Риск – предполагаемое событие, способное принести ущерб или убыток.
Оценка риска – это процесс определения уровня ущерба или убытка в количественной или качественной форме.
Расчет рисков по угрозе информационной безопасности
1. На первом этапе рассчитывается уровень угрозы по уязвимости Th на основе критичности и вероятности реализации угрозы через данную уязвимость по формуле (1). Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации.
, (1)
где
ER - критичность реализации угрозы (указывается в %);
P(V) - вероятность реализации угрозы через данную уязвимость (указывается в %).
Полученное значение уровня угрозы по уязвимости лежит в интервале от 0 до 1.
Продолжение приложения К
2. Для расчета уровня угрозы по всем уязвимостям CTh, через которые возможна реализация данной угрозы на ресурсе (формула (2)), необходимо просуммировать полученные уровни угроз через конкретные уязвимости по следующей формуле:
, (2)
где Th - уровень угрозы по уязвимости.
Значение уровня угрозы по всем уязвимостям лежит в интервале от 0 до 1.
3. Аналогично рассчитывается общий уровень угроз по ресурсу CThR (учитывая все угрозы, действующие на ресурс) по формуле (3).
, (3)
где CTh - уровень угрозы по всем уязвимостям.
Значение общего уровня угрозы лежит в интервале от 0 до 1.
4. Риск по ресурсу R рассчитывается в соответствии с формулой (4):
R = CThR*D, (4)
где D - критичность ресурса (задается в деньгах);
CThR - общий уровень угроз по ресурсу.
Специалист по защите информации А.В.Завьялова
В дело № 01-15
ПРИЛОЖЕНИЕ Л
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Сейчас читают про:
|