ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 30.11.2023
Просмотров: 58
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Следующая задача
- определение вероятности влияния.
Результирующий уровень вероятности определяется на основании двух значений. Первое значение определяет вероятность существования уязвимости в текущей среде. Второе значение определяет вероятность существования уязвимости исходя из эффективности текущих элементов контроля. Каждое значение изменяется в диапазоне от 1 до 5. Определение оценки проводится на основе ответов на вопросы, с последующим переходом к результирующей оценке. При этом разработчики руководства указывают, что оценка вероятности взлома имеет субъективный характер и предлагают при проведении оценки уточнять приведенный перечень.
Оценка уязвимости
Оценка уровня вероятности
Определяется шкала оценки эффективности текущих мер и средств защиты. Меньший результат означает большую эффективность элементов контроля и их способность уменьшать вероятность взлома.
Оценка эффективности текущего контроля
Полученные значения суммируются и заносятся в шаблон для уровня детализации.
Результирующая оценка
В заключение процедуры оценки рисков, проводится количественный анализ. Чтобы определить количественные характеристики, необходимо выполнить следующие задачи.
•
Сопоставить каждому классу активов в организации денежную стоимость.
•
Определить стоимость актива для каждого риска.
•
Определить величину ожидаемого разового ущерба
(single loss expectancy - SLE ).
•
Определить ежегодную частоту возникновения (annual rate of occurrence - ARO ).
•
Определить ожидаемый годовой ущерб
(annual loss expectancy - ALE ).
Количественную оценку предлагается начать с активов, соответствующих описанию класса ВВБ. Для каждого актива определяется денежная стоимость с точки зрения его материальной и нематериальной ценности для организации. Также учитывается:
•
Стоимость замены.
•
Затраты на обслуживание и поддержание работоспособности.
•
Затраты на обеспечение избыточности и доступности.
•
Влияние на репутацию организации.
•
Влияние на эффективность работы организации.
•
Годовой доход.
•
Конкурентное преимущество.
•
Внутренняя эффективность эксплуатации.
•
Правовая и регулятивная ответственность.
Процесс повторяется для каждого актива в классах СВБ и НВБ.
Каждому классу активов сопоставляется одно денежное значение, которое будет представлять ценность класса активов. Например, наименьшее среди активов данного класса. Данный подход уменьшает затраты времени на обсуждение стоимости конкретных активов.
После определения стоимостей классов активов необходимо определить и выбрать стоимость каждого риска.
Следующей задачей является определение степени ущерба, который может быть причинен активу. Для расчетов предлагается использовать ранее определенный уровень подверженности воздействию, на основе которого определяется фактор подверженности воздействию (рекомендуемая формула пересчета - умножение значения уровня (в баллах) на 20%).
Последний шаг состоит в получении количественной оценки влияния путем умножения стоимости актива на фактор подверженности воздействию.
В классической количественной модели оценки рисков это значение называется величиной ожидаемого разового ущерба (SLE).
Количественная оценка ожидаемого разового ущерба
Пример определения ожидаемого разового ущерба (суммы указаны в миллионах долларов)
Далее делается оценка ежегодной частоты возникновения ( ARO ). В процессе оценки ARO используются ранее полученные качественные оценки.
Количественная оценка ежегодной частоты возникновения
Для определения ожидаемого годового ущерба
( ALE ) значения SLE и ARO перемножаются.