Анализ рисков – это анализ опасности, которой подвергаются ресурсы организации п

1. Анализ рисков – это анализ опасности, которой подвергаются ресурсы организации при наступлении тех или иных природных или вызванных человеком событий.
2. Пользователь проводит идентификацию ресурсов, чтобы понять, какие ресурсы следует защищать. При анализе рисков решаются четыре задачи:
3. – Идентификация ресурсов и определение их ценности.
4. – Выявление уязвимостей и угроз.
5. – Количественная оценка вероятности и последствий реализации
6. выявленных угроз.
7. – Сопоставление потенциального ущерба от реализации угроз со стоимостью контрмер.
8. Существует два подхода к анализу рисков.
9. Количественный анализ рисков строится на числовых данных. Ценность ресурса равна стоимости его замены. Ценность ресурса можно также выразить через прибыль, создаваемую за счёт использования этого ресурса. Степень уязвимости (exposure factor, EF) – это субъективная оценка, выражаемая в виде процента потери ресурса при реализации той или иной угрозы. Степень уязвимости 1,0 (100 %) соответствует полной потере ресурса. В примере количественного анализа сервер как ресурс имеет ценность в 15 000 долл. США. При выходе сервера из строя происходит полная потеря ресурса (степень уязвимости равна 1,0). Ценность ресурса в 15 000 долл. США умножается на степень уязвимости 1, что даёт ожидаемую сумму ущерба при однократной реализации угрозы — 15 000 долл. США.
10. Вероятность реализации угрозы за год (annualized rate of occurrence, ARO) — это вероятность того, что в течение года организация понесет ущерб от реализации соответствующей угрозы (также выражается в процентах). Если показатель ARO превышает 100 %, это означает, что угроза может быть реализована более одного раза в год.
11. Рассчитав ожидаемый годовой объем убытков (annual loss expectancy, ALE), руководство получает представление об оправданной сумме затрат на защиту данного ресурса.
12. Качественный анализ рисков строится на мнениях и сценариях. Например, вероятность выхода сервера из строя довольно высока, однако ущерб вследствие отказа сервера невелик.
13. Группа специалистов анализирует каждую угрозу для ресурса и помещает соответствующие данные в таблицу. Специалисты оценивают результат и на его основании принимают дальнейшие решения. Пример дальнейшего решения: внедрить контрмеры лишь для тех угроз, которые оказались в красной зоне таблицы.
14. Качественный анализ носит субъективный характер.