Как проводится количественная оценка рисков информационной безопасности в корпоративных сетях?

Количественная оценка рисков информационной безопасности в корпоративных сетях проводится в несколько шагов: 1

1. Определение ценности информационных активов в денежном выражении. 1 Нужно понять важность и критичность активов. 2
2. Оценка потенциального ущерба от реализации каждой угрозы в отношении каждого информационного актива. 1 Необходимо ответить на вопросы: какую часть от стоимости актива составит ущерб от реализации каждой угрозы, какова стоимость ущерба в денежном выражении от единичного инцидента при реализации угрозы к активу. 1
3. Определение вероятности реализации каждой из угроз. 1 Для этого используют статистические данные, опросы сотрудников и заинтересованных лиц. 1 Нужно рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы за контрольный период (например, за один год). 1
4. Определение общего потенциального ущерба от каждой угрозы в отношении каждого актива за контрольный период. 1 Значение рассчитывается путём умножения разового ущерба от реализации угрозы на частоту реализации угрозы. 1
5. Анализ полученных данных по ущербу для каждой угрозы. 1 По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск. 1

В результате количественной оценки рисков должны быть определены: 1

• ценность активов в денежном выражении; 1
• полный список всех угроз информационной безопасности с ущербом от разового инцидента по каждой угрозе; 1
• частота реализации каждой угрозы; 1
• потенциальный ущерб от каждой угрозы; 1
• рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе. 1