Вот я и добрался до одного из ключевых этапов - "расчет значения риска нарушения ИБ". Существует большое количество формул, которые характеризуют различные подходы к оценки рисков, но я считаю, что все они, в той или иной степени, вышли из национального стандарта США Risk Management Guid for Information Technology Systems (NIST 800-30), разработанного департаментом финансов.
В стандарте предлагается, как уже принято говорить, классическая формула расчета риска нарушения ИБ: РИСК = Pугр * Cактива, где Pугр - вероятность реализации угрозы ИБ (применяется смесь качественной и количественной шкалы), а Cактива - степень влияния угрозы на актив (цена актива в качественной шкале и количественной). В итоге получаем значение риска в относительных единицах и ранжируем по степени значимости. Далее берем все это добро и думаем, что же с ним делать дальше.
Отвлеченно, почему Россия всегда так плохо копирует зарубежный опыт? Пример банальный, в большинстве российских стандартов применяется форму аналогичная NIST 800-30 за редким исключением. Cактива - выражается в 100000... руб или $. Таким образом РИСК у нас получается в руб. или $ или.... Отдаленно вспоминая университетский курс "Базы знаний", твердо знаю, что совершать операции с значениями из различных шкал (безразмерная величина * на размерную) - нельзя, ан нет можно ;).
Комментариев нет:
Отправить комментарий