Определение вероятности реализации угроз информации
1. Маловероятная: отсутствуют объективные предпосылки для осуществления угрозы.
2. Низкая: объективные предпосылки реализации угрозы существуют, но приняты меры, существенно затрудняющие её реализацию.
3. Средняя: объективные предпосылки реализации угрозы существуют, но принятые меры безопасности недостаточны.
4. Высокая: объективные предпосылки реализации угрозы существуют, не приняты меры безопасности или принятые меры безопасности недостаточны.
Например:
Кража носителей информации. Угроза осуществляется путем несанкционированного доступа внешними или внутренними нарушителями к носителям информации.
Если в компании введен контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок, установлены решетки на первых и последних этажах здания, ведется учет, хранение носителей в сейфе, то вероятность реализации угрозы – является маловероятной.
Угрозы утечки акустической (речевой) информации.
Если в компании функции голосового ввода данных или функции воспроизведения данных акустическими средствами отсутствуют – то вероятность реализации угрозы – являются маловероятными.
Определение актуальности угрозы информации
Таблица 2.2. Определение актуальности угрозы информации
| Вероятность реализации угрозы | Показатель опасности угрозы | ||
| низкий | средний | высокий | |
| маловероятная | неактуальная | неактуальная | актуальная |
| низкая | неактуальная | актуальная | актуальная |
| средняя | актуальная | актуальная | актуальная |
| высокая | актуальная | актуальная | актуальная |
Таблица 2.3.Качественная шкала оценки уровня ущерба
| № | Уровень ущерба | Описание |
| Малый | Незначительные потери материальных активов, которые быстро восстанавливаются, или незначительные последствия для репутации компании | |
| Умеренный | Заметные потери материальных активов или умеренные последствия для репутации компании | |
| Средней тяжести | Существенные потери материальных активов или значительный урон репутации компании | |
| Большой | Большие потери материальных активов и большой урон репутации компании | |
| Критический | Критические потери материальных активов или полная потеря репутации компании на рынке, что делает невозможным ее дальнейшую деятельность |
Таблица 2.4.Качественная шкала оценки вероятности проведения атаки
| № | Вероятность атаки | Описание |
| Очень низкая | Атака практически никогда не будет проведена. Соответствует числовому интервалу вероятности (0, 0,25) | |
| Низкая | Вероятность проведения атаки достаточно низкая. Соответствует числовому интервалу вероятности ([0,25, 0,5) | |
| Средняя | Вероятность проведения атаки приблизительно равна 0,5 | |
| Высокая | Атака скорее всего будет проведена. Соответствует числовому интервалу вероятности (0,5, 0,75) | |
| Очень высокая | Атака почти наверняка будет проведена. Соответствует числовому интервалу вероятности (0,75, 1) |
Для вычисления уровня риска по качественным шкалам применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке - уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении соответствующих строк и столбцов, содержат уровень риска безопасности (табл. 4). Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба.
Таблица 2.5.Определение уровня риска информационной безопасности по качественной шкале