Если верить гугл-трендам, то популярность темы информационных рисков в мире в целом "стабилизировалась"... вот только, адекватная система их оценки и обработки если и существует, то ее, вероятно, прячут от широкой общественности.
 |
| Динамика запросов "information security risk" |
И, полагаю, прячут не столько потому, "чтоб враги не догадались", а потому, что в любой методике, на которой основана такая система, при желании можно найти множество скользких моментов. И речь здесь не только о том, что все подобные методики основываются на экспертных оценках (что само по себе "скользко"), сколько о мат. аппарате, который используется при оценке.
Аргумент изобретателей "кривых" формул здесь весьма прост: "косяк формулы нивелируется "экспертностью" входных данных" (на самом деле и сам этим аргументом пользуюсь). Но давайте представим, что у нас есть идеальный эксперт, который может точно оценить любой компонент информационного риска... Тогда как будем считать? На эту тему (вернее, на тему моего видения математической природы информационных рисков) заготовлен материал на несколько постов - а начнем мы со шкал оценок.Я склонен соглашаться с методологией FAIR , что в конечном итоге нам следует оценить (вычислить) два параметра, от которых будет зависеть функция риска:
- вероятность реализации риска
- последствия реализации риска
Эти две шкалы мы и рассмотрим.
Вероятность реализации риска
Есть такое направление в математике как нечеткая логика (на основе которой и разработаны методы экспертных оценок). У людей из какой-либо выборки интересуются, например: "А молодой человек - это какой возраст?", "А пожилой?", "А среднего возраста?". В результате они узнают, что молодой - в районе 20,2 лет, пожилой - в районе 62,1 и т.д. Только "районы" окажутся разными.
Провел среди друзей опрос - а вообще, что такое высокая вероятность? Средняя? Низкая? В результате получилось некоторое распределение:
.png) |
| Красный - высокая, желтый - средняя, зеленый - низкая (в %) |
Чтобы риск реализовался необходимо выполнения ряда условий. Чтобы были в наличие все предпосылки и чтобы угроза реализовалась именно в момент наличия этих предпосылок. В результате мы получим, что и верхние и нижние границы наших вероятностей снизятся (т.к. мы будем использовать формулы условной вероятности). Например, вот так:
К слову, когда я спросил насчет вероятностей у человека, занимающегося информационными рисками (сознательно не включал его в статистику), он ответил:
- низкая 0-5
- средняя 5-50
- высокая 50-100
Отличие на порядок. Таким образом, шкала вероятности реализации риска (высокая, средняя, низкая), на самом деле нелинейна.
И еще один важный момент. Когда говорят о высокой вероятности - предполагается, что в результате события может наступить один из нескольких исходов. Но, говоря о рисках, мы смотрим несколько "с другого ракурса", мы говорим вообще о вероятности возникновения события. Но любое возможное событие рано или поздно происходит - "раз в год и палка стреляет" - кстати, интересно и по теме - про квантовое самоубийство ).
Последствия реализации риска
Вообще говоря, что такое низкие, высокие или средние последствия - зависит от бизнеса, для которого мы рассчитываем риски. В продукте RVision , если я верно помню, предлагается ввести стоимость бизнеса (C), и тогда распределение получается следующим:
- высокая C/10 - С
- средняя C/100 - C/10
- низкая C/1000 - C/100
- (А ниже этого значения еще была "Несущественная" или как-то так).
Такое распределение (отличие на порядок), вполне оправданно, т.к. чем серьезнее последствия, тем сильнее размывается ущерб (тем выше погрешность нашей оценки). Кроме того, для бизнеса разница "не на порядок" - зачастую и не разница особо...
Что касается дискретности шкалы последствий - то, казалось бы, природа "величины измерения" последствий должна предполагать дискретную природу. Но у нас нет необходимости в такой дискретизации.
Шкала риска
Дискретен ли риск? И что насчет его нелинейности? Все зависит от того, как именно мы будем его рассчитывать. Об этом подробно в Части 2 <здесь будет ссылка в начале февраля на продолжение>.
