Матрица уровня риска
Окончательное определение риска осуществляется путем объединения рейтингов полученных для вероятности угрозы и влияния угрозы. Таблица 3-7 ниже показывает, как может быть определен уровень риска, основываясь на вероятности и влияния угрозы. Матрица ниже – 3х3 матрица риска, зависящая от вероятности угрозы (Высокая, Средняя и Низкая) и влияния угрозы (Высокое, Среднее и Низкое). В зависимости от конкретных требований и желаемой детализации оценки риска, можно использовать матрицу 4х4 или 5х5. Последняя, например, может включать «Очень Низкая»/«Очень Высокая» вероятности угрозы и «Очень Низкое»/«Очень Высокое» влияния угрозы для определения новых уровней риска: «Очень Низкого»/«Очень Высокого». «Очень Высокий» уровень риска может, например, привести к отключению или остановки внедрения системы и приведет к необходимости тестирования всех ИС.
Пример матрицы в Таблице показывает, как можно получить уровень риска Высокий, Средний и Низкий. Определение этих уровней риска или рейтингов может быть субъективным. Необходимость этого может быть объяснена в терминах вероятности, назначенной для каждого уровня вероятности угрозы, и значения, назначенного для каждого уровня влияния. Для примера,
- Вероятность, назначенная для каждого уровня угроз: 1.0 – Высокая, 0.5 – Средняя, 0.1 – Низкая;
- Значения, назначенные для каждого уровня влияния: 100 – Высокое, 50 – Среднее, 10 – Низкое.
Таблица Матрица уровня риска
|
Вероятность угрозы |
Влияние |
||
|
Низкое (10) |
Среднее (50) |
Высокое (100) |
|
|
Высокая (1.0) |
Низкий 10 Х 1.0 = 10 |
Средний 50 Х 1.0 = 50 |
Высокий 100 Х 1.0 = 100 |
|
Средняя (0.5) |
Низкий 10 Х 0.5 = 5 |
Средний 50 Х 0.5 = 25 |
Средний 100 Х 0.5 = 50 |
|
Низкая (0.1) |
Низкий 10 Х 0.1 = 1 |
Низкий 50 Х 0.1 = 5 |
Низкий 100 Х 0.1 = 10 |
Шкала риска: Высокий (>50 до 100); Средний (>10 до 50); Низкий (1 до 10)[2]
предыдущаяследующая