой уязвимостей (TV), которая включает в себя одну или несколько уязвимостей, которые эксплуатируются в угрозе сценарию. TV (Ti) - Угроза уязвимости г-й угрозы; непустое подмножество множества {V1 ... VNv}, которые эксплуатируются i-й угрозы.

Шаг 162: Расчет отношения между уязвимостях и контрмерах. Каждый из контрмер автоматически связывается с контрмеры уязвимостей (CV), который включает в себя одну или несколько уязвимостей, для которых она дает некоторое смягчение. CV рассчитывается исходя из входов в шаге 150.

CV (Ci) - противодействия уязвимости i-го контрмеры; непустое подмножество множества {V1, ..., VNv}, которые могут быть смягчены i-го контрмеры. Шаг 165: Расчет набор рекомендуемых контрмер для каждой угрозы. Каждая угроза автоматически связывается с набором рекомендуется контрмеры смягчения угроз (RCMT), которая включает в себя меры противодействия, которые могут смягчить угрозу. RCMT рассчитывается исходя из входов в шаге 150 и шагом 160. RCMT (Ti) - Рекомендуемая контрмеры смягчения угрозы для г-го угрозы; набор контрмер, которые могут смягчить I-й угрозы.

RCMT (Ti) является подмножеством {С1, ..., CNc}.

4. Политика вводного смягчения Шаг 170: Определение фактического набора смягчения контрмеры для каждой из угроз. Фактические контрмеры смягчающие угрозы (ACMT) конкретной угрозой является подмножеством RCMT, связанные с этой угрозой, которая, для того чтобы быть эффективной, должна быть реализована в целом. Там может быть несколько ACMTs для данной угрозы, каждый из которых представляет различные возможные решения конкретной угрозы. Множество, которое является объединением нескольких ACMTs также могут быть определены пользователем в качестве действительного ACMT. ACMTj (Ti) - j-й фактической контрмеры смягчения угрозы для i-го угрозы; подмножество RCMT (Ti), что обеспечивает некоторое смягчение последствий для i-го угрозы. ACMTj (Ti) называется быть реализованы, если все его контрмеры будут реализованы, в противном случае он считается не реализованы.

Шаг 180: определить меры по смягчению уровня угрозы для каждой из фактического набора смягчения контрмеры. Фактически контрмеры смягчающие уровень угрозы (ACMTL) данного ACMT для конкретных угроз является уровень общего смягчения предоставляемых контрмер в ACMT на риск, связанный с этой угрозой.ACMTL выражается в процентах, где 0% означает, что риск, связанный с угрозой не сводится к конкретным ACMT и 100% означает, что риск, связанный с угрозой полностью смягчены ACMT. ACMTLj (Ti) - фактическая контрмеры смягчающие уровень угрозы предоставляемых j-го ACMT в i-й угрозы; 0 <значение ACMTL ≤ 100; ACMTL объединения нескольких ACMTs должна быть больше или равна максимальному значению отдельных ACMTLs.

Шаг 185: Расчет максимальной и текущей смягчению уровня для каждой угрозы. MaxTM (Ti) - Максимальный уровень снижения угроз является максимальным за все ACMTLj (Ti) (i фиксировано, j изменяется), 0 <значение MaxTM ≤ 100. CurTM (Ti) - Текущий уровень смягчения угрозы максимум по всем реализованных ACMTLj (Ti) (i фиксировано, j изменяется), 0 <значение CurTM ≤ 100.

5. Выполнить расчеты методом PTA Шаг 190: Расчет общей стоимости всех активов банковской системы. Стоимость всех активов банковской системы (Valsa) рассчитывается путем суммирования Вала всех активов. ValSA - стоимость всех активов банковской системы. ValSA = Σ ValA (Ai), где i пробегает все активы

Шаг 200: Расчет относительной стоимости каждого актива. Относительная стоимость актива (RelValA) представляет собой процент от стоимости конкретного актива Вала из общей стоимости всех активов банковской системы. Он рассчитывается путем деления значения Вала актива на общую стоимость всех активов Valsa и умножения на 100.

RelValA (Ai) - Относительное значение г-го актива.

RelValA (Ai) = ValA (Ai) / ValSA * 100; 0 <значение RelValA ≤ 100.

Шаг 210: Расчет относительного уровня повреждений каждой из угроз.

