Лекция 8. Понятие «риск» в контексте безопасности совокупностей
Анализ рисков есть неотъемлемой составляющей процесса управления рисками совокупностей, среди них и информационными. Это разъясняется тем, что анализ риска разрешает более действенно руководить безопасностью, и вовремя определять, что именно подлежит защите в совокупности, действию каких угроз она подвержена, и выработать советы по практике защиты. В ходе качественного анализа возможно выведена широкая несколько, либо пара групп рисков, наряду с этим возможность каждого типа риска разна, кроме этого как и количества ущербов, каковые они смогут позвать. Качественная оценка возможности наступления отдельных рисков и ущербов разрешает выделить самые вероятные по происхождению и весомые по величине утрат риски, каковые будут являться объектами предстоящего анализа для принятия мер по их пресечению
Анализ информационных рисков — процесс комплексной оценки защищенности информационной совокупности с переходом к количественным либо качественным показателям рисков. Наряду с этим риск — это возможность происхождения ущерба определенной величины, т.е возможный ущерб, что зависит от защищенности совокупности. Подуправлением рискамипонимается уменьшения и процесс идентификации рисков, каковые смогут влиять на информационную совокупность. Результаты анализа употребляются при выборе средств защиты, оценке эффективности существующих и проектируемых систем СЗИ.
Разглядим обычные вопросы, появляющиеся при реализации концепции управления рисками, и вероятные подходы к их ответу.
Оценка рисков
Для измерения какого-либо свойства нужно выбрать шкалу.
Как пример разглядим варианты выбора шкалы для измерения характеристического свойства «сокровище информационного ресурса».
Для измерения рисков не существует полной шкалы. Риски возможно оценивать по объективным или субъективным параметрам. Для оценки данным способом в большинстве случаев разрабатывается ранговая шкала с несколькими градациями, к примеру: низкий, средний, большой уровни.
Существует последовательность подходов к измерению рисков. Разглядим самый распространенные: оценка по двум факторам и оценка по трем факторам.
Оценка рисков по двум факторам
В несложном случае употребляется оценка двух факторов: тяжесть и вероятность происшествия вероятных последствий. В большинстве случаев считается, что риск тем больше, чем больше тяжесть последствий и вероятность происшествия. Неспециализированная мысль возможно выражена формулой:
РИСК = Pущерба x ЦЕНА УЩЕРБА.
В случае, если переменные являются количественными размерами, риск — это оценка математического ожидания утрат.
В случае, если переменные являются качественными размерами, то операция умножения не выяснена. Так, в явном виде эта формула употребляться не должна. Разглядим вариант применения качественных размеров (чаще всего видящаяся обстановка).
Сперва должны быть найдены значения лингвистической переменной возможности событий, к примеру таковой шкалы:
— А — событие фактически ни при каких обстоятельствах не происходит;
— В — событие случается редко;
— С — возможность события за разглядываемый временной отрезок — около 0,5;
— D — вероятнее, событие случится;
— Е — событие практически непременно случится.
Помимо этого, определяется лингвистическая переменная серьезности происшествий, к примеру:
— N (Negligible) — действием возможно пренебречь.
— Mi (Minor) — незначительное происшествие: последствия легкоустранимы, затраты для борьбы с последствиями малы, действие на информационную разработку незначительно;
— Mo (Moderate) — происшествие с умеренными результатами: ликвидация последствий не связана с большими затратами, действие на информационную разработку мало и не затрагивает критически ответственные задачи;
— S (Serious) — происшествие с важными последствиями: ликвидация последствий связана со большими затратами, действие на информационные разработки ощутимо, воздействует на исполнение критически ответственных задач;
— С (Critical) — происшествие ведет к неосуществимости ответа критически ответственных задач.
Для оценки рисков определяется переменная из трех значений: низкий риск, средний риск, большой риск.
Риск, который связан с определенным событием, зависит от двух факторов и возможно выяснен как продемонстрировано в табл. 1
Шкалы факторов сама таблица и риска смогут быть выяснены в противном случае, иметь второе число градаций.
Таблица 1 Определение риска в зависимости от двух факторов
Подобный подход к оценке рисков достаточно распространен. При разработке (применении) методик оценки рисков нужно учитывать следующие изюминки:
— значения шкал должны быть четко выяснены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки;
— требуются обоснования выбранной таблицы. Нужно убедиться, что различные инциденты, характеризующиеся однообразными сочетаниями факторов риска, имеют с позиций специалистов однообразный уровень рисков.
Подобные методики активно используются при проведении анализа рисков базисного уровня.