Методики и программные продукты для оценки рисков

Для детального изучения (составления "перечня на уровне детализации") отбираются риски, отнесенные по результатам оценки на обобщенном уровне к одной из трех групп:

• риски высокого уровня;
• граничные риски: риски среднего уровня, которые необходимо снижать;
• противоречивые риски: риск является новым и знаний об этом риске у организации недостаточно или различные заинтересованные лица оценивают этот риск по-разному.

Формирование перечня рисков на уровне детализации является последней задачей процесса оценки рисков. В этом перечне каждому риску в итоге сопоставляется оценка в числовой (денежной) форме.

Вновь определяются:

• величина влияния и подверженности воздействию;
• текущие элементы контроля;
• вероятности влияния;
• уровень риска.

Уровень подверженности воздействию оценивается по пятибалльной шкале. Шкала для угрозы целостности и конфиденциальности приведена на рис. 4.13. Для угрозы отказа в обслуживании - на рис. 4.14. В качестве итогового уровня подверженности воздействию предлагается выберите максимальное значение.

увеличить изображение
Рис. 4.13. Уровни подверженности воздействию для угроз конфиденциальности и целостности

увеличить изображение
Рис. 4.14. Уровни подверженности воздействию для доступности

После определения уровня подверженности воздействию производится оценка величины влияния. Каждому уровню подверженности воздействию сопоставляется значение в процентах, отражающее величину ущерба, причиненного активу, и называемое фактором подверженности воздействию. Майкрософт, рекомендует использовать линейную шкалу подверженности воздействию от 100 до 20%, которая может изменяться в соответствии с требованиями организации. Кроме того, каждой величине влияния сопоставляется качественная оценка: высокая, средняя или низкая. На рис. 4.15 показаны возможные значения для каждого класса влияния.

Рис. 4.15. Определение величин влияния

Далее описываются "элементы контроля", используемые в организации для снижения вероятностей угроз и уязвимостей, определенных в формулировке влияния.

Следующая задача - определение вероятности влияния. Результирующий уровень вероятности определяется на основании двух значений. Первое значение определяет вероятность существования уязвимости в текущей среде. Второе значение определяет вероятность существования уязвимости исходя из эффективности текущих элементов контроля. Каждое значение изменяется в диапазоне от 1 до 5. Определение оценки проводится на основе ответов на вопросы, перечень которых представлен на рис. 4.16, с последующим переходом к результирующей оценке ( рис. 4.17). При этом разработчики руководства указывают, что оценка вероятности взлома имеет субъективный характер и предлагают при проведении оценки уточнять приведенный перечень.

Рис. 4.16. Оценка уязвимости

Рис. 4.17. Оценка уровня вероятности

Рис. 4.18 приведена шкала оценки эффективности текущих мер и средств защиты. Меньший результат означает большую эффективность элементов контроля и их способность уменьшать вероятность взлома.

Рис. 4.18. Оценка эффективности текущего контроля

Полученные значения суммируются и заносятся в шаблон для уровня детализации.

Рис. 4.19. Результирующая оценка