Природа риска. Часть 2. Формула риска

Природа риска. Часть 2. Формула риска
Риск логично было бы вычислять как мат. ожидание ущерба и делать это было бы довольно просто... если бы не вычисление значения риска по таблицам в различных общепризнанных стандартах. Может быть то, что вероятность экспертная, а ущерб потенциальный (и, кстати, тоже экспертный) играет какую-то нетривиальную роль? 

Основываясь, разумеется, на ISO 27005:

С дискретными значениями вроде все понятно... но если указанная дискретизация не подходит для наших задач? Или я вообще хочу использовать по странной причуде непрерывные шкалы для оценок? Если подходить к вопросу "в лоб" то получится примерно следующее распределение зон риска (только шкалу влияния на бизнес я перевернул и сделал 4 зоны):
Основываясь на указанных таблицах можно предположить, что нам предлагают сложить вероятность и ущерб для получения уровня риска. Т.е. очень низкая(-ое) - 0, низкая(-ое) - 1 и т.д (как для "степени вероятности" так и для "влияния"). Тогда, складывая их, мы будем получать табличные значения.  От этого у людей не прогуливавших математику в начальной школе и физику в средней должны вставать волосы дыбом, ибо сложение бананов с километрами или килограмм с децибелами ни к чему хорошему обычно не приводит. 

Но мы помним, что шкалы у нас нелинейны , а потому наша оценка есть степень некоторого коэффициента. Обозначим их L - коэффициент влияния на бизнес, P - коэффициент степени вероятности. Тогда вернувшись к формуле мат.ожидания получим, что риск равен:

L^[степень вероятности] x P^[влияние на бизнес]

Соответственно степени можно складывать... но лишь при том условии, что наши коэффициенты равны. Затем мы, логарифмируя получившуюся цифру по основанию L (которое равно P), получаем как раз таки оценку риска как суммы вероятности и ущерба (ну или влияния на бизнес, в терминологии ГОСТ 27005-2010). Встает резонный вопрос - а с чего вдруг мы уравниваем эти коэффициенты? Если они равны - то как это доказать? Честно говоря, ответа на этот вопрос я не нашел... На самом деле тут есть еще один "косяк", связанный с незначительными и маловероятными событиями (причем в "табличном методе" он также наблюдается), но об этом после рассказа о риск-радиусе.

Расстояние в физике принято обозначать буквой R. "Прямо как и риск!" - увидел я знак свыше. Если по одной оси графика мы будем откладывать вероятности, а по другой ущерб, то возможно расстояние от начальной точки до точки с координатами [вероятность; ущерб] - корень из суммы квадратов координат - и будет искомым значением риска? А до сюда все равно никто не дочитал :) Тогда распределение зон вероятности окажется примерно следующим:


Выглядит красиво, на страдает вышеупомянутым недостатком незначительных и маловероятных событий. Попытаемся оценить следующие сценарии:

  1. Риск уничтожения Компании вследствие восстания машин. Вероятность довольно низкая (хотя после некоторых новостей  начинаешь сомневаться), а вот ущерб - ого-го. Соответственно как не крути - риски попадают "в желтую зону". Можно разработать план мероприятий по смягчению рисков, но что бы мы не делали из желтой зоны не выберемся. Ну а если взять что-то по-реалистичней? Скажем, падение SAP... и тоже - что бы мы не делали, не также выберемся из "желтой зоны". Хороший, конечно, получится "отказ от ответственности" со стороны Службы ИБ, но что-то мне подсказывает, что руководство Компании это не обрадует.
  2. Риск снижения урожая бананов в Зимбабве (если у Ваша Компания не в Зимбабве и импортом бананов не занимается) скорей всего не несет сколь нибудь значительного ущерба... но может быть весьма вероятно. И даже используя табличный метод мы возвращаемся к тому, что у нас риск средний. Тут я правда немного кривлю душой, т.к. риск в данном случае неверно идентифицирован - он должен звучать как "Риск нанесения вреда активу из-за снижения урожая бананов...", для которого уже вероятность будет совсем иной... Но предположим, что у Вас есть некоторый дополнительный и незначительный актив, который не особо то и нужен, но не прихотлив и иногда приносит пользу, но при этом постоянно выходит из строя. Например, сайт-визитка, на которой нет ничего, кроме контактов организации, расположенный на хостинге, который периодически, скажем раз в день на 2-3 минуты делает Ваше "представительство в интеренете" недоступным. И вроде бы ни тепло ни холодно - а риск - опять же не маленький (даже по таблицам из ISO).
Мы можем, конечно, сдвинуть границы между "зонами риска", но это приведет к тому, что мы рискуем упустить действительно высокие риски.

  
Но вот если вернуться к произведению, то мы получим примерно такое распределение "зон":

Единственное о чем стоит помнить, что мы перемножаем нелинейные шкалы - таким образом наш риск имеет "двойную нелинейность". Дабы привести обратно к "одинарной" я извлекаю корень. Если представлять графически, то риск - площадь прямоугольника с координатами [0;0] и [вероятность;ущерб]. Извлекая корень мы получаем сторону квадрата с такой же площадью.

Но если с ущербом все вроде бы понятно, как его оценить (как правило), то с вероятностью реализации риска дело обстоит сложнее - ведь есть еще всякие уязвимости, способы реализации, источники угроз и т.д. и т.п... Но эти размышления оставим на следующий раз. 
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться