где:
Вероятность - величина, определяющая частоту реализации угрозы в течение года.
Потенциальный ущерб - ущерб, который может понести организация в случае реализации угрозы.
Уязвимость - отсутствие, недостаточность и/или неэффективность контролей, предотвращающих наступление нежелательного события (величина, обратная защищенности).
Значение вероятностиопределяется на основании следующих данных, перечисленных в порядке предпочтения:
• статистические данные компании о состоявшихся нежелательных событиях;
• заполненные опросные листы участников Рабочей группы;
• общедоступные статистические сведения;
• мнение экспертов.
Значение вероятности представляется для расчетов коэффициентом, согласно правилам, представленным в таблице ниже. Обычно при расчете рисков применяются приведенные там значения, но компания вправе применить собственную шкалу задания значений вероятностей.
Таблица 6. Правила задание значений вероятности реализации угрозы
|
Величина вероятности |
Описание |
Коэффициент |
||
|
Высокая |
Угроза реализуется почти каждый год или чаще (> 70%) |
1 |
||
|
Средняя |
Угроза реализуется раз в 2-4 года (30-70%) |
0,5 |
||
|
Низкая |
Угроза реализуется реже, чем раз 4 года (< 30%) |
0,25 |
||
Вероятность реализации угроз должна быть определена для каждого информационного актива во всех рассматриваемых областях ИТ рисков.
Потенциальный ущерб определяется на основании следующих данных, приведенных в порядке предпочтения:
• статистические данные компании;
• мнение владельца информационного актива:
• общедоступные статистические сведения о нежелательном событии по другим организациям аналогичного размера и сектора рынка;
• мнение экспертов.
В расчетах величина потенциального ущерба представляется коэффициентом, согласно правилам, приведенным в нижеследующей таблице. Установление уровня потенциального ущерба является результатом творческой деятельностью, зависящей от размера компании, ее финансового состояния, общей технической и производственной культуры организации и государства (государств), на территории которого (которых) функционирует организация. При задании шкалы потенциальных рисков учитываются национальные, государственные и международные (в том числе этические) особенности и особенности сред (например, среда Интернет), в которых существуют информационные активы.
Таблица 7. Описание и значения величин потенциального ущерба (пример).
|
Величина ущерба |
Монетарное описание ущерба |
Немонетарное описание ущерба |
Коэф фици ент |
||
|
Катастрофичный |
Потери превышают $1 миллион |
Продолжительный период международного осуждения действий организации. Потенциально возможное юридическое преследование для топ - менеджеров и/или чрезвычайно высокие штрафы, длительные судебные тяжбы. |
1 |
||
|
Значительный |
Потери составляют от $0,5 до $1 миллиона |
Международное неодобрение действий организации. Чрезвычайно высокие штрафы и пени, несколько судебных разбирательств. |
0,7 |
||
|
Умеренный |
Потери составляют от $100,000 до $0,5 миллиона |
Значительное недовольство общественности и СМИ на международном уровне. Значительные штрафы и наказания для организации. Продолжительная судебная тяжба. |
0,3 i |
||
|
Несущественный |
Потери меньше $100,000 |
Умеренное негативное восприятие организации локальной общественностью или СМИ, мелкие жалобы Умеренные проблемы с законом, несоответствие и нарушение некоторых норм законодательства. |
0,01 |
||
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.