Анализ методов оценки рисков информационной безопасности в корпоративных автоматизированных системах

где V-текущая стоимость,

Bi – оценка ожидаемого снижения потерь при реализации данного способа защиты,

C j - стоимость внедрения и дальнейшей поддержки данной меры защиты.

Например, количественная оценка для компании «Альфа» определяет некий актив размером в 50000000 рублей. При коэффициенте воздействия в 1%, компания «Альфа» ожидает потерять 500000 рублей в год. Другими словами, ALE составляет 500000 рублей. Доступны контрмеры, которые уменьшат это значение на B_i = 400000 рублей. Реализация этих контрмер обойдется в C j = 250000 рублей. Эта оценка позволяет увидеть экономическую выгоду реализации контрмер – за счет их реализации организация будет экономить ROI=150000 рублей в год.

Качественная оценка рисков информационной безопасности

Качественная оценка рисков информационной безопасности вместо математических формул использует опыт, рассуждения, и интуицию. Для определения уровня угроз и ожидаемых потерь при качественной оценке риска могут использоваться опросы, анкетирование, собеседования и групповые занятия. Этот тип оценки риска полезен, когда слишком сложно присвоить определенному риску валютное значение. При высокой степени системной интеграции он будет приемлем для систем, хранящих в себе многочисленные активы, и подверженных разнообразным рискам.

Качественная оценка рисков информационной безопасности задействует многих людей на разных уровнях организации. Сотрудники, принимающие участие в качественной оценке риска, испытывают чувство причастности к процессу, что мотивирует их. Качественная оценка риска не требует большого количества математических расчетов, но результаты, как правило, менее точны, по сравнению с теми, которые достигаются методом количественной оценки.

Смешанная оценка риска информационной безопасности

При оценке риска информационной безопасности имеется возможность использовать смешанный подход. Такой подход сочетает в себе элементы как количественных, так и качественных оценок. Иногда количественные данные используются среди других в качестве входных данных для оценки стоимости активов и вероятности убытка. Такой подход благодаря предоставлению реальных фактов дает оценке больше достоверности, но он также задействует в себя сотрудников организации, которые получают возможность осознать этот процесс. Недостатком этого подхода является небольшая скорость его реализации. Тем не менее, смешанный подход может привести к лучшим результатам, чем два ранее рассмотренных метода по отдельности.

Выводы

При оценке рисков информационной безопасности для определения оценки активов, уровней угроз, а также оценки ожидаемых потерь используются количественная и качественная методологии или их сочетание. Существуют программные решения, автоматизирующие количественную оценку риска, поэтому такой подход полезен для начинающих менеджеров по управлению рисками и студентов. Количественная оценка обеспечивает получение четких данных, что облегчает принятие решений. Тем не менее, качественная оценка использует опыт и может помочь обнаружить моменты, которые не учитываются математической формулы. Качественная оценка также задействует большое количество людей, которые могут помочь в получении результатов оценки.