Шкалы и критерии, по которым измеряются риски

Для измерения рисков не существует естественной шкалы.

Риски можно оценивать по объективным либо субъективным критериям

Примером объективного критерия является вероятность выхода из строя какого-либо оборудования, например, ПК за определенный промежуток времени.

Примером субъективного критерия является оценка владельцем информационного ресурса риска выхода из строя ПК. Для этого обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровень.

В методиках анализа рисков, как правило, используются субъективные критерии, измеряемые в качественных шкалах, поскольку:

· Оценка должна отражать субъективную точку зрения владельца информационных ресурсов.

· Должны быть учтены различные аспекты, не только технические, а и организационные, психологические, и т.д.

Субъективные шкалы могут быть количественными и качественными, но на практике, как правило, используются качественные шкалы с 3-7 градациями.

Объективные и субъективные вероятности

ОБЪЕКТИВНАЯ

Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему их количеству. Объективная вероятность возникает при анализе результатов большого числа наблюдений, имевших место в прошлом, а также как следствия из моделей, описывающих некоторые процессы.

СУБЪЕКТИВНАЯ

Субъективная вероятность - мера уверенности некоторого человека или группы людей в том, что данное событие в действительности будет иметь место.

Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. Субъективная вероятность увязывается с системой предпочтений лица, принимающего решения, и в с функцией полезности, отражающей его предпочтения на множестве альтернатив.

Вариант использования качественных величин (наиболее часто встречающаяся ситуация).

Определяется субъективная шкала вероятностей событий

A — Событие практически никогда не происходит.

B — Событие случается редко.

C — Вероятность события за рассматриваемый промежуток времени — около 0.5.

D — Скорее всего событие произойдет.

E — Событие почти обязательно произойдет.

Определяется субъективная шкала серьезности происшествий

N (Negligible) — Воздействием можно пренебречь.

Mi (Minor) — Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий не велики, воздействие на информационную технологию - незначительно.

Mo (Moderate) — Происшествие с умеренными ре зультатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико и не затрагивает критически важные задачи.

S (Serious) — Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач.

C (Critical) — Происшествие приводит к невозможности решения критически важных задач.

Для оценки рисков определяется шкала из трех значений:

· Низкий риск.

· Средний риск

· Высокий риск

При разработке (использовании) методик оценки рисков необходимо, чтобы значения шкал были четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки.

Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций.

Оценка рисков по трем факторам

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами:

* Оценка вероятности возникновения угрозы (построение модели нарушителя);

* Оценка вероятности реализации угроз через существующие уязвимости с учетом имеющихся средств управления ИБ;

* Оценка цены ущерба, который может быть нанесен бизнесу от потери конфиденциальности, целостности и доступности активов.

Риск = Р_{возн угр} × Р _реал × Ц

Таблица. Определение риска в зависимости от трех факторов

Шкалы и критерии, по которым измеряются риски - student2.ru