Для оценки степени уязвимости информации возможно использованиерехфакторного анализа – оценки рисков по величинам вероятности угрозы, вероятности уязвимости (использования нарушителем определенного канала утечки) и цене потери. Рассмотрим пример такой оценки: Носитель | Цена | Угроза | Модель нарушителя | Вероятность | Риск | Ранги рисков | Политика управления | |
Угроза | Уязвимость | |||||||
Бумажныйдокумент | Высокая | кража | Малооопытный нарушитель(«внешний») | 0,1 | 0,1 | 0,01 | Политика принятия риска | |
Злоумышленник-профессионал(«внешний») | 0,1 | 0,5 | 0,05 | 2,5 | Политика принятия риска | |||
Рядовой сотрудник | 0,6 | 0,5 | 0,4 | Политика снижения риска | ||||
Топ-менеджер | 0,3 | 0,8 | 0,05 | 2,5 | Политика принятия риска |
Нарушители делятся на две категории: внешние и внутренние. Из данного примера следует, что вероятности кражи бумажного документа высокой ценности для каждой категории нарушителей разная. Это обусловлено тем, что внешние нарушители не знают о ценности документа и могут украсть его случайно(вероятность угрозы), но у злоумышленника профессионала больше шансов обойти систему защиты(вероятность уязвимости). Для внутренних злоумышленников шансы обойти систему защиты высоки, а вот вероятность осуществления угрозы зависит от мотивации сотрудников.