Анализ рисков информационной безопасности (качественные и количественные оценки рисков по двум факторам).
В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой: РИСК = Рпроисшествия × ЦЕНА ПОТЕРИ.
Если переменные являются количественными величинами, то риск - это оценка математического ожидания потерь.
Когда переменные - качественные величины, метрическая операция умножения не определена. Таким образом, в явном виде эту формулу применять не следует. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).
Сначала должны быть определены шкалы.
Приведем пример субъективной шкалы вероятностей событий:
А - событие практически никогда не происходит;
В - событие случается редко;
С - вероятность события за рассматриваемый промежуток времени - около 0,5;
D - скорее всего, событие произойдет;
Е - событие почти обязательно произойдет.
Кроме того, устанавливается субъективная шкала серьезности происшествий, скажем, в соответствии с:
N (Negligible) - воздействием можно пренебречь;
· Mi (Minor) - незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию незначительно;
· Mo (Moderate) - происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию небольшое и не затрагивает критически важные задачи;
· S (Serious) - происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, влияет на выполнение критически важных задач;
· С (Critical) - происшествие приводит к невозможности решения критически важных задач.
Для оценки рисков устанавливается шкала из трех значений:
· низкий риск;
· средний риск;
· высокий риск.
Риск, связанный с конкретным событием, зависит от двух факторов и может быть определен так, как в табл. 3.1.
Таблица 3.1. Определение риска в зависимости от двух факторов
| Шкала | Negligible | Minor | Moderate | Serious | Critical |
| А | Низкий риск | Низкий риск | Низкий риск | Средний риск | Средний риск |
| В | Низкий риск | Низкий риск | Средний риск | Средний риск | Высокий риск |
| С | Низкий риск | Средний риск | Средний риск | Средний риск | Высокий риск |
| D | Средний риск | Средний риск | Средний риск | Средний риск | Высокий риск |
| Е | Средний риск | Высокий риск | Высокий риск | Высокий риск | Высокий риск |
Шкалы факторов риска и сама таблица могут быть построены иначе, иметь другое число градаций.
Подобный подход к оценке рисков достаточно распространен.
При разработке (использовании) методик оценивания рисков надо учитывать следующие особенности:
значения шкал должны быть четко определены (необходимо их словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки;
· требуется обоснование выбранной таблицы. Следует убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков. Для этого существуют специальные процедуры проверки, подробности можно посмотреть в приложении 5.