Относительно повреждений угрозы (RelTD) представляет собой процент от повреждений конкретной угрозы от общей стоимости активов в системе. Он рассчитывается путем суммирования умножения относительно ущерба, который может быть вызван угрозой для конкретного актива RelTAD разделен на 100 относительной стоимости актива RelValA.

RelTD (Ti) - относительный ущерб угрозы, которые могут быть вызваны i-го угрозой активов банковской системы.

RelTD (Ti) = Σ RelTAD (Ti, Aj) / 100 * RelValA (Аj), где j пробегает все активы; 0 <значение RelTD ≤ 100.

Шаг 220: Расчет максимального уровня риска каждого угрозы. Максимальный риск угрозы (MaxTR) является ожидаемый ущерб, в процентах от общей стоимости активов в системе, которые могут быть вызваны конкретной угрозы Ti если ни одна из ACMTs для этой угрозе реализован. Он рассчитывается путем умножения относительного ущерба RelTD угрозы от TP вероятности угрозы. MaxTR (Ti) - Максимальный риск угрозы г-й угрозы.

MaxTR (Ti) = RelTD (Ti) * TP (Ti), 0 <значение MaxTR ≤ 100.

Шаг 230: Расчет минимального уровня риска каждого угрозы. Минимальный риск угрозы (MinTR) является ожидаемый ущерб, в процентах от общей стоимости активов в системе, которые могут быть вызваны конкретной угрозы Ti, если наиболее эффективным ACMT (один с самым высоким ACMTL) для этой угрозой осуществляется. Он рассчитывается путем умножения максимальной MaxTR риск угрозы путем фактор, который выражает абсолютный часть угроза того, что осталось после того, как наиболее эффективно ACMT реализован. MinTR (Ti) - минимальный риск угрозы i-й угрозы.

MinTR (Ti) = MaxTR (Ti) * (1 - MaxTM (Ti) / 100); 0 <значение MinTR ≤ 100.

Шаг 240: Расчет текущего уровня риска каждого угрозы. Риск данной угрозы (CurTR) является приближением ожидаемого ущерба, в процентах от общей стоимости активов в системе, которые могут быть вызваны конкретной угрозы, принимая во внимание текущие смягчения предоставляемых реализованы ACMTs для этой угрозе. Он рассчитывается путем умножения максимальной MaxTR риск угрозы путем фактор, который выражает абсолютный часть угроза того, что осталось, принимая во внимание только в настоящее время осуществляются ACMTs на угрозу.

CurTR (Ti) - Текущий риск угрозы i-й угрозы.

CurTR (Ti) = MaxTR (Ti) * (1 - CurTM (Ti) / 100); 0 <значение CurTR ≤ 100.

Шаг 250: Расчет максимального риска для каждого актива. Максимальный риск актива (MaxAR) является верхней границей, в процентах по отношению к общей стоимости активов в системе, на ожидаемый риск для конкретного актива на все угрозы, которые могут повредить конкретного актива, считая, что нет контрмер осуществляется для любого угрозы. Он рассчитывается путем усреднения относительно ущерба, который каждый угроза может привести к конкретным активом. Угрозы, взвешенных по их вероятности.

MaxAR (Ai) - Максимальный риск активов для i-го актива.

MaxAR (Ai) = Σ RelTAD (Tj, Ai) * TP (Tj), где j пробегает все угрозы, которые могут привести к повреждению Ai; значение MaxAR может превышать 100.

Шаг 260: Расчет минимального риска для каждого актива. Минимальный риск актива (MinAR) является нижней границей, в процентах по отношению к общей стоимости активов в системе, на ожидаемый риск для конкретного актива на все угрозы, которые могут повредить конкретного актива, считая, что все ACMTLj (Ti) из всех угроз реализованы. Он рассчитывается путем усреднения относительно ущерба, который каждый угроза может привести к конкретным активом умножается на коэффициент, выражающий абсолютный часть угроза того, что осталось после всех мер реализованы. Угрозы, взвешенных по их вероятности. MinAR (Ai) - минимальный риск активов для г-го актива.

MinAR (Ai) = Σ RelTAD (Tj, Ai) * (1 - MaxTM (Tj) / 100) * TP (Tj), где j пробегает все угрозы, которые могут привести к повреждению Ai; значение MinAR может превышать 100.

Шаг 270: Расчет текущих рисков для каждого актива. Данной риска активов (CurAR) в настоящий момент риск для данного актива, в процентах по отношению к общей стоимости активов в системе, с учетом осуществляемых в настоящее время контрмер. Он рассчитывается путем усреднения относительно ущерба, который каждый угроза может привести к конкретным активом умножается на коэффициент, выражающий абсолютный часть угроза того, что остается, когда осуществляемые в настоящее время ACMTLj (Ti) принимаются во внимание. Угрозы, взвешенных по их вероятности.

