Количествено определяйки величината на риска, Александър Астахов - Изкуството на управлението на информацията

Количествено, размерът на риска, свързан с изпълнението на конкретна заплаха за сигурността по отношение на конкретен актив, може да бъде изразен чрез следната проста математическа формула:

.[Риск] = [Вероятност за събитие] × [Размер на щетата],

[Вероятност за събитие] = [Вероятност за заплаха] × [Мащаб на уязвимостта].

В тези формули:

Вероятност за успешно прилагане на заплаха срещу актив, използвайки уязвимост и причинявайки щети на организацията

Вероятността, че заплахата за актива ще бъде реализирана (успехът или неуспехът на заплахата се определя от големината на уязвимостта). На практика рискът се изчислява, като се използва не математическата вероятност за заплаха, а очакваният брой опити за реализиране на заплаха за определен период от време. По-конкретно, за да се избегне объркване в стандартите, вместо математическия термин вероятност се използва терминът вероятност. Този термин, макар и преведен на руски по същия начин като "вероятност", на практика означава възможността за заплаха, характеризираща се с приблизителната честота на нейното прилагане за определен период от време

Вероятността, че в случай на заплаха срещу актив, тази заплаха ще бъде успешно приложена, използвайки тази уязвимост, т.е. В резултат на това безопасността на актива ще бъде нарушена и организацията ще претърпи известни щети

За да се определи големината на риска, се използват прогнозни количествени стойности, получени чрез експертни оценки, прогнози, а също и въз основа на статистически данни. Размерът на щетите обикновено се изразява в парични единици, степента на уязвимост варира от 0 до 1, а вероятността за заплаха е положително цяло число, което определя очаквания брой опити за изпълнение на заплаха за определен период от време.

Количествено определяне на големината на риска:

[Риск] = [Вероятност за заплаха] × [Количество на уязвимостта] × [Количество на щетите].

Удобно е да се използва период от една година за изчисляване на рисковете. В този случай величината на риска съответства на прогнозираните средногодишни загуби на организацията поради инциденти със сигурността (Годишна очаквана загуба - ALE). Тази стойност е удобна за използване за корелация на разходите за сигурност с величината на риска и за оценка на възвръщаемостта на инвестицията, постигната чрез намаляване на величината на риска, което съответства на определено намаляване на средногодишните загуби на организацията.

Мащаб на риска = Средни годишни загуби за организация в резултат на заплаха за актив, използващ уязвимост ( Але - Годишен Загуба Очакване ).

Това е най-прагматичният и широко използван начин за измерване на рисковете. Загубите на една организация се изразяват в определен паричен еквивалент, тъй като парите са най-универсалният инструмент за измерване на стойността, използван в съвременното общество. Каквато и да е вредата, материална или нематериална, пряка или непряка, желателно е да се сравни с определена парична стойност. В противен случай каква щета е, ако не струва и стотинка?

На практика оценките на риска винаги се извършват с определено ниво на детайлност. Всички рискови компоненти могат да бъдат разложени на по-малки компоненти, което дава възможност за по-точни и подробни оценки на риска и, обратно, рисковите фактори могат да бъдат групирани, за да се получат по-общи оценки.

Следователно формулата за изчисляване на риска приема следната форма:

[Размер на рисковата група] = [Очакван брой опити за изпълнение на група заплахи през годината] × [Обща стойност на групата за уязвимост] × [Количество на общата щета].

Практическа формула за определяне на големината на рисковете:

[Размер на рисковата група] = [Очакван брой опити за реализиране на група заплахи през годината] × [Обща стойност на групата от уязвимости] × [Количество на общите щети].

В зависимост от нивото на детайлност за една организация могат да се вземат предвид от няколко десетки до няколкостотин или дори хиляди рискове за информационна сигурност. Винаги трябва да започвате с оценка на риска на високо ниво, която съответства на най-ниското ниво на детайлност, като увеличавате детайлите, ако е необходимо. Причината за извършване на по-ниска (по-подробна) оценка на риска може да бъде, че проведената оценка на високо ниво не предоставя достатъчно информация за ръководството на организацията за вземане на информирани решения за третиране на риска.