Методы расчета рисков

В качестве оценки рисков можно использовать как количественный, так и качественный метод оценки. Для количественного метода оценки рисков и угроз используются следующие показатели:

SLE (Single Loss Expectancy) = Asset Value x EF (Exposure Factor)

ALE (Annualized Loss Expectancy) = SLE x ARO (Annualized Rate of Occurrence)

Total Risk = Threats x Vulnerabilities x Asset Value

ACV (Actual Cost Evaluation)

Asset Value (AV) – Стоимость ресурса, отражает ценность ресурса. При качественном анализе можно использовать фиксированные величины (1 – низкая стоимость, 2- средняя и 3 – высокая стоимость). Например, сервер активного каталога будет иметь показатель AV=3, а рабочая станция AV=1.

Exposure Factor (EF) – Степень защищенности ресурса. Демонстрирует насколько данный ресурс подвержен угрозе. При качественном анализе можно использовать фиксированные величины (1 – низкая степень уязвимости или воздействия, 2- средняя степень уязвимости или большая вероятность восстановления ресурса и 3 – высокая степень уязвимости или возникнет необходимость замены ресурса). Например, сервер активного каталога будет иметь показатель EF=2.

Annualized Rate of Occurrence (ARO) – Оценка возможности возникновения угрозы. Указывает вероятность реализации конкретной угрозы за фиксированный промежуток времени (год). При качественном анализе можно использовать фиксированные величины (1 – низкая вероятность, 2- средняя и 3 – высокая вероятность). Например, сервер активного каталога будет иметь показатель ARO=1.

Annual Loss Exposure (ALE) – Оценка ожидаемых потерь вследствие воздействия определённой угрозы за определённый период времени. При качественном анализе можно использовать фиксированные величины (1 – низкая стоимость, 2- средняя и 3 – высокая стоимость). Например, сервер активного каталога будет иметь показатель AV=3, а рабочая станция AV=1.

При качественной оценке рисков можно воспользоваться следующей матрицей:

Оценка последствий – оценка потерь, в результате появления факта риска.

Оценка вероятности – оценка вероятности появления того или иного риска

Таблица классификации рисков

Комбинация значений обоих таблиц (последствия + вероятность) ведет к определению уровня риска. Критерий уровня риска, который может быть принят (например, значения от 0 до 2) или непринят (например, значения от 3 и выше) определяется в соответствующем стандарте или политике в организации самостоятельно или в соответствии с требованиями или рекомендациями регуляторов.

Основной критерий при ведении оценки рисков и разработки механизмов их снижения, стоимость контрмер не должна превышать стоимость средств защиты.