CurAR (Ai) - Текущая риска активов для i-го актива.

CurAR (Ai) = Σ RelTAD (Tj, Ai) * (1 - CurTM (Tj) / 100) * TP (Tj), где j пробегает все угрозы, которые могут привести к повреждению Ai; значение CurAR может превышать 100.

Шаг 280: Расчет общей системе максимальный риск. Максимальное значение системного риска (MaxValSR) является финансовым значения риска для системы, если нет контрмер реализованы. Он рассчитывается путем суммирования умножения максимальной MaxAR риска активов по стоимости Вала актива для каждого из активов в системе. Максимальный риск системы (MaxSR) представляет собой риск для системы, в процентах по отношению к общей стоимости всех активов, если нет контрмер реализованы. Он рассчитывается путем деления MaxValSR от общей стоимости всех активов ValSA и умножив его на 100.

MaxValSR - максимальное значение системного риска

MaxValSR = Σ MaxAR (Ai) / 100 * ValA (Ai), где i пробегает все активы; значение MaxValSR может превышать ValSA. MaxSR - Максимальный риск системы MaxSR = MaxValSR / ValSA * 100; значение MaxSR может превышать 100.

Шаг 290: Расчет общей системы минимальным риском. Минимальное значение системного риска (MinValSR) является финансовое значение риска для системы, если все контрмеры реализованы. Он рассчитывается путем суммирования умножения минимального MinAR риска активов по стоимости ValA актива для каждого из активов в системе. Минимальный риск системы (MinSR) представляет собой риск для системы, в процентах по отношению к общей стоимости всех активов, если все контрмеры реализованы. Он рассчитывается путем деления MinValSR от общей стоимости всех активов ValSA и умножив его на 100. MinValSR - минимальное значение системного риска

MinValSR = Σ MinAR (Ai) / 100 * ValA (Ai), где i пробегает все активы; значение MinValSR может превышать ValSA.

MinSR - Минимальный риск системы

MinSR = MinValSR / ValSA * 100; значение MinSR может превышать 100.

Шаг 300: Расчет общей системе текущих рисков. Текущая стоимость системы риск (CurValSR) является финансовым значения риска для системы с учетом вклада контрмеры уже реализована. Он рассчитывается путем суммирования умножения текущей CurAR риска активов по стоимости Вала актива для каждого из активов в системе. Данной системы риск (CurSR) представляет собой риск для системы, в процентах от общей стоимости всех активов, с учетом вклада контрмеры уже реализована. Он рассчитывается путем деления CurValSR от общей стоимости всех активов (ValSA) и умножения на 100.

CurValSR - текущее значение системного риска

CurValSR = Σ CurAR (Ai) / 100 * ValA (Ai), где i пробегает все активы; значение CurValSR может превышать ValSA.

CurSR - Текущий системы риск

CurSR = CurValSR / Valsa * 100; значение CurSR может превышать 100.

В пользовательском интерфейсе, фактические значения трех общего количества рисков, рассчитанные с шагом от 280 до 300, отображается в графе состояния экрана, хотя они могут превышать 100%. Маркер, указывающий на 100% уровень риска может быть добавлено для удобства пользователей. Очевидно, что фактический ущерб активов банковской системы не может превышать 100%, однако уровень риска не является эквивалентом реального ущерба. Она отражает количество усилий, которые должны быть инвестированы в целях смягчения угроз в системе, и так как ни число, ни угрозы их тяжести ограничены, риск количествах, не может быть ограничена до 100%.

Шаг 310: Расчет относительных максимальный риск угрозы для каждой угрозы. Относительная максимальный риск угрозы (RelMaxTR) является процентах от максимального риска конкретной угрозы из общей системы максимальна MaxSR риска. Он рассчитывается путем деления максимальной MaxTR риск угрозы конкретной угрозы для всей системы максимальной MaxSR риска.

RelMaxTR (Ti) - относительный максимальный риск угрозы г-й угрозы

RelMaxTR (Ti) = MaxTR (Ti) / MaxSR * 100; 0 <значение RelMaxTR ≤ 100.

