logo search
Материалы для PDF / Информационная безопасность

Оценивание показателей частоты повторяемости и возможного ущерба от риска

Рассмотрим пример оценки негативного воздействия от нежелательных происшествий.

Каждому ресурсу присваивается определенное значение, соответствующее потенциальному ущербу от воздействия угрозы. Такие показатели присваиваются ресурсу по отношению ко всем возможным угрозам.

Далее оценивается показатель частоты повторяемости. Частота зависит от вероятности возникновения угрозы и простоты использования уязвимости. Показатель частоты является субъективной мерой возможности реализации угрозы и оценивается, как правило, в качественных шкалах. Примером является табл. 7.2, где заданы субъективные частоты реализации события в шкале 0 (крайне редко) — 4 (очень часто) для разных уровней угроз и уязвимостей (Н, С, В — низкий, средний, высокий уровень уязвимости). Далее определяется субъективная шкала рисков в зависимости от показателя ценности ресурса и частоты, пример приведен в табл. 7.3 ( 0 — минимальный риск, 8 — максимальный риск). Эти значения должны отражать позицию организации по отношению к рассматриваемым рискам.

Таблица 7.2. Уровни угрозы

Уровень угрозы

Низкий

Средний

Высокий

Уровни уязвимости

Уровни уязвимости

Уровни уязвимости

Н

С

В

Н

С

В

Н

С

В

0

1

2

1

2

3

2

3

4

Таблица 7.3. Субъективные частоты

Показатель ресурса

Показатель частоты

0

1

2

3

4

0

0

1

2

3

4

1

1

2

3

4

5

2

2

3

4

5

6

3

3

4

5

6

7

4

4

5

6

7

8