Лабораторная работа Исследование системы анализа рисков и проверки политики информационной безопасности предприятия
жүктеу/скачать 7,35 Mb. Pdf көрінісі
|
Зертханалық жұмыстар
| Оценка рисков по двум факторам
В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея 33 может быть выражена формулой: РИСК=Рпроисшествия Х ЦЕНА ПОТЕРИ (1.) Если переменные являются количественными величинами, риск — это оценка математического ожидания потерь. Если переменные являются качественными величинами - то операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. Рассмотрим вариант использования качественных величин (наиболее часто встречаю- щаяся ситуация). Сначала должны быть определены значения лингвистической переменной вероятности событий, например такой шкалы: А - событие практически никогда не происходит; В - событие случается редко; С - вероятность события за рассматриваемый промежуток времени — около 0,5; В - скорее всего, событие произойдет; Е - событие почти обязательно произойдет. Кроме того, определяется лингвистическая переменная; серьезности происшествий, например: N (Negligible) — воздействием можно пренебречь. Mi (Minor) — незначительное происшествие - последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию незначительно; Мо (Moderate) — происшествие с умеренными результатами - ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию невелико и не затрагивает критически важные задачи; S (Serious) — происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач; С (Critical) — происшествие приводит к невозможности решения критически важных задач. 34 Для оценки рисков определяется переменная из трех значений: низкий риск, средний риск, высокий риск. Риск, связанный с определенным событием, зависит от двух факторов и может быть определен как показано в таблице 2. Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций. Таблица.2. Определение риска в зависимости от двух факторов Negligible Minor Moderate Serious Critical А Низкий риск Низкий риск Низкий риск Средний риск Средний риск В Низкий риск Низкий риск Средний риск Средний риск Высокий риск С Низкий риск Средний риск Средний риск Средний риск Высокий риск D Средний риск Средний риск Средний риск Средний риск Высокий риск Е Средний риск Высокий риск Высокий риск Высокий риск Высокий риск Подобный подход к оценке рисков достаточно распространен. При разработке (использовании) методик оценки рисков необходимо учитывать следующие особенности: - значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки; - требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков. Подобные методики широко применяются при проведении анализа рисков базового |