Шаг 320: Расчет относительных минимальным риском угрозы для каждой угрозы. Относительная минимальный риск угрозы (RelMinTR) является процент от минимального риска конкретной угрозы из общей системы минимальных MinSR риска. Он рассчитывается путем деления минимальной MinTR риск угрозы конкретной угрозы для всей системы минимальных MinSR риска.

RelMinTR (Ti) - относительный минимальный риск угрозы i-й угрозы

RelMinTR (Ti) = MinTR (Ti) / MinSR * 100; 0 <значение RelMinTR ≤ 100.

Шаг 330: Расчет относительных текущий риск угрозы для каждой угрозы. Относительный риск текущих угроз (RelCurTR) является процент от текущих рисков конкретной угрозы из общей системы текущего CurSR риска. Он рассчитывается путем деления текущего CurTR риск угрозы конкретной угрозы для всей системы текущего CurSR риска.

RelCurTR (Ti) - относительный риск текущей угрозы i-й угрозы

RelCurTR (Ti) = CurTR (Ti) / CurSR * 100; 0 <значение RelCurTR ≤ 100.

Шаг 340: Расчет текущей общей контрмеры смягчению уровня для каждой контрмеры. Данной контрмеры смягчения (CurCM) конкретных контрмер это процент вклада конкретные контрмеры снижения текущих рисков CurSR системы. Он рассчитывается путем деления разницы CurSRCNotI и CurSRCI по CurSRCNotI и умножив его на 100. CurSRCI является система риск рассчитывается в предположении, что конкретные контрмеры реализована и все другие контрмеры в их текущем состоянии реализации. CurSRCNotI является система риск рассчитывается в предположении, что конкретные контрмеры не реализованы и другие контрмеры в их текущем состоянии реализации.

CurCM (Ci) - Текущая контрмеры смягчение i-го контрмеры.

CurSRCI (Ci) = CurSR предполагая, что i-го контрмеры реализован и все другие контрмеры в их текущем состоянии реализации.

CurSRCNotI (Ci) = CurSR предполагая, что i-го контрмеры не реализованы и другие контрмеры в их текущем состоянии реализации.

CurCM (Ci) = (CurSRCNotI (Ci) - CurSRCI (Ci)) / CurSRCNotI (Ci) * 100; 0 <значение CurCM ≤ 100.

Шаг 350: Расчет эффективности текущей стоимости каждой контрмеры. Данной контрмеры эффективности затрат (CurCCE) конкретных контрмер является текущий общий контрмеры смягчения CurCM на единицу затрат на осуществление в [с]. Он рассчитывается путем деления текущего контрмеры смягчения CurCM по реализации IC стоимости контрмеры.

CurCCE (Ci) - Текущая противодействия экономической эффективности i-го контрмеры. CurCCE (Ci) = CurCM (Ci) / IC (Ci).

Шаг 360: Расчет оптимизированного плана по снижению риска. Оптимизированный план сокращения рисков (OptRRP) представляет собой оптимизированный подмножество контрмеры, которые в случае их осуществления позволит снизить общий ток CurSR уровень риска ниже определенного целевого уровня риска (ТаrR) и в рамках данной целевой бюджет (ТагB). Есть три варианта оптимизации: оптимизация по экономической эффективности (OptCE) и​​, оптимизировать по риску (OptR) и оптимизированы по стоимости (OptC). Эти две цели, ТаrR и ТагB, определить набор решений, которые отвечают этим целям. Каждое решение является подмножеством множества нереализованных в настоящее время контрмер, таких, что если реализованы в целом позволит снизить общий уровень текущих рисков ниже Тарр и затрат на его реализацию не поднимется выше ТагB. Эти три метода оптимизации дальнейшей узкой множество решений: OptCE, предлагает решения, которые являются наиболее экономически эффективными; OptR, предлагает решения, которые позволяют достичь максимального снижения рисков и OptC, предлагает решения, стоимость реализации является самая низкая.

Важно отметить, что для того, чтобы предложить самый быстрый план снижения риска, пользователь должен ввести для каждой контрмеры, срок его реализации или некоторых других параметров, что отражает сложность операции. Число контрмеры в решении не обязательно соответствующий показатель для такого параметра. Важно также отметить, что в определенных ситуациях конфликтов между контрмер может произойти. Например, противодействие, которое смягчает особой уязвимости могут противоречить смягчающие эффект другого контрмеры, направленной на той же или на разных уязвимостей. В такой ситуации пользователю необходимо указать пары противоречивые контрмеры, которые могут повлиять как риск расчеты и рекомендации по соответствующим планам по снижению риска.