дані про вірогідність реалізації загрози та доводиться обмежуватися якісними оцінками.
Вимір рівня ризиків
При вимірі рівня ризиків визначаються значення вірогідності та наслідків ризиків. Ці значення можуть бути якісними або кількісними. Вимір ризиків грунтується на оцінених наслідках і вірогідності. Виміряний ризик є комбінацією вірогідності небажаного сценарію реалізації загрози та його наслідків.
Для прикладу ідентифікуємо значення цінності активів, використовуючи числову шкалу від 0 до 4. Наступним кроком ідентифікуємо кожен вид загрози, кожного активу, з яким пов'язаний цей вид загрози, щоб зробити можливою оцінку рівнів загроз і вразливостей.
Цінність ресурсів ІТС, рівні загроз і вразливостей приводимо до табличної форми (матриці), щоб для кожної комбінації ідентифікувати відповідну міру ризику на основі шкали від 0 до 8. Значення заносяться в матрицю структурованим чином.
Для кожного активу розглядаються вразливості та загрози, що відповідають їм. Тепер відповідний рядок в таблиці встановлює значення цінності ресурсів ІТС, а відповідна колонка – вірогідність виникнення загрози та уразливості. Наприклад, якщо актив має цінність 3, загроза є «високою», а уразливість «низької», то міра ризику дорівнюватиме 5.
Аналогічна матриця є результатом розгляду вірогідності реалізації загрози з урахуванням впливу на ресурси ІТС. Отриманий в результаті ризик вимірюється за шкалою від 0 до 8 і може бути оцінений по відношенню до критеріїв прийняття ризику.
Таблиця може бути використана також, щоб зв'язати чинники наслідків для ресурсів ІТС з вірогідністю виникнення загрози (враховуючи аспекти вразливості). Перший крок полягає в оцінюванні наслідків для ресурсів ІТС за заздалегідь визначеною шкалою, наприклад, від 1 до 5, для кожного ресурсу (колонка 2), що знаходиться під загрозою. Другий крок полягає в оцінюванні вірогідності виникнення загрози за заздалегідь визначеною шкалою, наприклад, від 1 до 5, для кожної загрози (колонка 3).
Третій крок полягає в обчисленні міри ризику шляхом множення значень колонок 2 і 3. Нарешті, загрози можуть бути ранжирувані в порядку відповідної міри ризику. Відмітимо, що значення «1» в колонках 2 і 3 відповідає найменшим наслідкам і вірогідності загрози, а в колонці 5 – найбільшій небезпеці.
У широкому сенсі міра ризику може розглядатися як опис видів несприятливих дій, впливу яких може зазнати система, і ймовірностей того, що ці дії можуть відбутися. Результат цього процесу повинен визначити ступінь ризику для певних цінностей. Цей результат важливий, оскільки є основою для вибору засобів захисту і рішень по мінімізації ризику.
Оцінювання ризиків
Виміряні ризики для їх оцінювання повинні порівнюватися з прийнятими в організації критеріями їх оцінки. Критерії оцінки ризику, які використовуються для ухвалення рішень, повинні враховувати цілі організації,