Технология анализа рисков
Существует множество методик анализа рисков. Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного ПО, другие, наоборот, его используют.
В табличных методах можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.
Подобные методы сводятся к нескольким несложным шагам. Вот пример одного из таких методов.
На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале (скажем, от 1 до 5) для каждого ресурса, которому угрожает опасность.
На втором - по той же шкале оценивается вероятность реализации каждой угрозы.
На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения. Однако необходимо помнить, что операция умножения определена для количественных шкал. Должна быть разработана методика оценки показателей рисков применительно к конкретной организации.
На четвертом шаге угрозы ранжируются по значениям их фактора риска.
Применение каких-либо инструментальных средств не является обязательным, однако позволяет уменьшить трудоемкость анализа рисков и выбора контрмер. В настоящее время на рынке есть около двух десятков программных продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих, позволяющих реализовать полный вариант анализа рисков и выбрать комплекс контрмер требуемой эффективности.
