Подходы к оценке рисков

В простейшем случае для вычисления риска производится оценка двух факторов: вероятность происшествия (Р происшествия) и тяжесть возможных последствий (ЦенаПотери).

РИСК=Р происшествия? ЦенаПотери.

Если переменные являются количественными величинами, то риск — оценка математического ожидания потерь.

Если переменные — качественные величины, метрическая операция умножения не определена и в явном виде эту формулу применять нельзя.

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень обеспечения безопасности, используется модель оценки риска по трем факторам: угроза (Р угрозы), уязвимость (Р уязвимости), цена потери. При этом

Р происшествия= Р уязвимости ? Р угрозы,

тогда:

РИСК = Р уязвимости ? Р угрозы ? ЦенаПотери.

Данное выражение необходимо рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае применяются различные табличные методы для расчета риска в зависимости от трех факторов.

Для оценки угроз и уязвимостей применяются различные методы, в основе которых лежат:

•экспертные оценки;

•статистические данные;

•учет факторов, влияющих на уровни угроз и уязвимостей.

Один из возможных подходов к разработке подобных методик — накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Однако при реализации такого подхода возникают следующие сложности:

•должен быть собран материал о происшествиях;

•если информационная система сравнительно невелика и эксплуатирует новейшие элементы технологии, оценки угроз и уязвимостей могут оказаться недостоверными.