Тема: Анализ рисков страховой компании
Столкнулся с такой задачей: Необходимо проанализировать риски, а после разработать политику безопасности.
Рассмотрел такие аспекты как
-уровень исходной завершённости
-возможность реализации угрозы
-коэффициент реализуемости угрозы (по формуле Y=(Y1+Y2)/20 )
-вероятность реализации угрозы
-опасность угрозы
другими словами составил частную модель угроз для каждой ИСПДн .. и всё же понимаю что это пока что не риски.
посмотрел руководящий документ ФСТЭКа 2003 года, там говориться:
"Методы анализа риска должны учитывать следующие аспекты:
а) вероятность и последствия компрометации активов с учетом:
- возможности реализации идентифицированных методов нападения;
- вероятности успешной реализации нападения;
- возможного ущерба (включая величину материального ущерба, явившегося результатом успешного нападения);
б) другие ограничения, например, правовые нормы и стоимость."
И вот в чём вопрос
- достаточно для анализа рисков модели угроз с рекомендациями для снижения самих угроз (технического и организационного характера) ?
- может быть у кого нибудь есть алгоритм расчёта рисков ? я просто думаю это должно выражаться в процентах %
Максим Александрович