Формула риска включает меру эффективности P1 получаемую путем вычитания ее величины из 1,0. Если PI = 1,0, то величина риска снижается до 0. Если PI= 0, то условный риск равен величине последствия, которая определяет верхний предел риска. Для тех случаев, когда ожидаются вынужденные инциденты, мера эффективности будет изменяться, а эффективность системы измеряется путем умножения вероятности прерывания на вероятность нейтрализации. Полученная величина затем вычитается из 1,0. Эффективность такой системы рассматривается не только при появлении сил реагирования, но также и при любом силовом столкновении. Хотя в производственной сфере такая ситуация, как правило, не возникает, пример такого вычисления включен для полноты рассмотрения.
Уравнение риска обеспечивает возможность моделирования влияния некоторых предположений, которые мы делаем. Например, если мы предположим что РА= 1,0 (при нападении), этот член выпадает из уравнения. Если затем предположить, что С = 1,0, т. е. последствия являются самыми серьезными из тех, что можно вообразить, то этот член также исчезнет. Остается условный риск R, который определяется исключительно эффективностью СФЗ, которая может быть полезной в установлении риска для наихудшего случая — несомненной атаки наиболее подготовленного противника на самую важную цель. Затем возможно вернуться и использовать различные величины последствий, чтобы определить риск для объекта при менее значительных потерях. Это позволит присвоить приоритеты целям и обеспечить подходящую защиту. Наконец, вероятность нападения может также меняться в зависимости от имеющихся данных, и возможно получение реалистичной оценки риска. Этот трехшаговый процесс может помочь упростить сложную оценку риска путем изменения только одного члена, позволяя оценить влияние каждого фактора на конечный результат. В некоторых случаях РА и эффективность СФЗ не являются независимыми. Например, некоторые высокоэффективные СФЗ могут удерживать злоумышленника от нападения, но мы будем считать эти параметры независимыми.
Теперь мы в состоянии понять, как работает общий механизм оценки риска и как отдельные факторы могут быть объединены для предсказания риска, с которым столкнется объект или предприятие. Процесс оценки уязвимости служит в качестве метода определения компоненты PIриска, а затем проведения модернизации существующей системы для уменьшения ее уязвимости.
Оценка риска
Важно заметить, что для выбора оптимального решения по критерию затраты-прибыль, эффективность и риски, относящиеся как к существующей, так и к разрабатываемой системе, должны быть известны. Невозможно принять оптимального решения без такой информации, поскольку важно знать степень уменьшения риска и цену за это. Важно понимать, что имеются ограниченные средства финансирования для решения задач безопасности. Поэтому если угроза для объекта высока, а средств достаточно только для защиты объекта от угрозы более низкого уровня, то возникает дополнительный риск. Характеристики или эффективность разных систем определяют исходя из разной степени угроз. Поскольку эффективность системы зависит от угрозы, будут различны и значения PI, поэтому разным угрозам будут соответствовать разные риски. Когда угрозы являются более сложными и профессионально подготовленными, следует усилить систему безопасности. Данный анализ может использоваться для обоснования необходимости получения дополнительных фондов, позволяющих уменьшить риск или служить в качестве базиса для долговременного (на несколько лет) повышения безопасности. Задача оценки риска состоит не в том, чтобы истратить как можно больше денег, а в том, чтобы помочь лицам, принимающим решения, потратить имеющиеся деньги наиболее рационально. Если результат показывает наличие неприемлемо высоких рисков, дополнительные фонды могут помочь быстро увеличить эффективность системы безопасности. В качестве альтернативы можно предложить оценки риска относительно того, какие угрозы могут быть ослаблены с помощью системы защиты, а какие окажутся на недопустимо высоком уровне. Когда работа по оценке риска завершится, полученные данные должны трактоваться как конфиденциальные и быть доступными лишь ограниченному кругу лиц.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.