УПРАВЛЕНЧЕСКОЕ ПОВЕДЕНИЕ В УСЛОВИЯЗ РИСКА.
Пример
Пример
Оценка рисков
Существует ряд подходов к оценке (измерению) рисков. Рассмотрим наиболее распространенные:
оценка по двум факторам и оценка по трем факторам.
Оценка рисков по двум факторам
В простейшем случае используется оценка двух факторов:
§ вероятность происшествия;
§ тяжесть возможных последствий.
Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий, что может быть выражено формулой:
РИСК = Рпроисшествия * ЦЕНА ПОТЕРИ
Если переменные являются количественными показателями, риск – это оценка математического ожидания потерь.
Если переменные являются качественными показателями, что является наиболее часто встречающейся ситуацией, то формула не может быть использована в явном виде, т.к. операция умножения не определена. Рассмотрим вариант использования качественных показателей.
1. Определяются значения лингвистической переменной вероятности событий (таким же образом может быть использован математический аппарат теории нечетких множеств):
А - событие практически никогда не происходит;
В - событие случается редко;
С - вероятность события за рассматриваемый промежуток времени около 0.5;
D - скорее всего событие произойдет;
Е - событие почти обязательно произойдет.
2. Определяется лингвистическая переменная серьезности происшествий:
N (Negligible) – воздействием можно пренебречь;
Mi (Minor) – незначительное происшествие (воздействие на ИС незначительно, последствия легкоустранимы);
Mo (Moderate) – происшествие с умеренными результатами (воздействие на ИС невелико и не затрагивает критически важных задач);
S (Serious) – происшествие с серьезными последствиями;
С (Сritical) – происшествие затрагивает критически важные задачи.
Для оценки рисков определяется переменная из трех значений:
§ НР, низкий риск;
§ СР, средний риск;
§ ВР, высокий риск.
Таким образом, риск зависит от двух факторов и может быть определен, как показано в таблице.
Определение риска в зависимости от двух факторов
| N | Mi | Mo | S | C | |
| A | НР | НР | НР | СР | СР |
| B | НР | НР | СР | СР | ВР |
| C | НР | СР | СР | СР | ВР |
| D | СР | СР | СР | СР | ВР |
| E | СР | ВР | ВР | ВР | ВР |
Заметим, что при определении рисков по такой схеме, шкалы факторов риска и сама таблица могут быть определены иначе и иметь другое число градаций. Подобный подход широко применяется при проведении анализа рисков базового уровня.
Оценка рисков по трем факторам
При оценке рисков в системах, рассчитанных на более высокие требования к защищенности, используются модели оценки риска по трем факторам:
§ угроза (совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации);
§ уязвимость (слабость в системе защиты, которая делает возможным реализацию угрозы);
§ цена потери (это качественная или количественная оценка степени серьезности происшествия).
В случае количественных показателей, вероятность происшествия может рассчитываться по формуле:
Рпроисшествия = Ругрозы * Руязвимости
Соответственно, риск определяется по формуле:
РИСК = Ругрозы * Руязвимости * ЦЕНА ПОТЕРИ
В случае качественных показателей эти формулы могут рассматриваться как формулировка общей идеи, практически же для определения риска используются различного рода табличные методы.
Показатель риска установлен по шкале от 0 до 8, со следующими определениями уровня риска:
1 - риск практически отсутствует;
2 – риск очень мал;
...
8 – риск очень велик.
Уровни уязвимости:
Н – низкий;
С – средний;
В – высокий.
Матрица для определения риска по трем факторам представлена в таблице.
Определение риска в зависимости от трех факторов
| Цена потери | Уровень угрозы | ||||||||||
| Низкий, Н | Средний, С | Высокий, В | |||||||||
| Уровни уязвимости | Уровни уязвимости | Уровни уязвимости | |||||||||
| Н | С | В | Н | С | В | Н | С | В | |||
| Незначительная | |||||||||||
| Умеренная | |||||||||||
| Серьезная | |||||||||||
| Критическая | |||||||||||
Подобные таблицы используются как в “бумажных” вариантах методик оценки рисков, так и в различного рода инструментальных средствах анализа рисков.
Рассмотренные методики удобны при создании системы защиты информации и ее модернизации при возникновении новых угроз.