Определение риска в зависимости от двух факторов
|
N |
Mi |
Mo |
S |
C |
A |
НР |
НР |
НР |
СР |
СР |
B |
НР |
НР |
СР |
СР |
ВР |
C |
НР |
СР |
СР |
СР |
ВР |
D |
СР |
СР |
СР |
СР |
ВР |
E |
СР |
ВР |
ВР |
ВР |
ВР |
Заметим, что при определении рисков по такой схеме, шкалы факторов риска и сама таблица могут быть определены иначе и иметь другое число градаций. Подобный подход широко применяется при проведении анализа рисков базового уровня.
Оценка рисков по трем факторам
При оценке рисков в системах, рассчитанных на более высокие требования к защищенности, используются модели оценки риска по трем факторам:
угроза (совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации);
уязвимость (слабость в системе защиты, которая делает возможным реализацию угрозы);
цена потери (это качественная или количественная оценка степени серьезности происшествия).
В случае количественных показателей, вероятность происшествия может рассчитываться по формуле:
Рпроисшествия = Ругрозы * Руязвимости
Соответственно, риск определяется по формуле:
РИСК = Ругрозы * Руязвимости * ЦЕНА ПОТЕРИ
В случае качественных показателей эти формулы могут рассматриваться как формулировка общей идеи, практически же для определения риска используются различного рода табличные методы.
Пример
Показатель риска установлен по шкале от 0 до 8, со следующими определениями уровня риска:
1 - риск практически отсутствует;
2 – риск очень мал;
...
8 – риск очень велик.
Уровни уязвимости:
Н – низкий;
С – средний;
В – высокий.
Матрица для определения риска по трем факторам представлена в таблице.
Определение риска в зависимости от трех факторов
Цена потери |
Уровень угрозы |
||||||||||
Низкий, Н |
Средний, С |
Высокий, В |
|||||||||
Уровни уязвимости |
Уровни уязвимости |
Уровни уязвимости |
|||||||||
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
|||
Незначительная |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
||
Умеренная |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
||
Серьезная |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
||
Критическая |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
||
Подобные таблицы используются как в “бумажных” вариантах методик оценки рисков, так и в различного рода инструментальных средствах анализа рисков.
Рассмотренные методики удобны при создании системы защиты информации и ее модернизации при возникновении новых угроз.
Волков А.Г.