Кількісне визначення величини ризику Олександр Астахов - Мистецтво управління інформаційними
Кількісно величину ризику, пов'язаного із здійсненням конкретної загрози безпеці щодо конкретного активу, можна виразити за допомогою наступної простої математичної формули:
.[Величина ризику]= [Вірогідність події] × [Розмір шкоди],
[Вірогідність події] = [Вірогідність погрози] × [Величина вразливості].
У цих формулах:
Імовірність успішної реалізації загрози щодо активу з використанням уразливості та заподіяння шкоди організації
Імовірність того, що загроза щодо активу реалізовуватиметься (успішність або неуспішність реалізації загрози визначається величиною вразливості). Насправді для обчислення ризику використовується не математична ймовірність загрози, а очікувана кількість спроб реалізації загрози за певний період. Спеціально, щоб не було плутанини в стандартах, замість математичного терміну probability використовується поняття likelihood. Цей термін, хоч і перекладається українською так само, як «імовірність», на практиці означає можливість реалізації загрози, що характеризується приблизною частотою її реалізації за певний період часу.
Імовірність те, що у разі реалізації загрози щодо активу цю загрозу буде реалізовано успішно з використанням цієї вразливості, тобто. безпека активу в результаті буде порушена і організація зазнає певних збитків
Для визначення величини ризику використовуються кількісні оціночні значення, отримані шляхом експертних оцінок, прогнозування, а також на підставі статистичних даних. Розмір шкоди зазвичай виявляється у грошових одиницях, величина вразливості набуває значення діапазоні від 0 до 1, а ймовірність загрози є цілим позитивним числом, визначальним очікувану кількістьспроб реалізації загрози за певний період.
Кількісне визначення величини ризику:
[Величина ризику]= [Вірогідність загрози]× [Величина вразливості] × [Розмір шкоди].
Для обчислення ризиків зручно використовувати період часу, що дорівнює одному році. У цьому випадку величина ризику відповідає прогнозованим середньорічним втратам організації внаслідок інцидентів безпеки (Annual Loss Expectancy – ALE). Цю величину зручно використовуватиме співвідношення витрат на безпеку з величиною ризику та для оцінки повернення інвестицій, що досягається за рахунок зменшення величини ризику, що відповідає певному скороченню середньорічних втрат організації.
Величина ризику= Середньорічні втрати організації внаслідок здійснення загрози щодо активу з використанням уразливості (ALE–AnnualLossExpectancy).
Це найбільш прагматичний та повсюдно використовуваний спосіб визначення величини ризиків. Втрати організації виражаються у певному грошовому еквіваленті, адже гроші – це найбільш універсальний інструмент для вимірювання цінності, що застосовується у суспільстві. Якою б не була шкода, матеріальна чи нематеріальна, пряма чи непряма, бажано її зіставити певній грошовій величині. Інакше, що це за шкода така, якщо він ламаного гроша не коштує?
Насправді оцінка ризиків завжди проводиться певному рівні деталізації. Всі складові ризику можуть бути розкладені на більш дрібні складові елементи, що дозволяє отримати більш точні та деталізовані оцінки ризиків, і, навпаки, фактори ризику можуть бути згруповані для більш загальних оцінок.
Тому формула для обчислення ризикунабуває наступного вигляду:
[Величина групи ризиків]= [Очікувана кількість спроб реалізації групи загроз протягом року] × [Сумарна величина групи уразливостей] × [Розмір сумарних збитків].
Практична формула для визначення величини ризиків:
[Величина групи ризиків]= [Очікувана кількість спроб реалізації групи загроз протягом року] × [Сумарна величина групи уразливостей] × [Розмір сумарних збитків].
Залежно від рівня деталізації однієї організації можуть розглядатися від кількох десятків до кількох сотень і навіть тисяч ризиків інформаційної безпеки. Завжди слід починати з високорівневої оцінки ризиків, якій відповідає найнижчий рівень деталізації, підвищуючи деталізацію за необхідності. Приводом для проведення більш низькорівневої (більш детальної) оцінки ризиків може бути те, що проведена високорівнева оцінка не надає достатньої інформації для прийняття керівництвом організації обґрунтованих рішень щодо обробки ризиків.