| A | B | C | D | E | F | I | J | M | Q | R | S | T | U | V | W | X | Y | Z | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | Метод Монте-Карло, модель замещения "один к одному" | ← Развернуть оценку системы контроля | ← Развернуть генератор псевдослучайных чисел | ← Развернуть остаточные потери | |||||||||||||||
2 | info@global-it.ru | Введение: Модель замещения «один к одному» показывает, как мы можем заменить базовую тепловую карту оценки рисков в кибербезе, используя чисто количественные методы. Как и тепловая карта, этот подход полностью опирается на субъективные оценки вероятности и последствий, полученные от экспертов. В отличие от тепловой карты, он использует математически однозначные вероятностные выражения вероятности и воздействия, которые могут быть использованы в моделировании, где риски могут быть правильно «сложены» для вычисления рисков для более крупного портфеля. Первая вкладка требует ввода данных пользователем. Иструкция по оценке приожена ниже. | |||||||||||||||||
3 | global-it.ru | ||||||||||||||||||
4 | |||||||||||||||||||
5 | Trial Slider Bar>> | Trial ID: | 76 | ||||||||||||||||
6 | Входные значения | Выходные значения | |||||||||||||||||
8 | Оценка рисков киберинцидентов | 90% доверительный интервал воздействия | |||||||||||||||||
9 | № риска | Название риска | Классификация риска | Вероятность события за 1 год | Нижняя граница | Верхняя граница | Примечание | Ожидаемые неотъемлемые убытки | Моделируемый неотъемлемый убыток | ||||||||||
10 | 1 | Шифрование данных | Риск кибербезопасности | 40,0% | 5 000 000 ₽ | 10 000 000 ₽ | 2 891 913 ₽ | 0 ₽ | |||||||||||
11 | 2 | Вредоносное ПО | Риск кибербезопасности | 15,0% | 2 000 000 ₽ | 5 000 000 ₽ | 493 103 ₽ | 0 ₽ | |||||||||||
12 | 3 | Потерянные ноутбуки | Риск кибербезопасности | 35,0% | 60 000 ₽ | 300 000 ₽ | 52 927 ₽ | 0 ₽ | |||||||||||
13 | 4 | 0 ₽ | 0 ₽ | ||||||||||||||||
14 | 5 | 0 ₽ | 0 ₽ | ||||||||||||||||
15 | 6 | 0 ₽ | 0 ₽ | ||||||||||||||||
16 | 7 | 0 ₽ | 0 ₽ | ||||||||||||||||
17 | 8 | 0 ₽ | 0 ₽ | ||||||||||||||||
18 | 9 | 0 ₽ | 0 ₽ | ||||||||||||||||
19 | 10 | 0 ₽ | 0 ₽ | ||||||||||||||||
20 | 11 | 0 ₽ | 0 ₽ | ||||||||||||||||
21 | 12 | 0 ₽ | 0 ₽ | ||||||||||||||||
22 | 13 | 0 ₽ | 0 ₽ | ||||||||||||||||
23 | 14 | 0 ₽ | 0 ₽ | ||||||||||||||||
24 | 15 | 0 ₽ | 0 ₽ | ||||||||||||||||
25 | 16 | 0 ₽ | 0 ₽ | ||||||||||||||||
26 | 17 | 0 ₽ | 0 ₽ | ||||||||||||||||
27 | 18 | 0 ₽ | 0 ₽ | ||||||||||||||||
28 | 19 | 0 ₽ | 0 ₽ | ||||||||||||||||
29 | 20 | 0 ₽ | 0 ₽ | ||||||||||||||||
30 | |||||||||||||||||||
31 | Порядок работы экспертов по оценке рисков: В любой проблеме измерения важной отправной точкой является фиксирование текущего состояния неопределенности. Нужно лишь задать базовую структуру, выполнив следующие действия. 1. Определить список рисков. Классифицировать риски можно по разному, но сейчас только укажем, что для обычной матрицы рисков составляется такой же список. 2. Определить конкретный период времени, в течение которого может возникнуть несущее риск событие (например: «Утечка данных из приложения Х произойдет в ближайшие 12 месяцев», «Потеря доступа к системе Х достаточно продолжительная, чтобы привести к снижению производительности в ближайшие пять лет» и т. д.). 3. Для каждого риска субъективно определить вероятность (от 0 до 100 %), с которой заявленное событие произойдет в указанное время (например: «Существует вероятность 10 %, что утечка данных из системы X произойдет в ближайшие 12 месяцев»). 4. Для каждого риска субъективно определить диапазон финансовых потерь в случае наступления события в виде 90 % ного доверительного интервала (ДИ). Это достаточно широкий диапазон, позволяющий быть на 90 % уверенными, что фактические потери окажутся в его пределах (например: «Если произойдет утечка данных из приложения X, то с вероятностью 90 % можно предположить, что потери составят от 1 до 10 млн руб»). 5. Если есть возможность, то получить оценки нескольких экспертов, но не проводить при этом общее совещание в попытке достичь консенсуса. Просто предоставьте список определенных событий, и пусть люди отвечают по отдельности. Если ответы некоторых экспертов сильно отличаются от остальных, выясните, не интерпретируют ли они иначе проблему. Например, если один человек называет вероятность наступления какого либо события равной 5 % в течение года, а другой говорит, что оно с вероятностью 100 % происходит каждый день, тогда они, судя по всему, по разному поняли вопрос (авторы лично сталкивались именно с таким вариантом). Однако, если эксперты понимают вопрос одинаково, просто усредните их ответы. То есть вычислите среднее арифметическое значение всех вероятностей наступления события, чтобы получить одно значение вероятности, а затем вычислите среднее арифметическое всех наименьших значений вероятностей для получения одного нижнего предела и наибольших значений для получения одного верхнего предела. | ||||||||||||||||||
32 | |||||||||||||||||||
33 | |||||||||||||||||||
34 | |||||||||||||||||||
35 | |||||||||||||||||||
36 | |||||||||||||||||||
37 | |||||||||||||||||||
38 | |||||||||||||||||||
39 | |||||||||||||||||||
40 | |||||||||||||||||||
41 | |||||||||||||||||||
42 | |||||||||||||||||||
43 | |||||||||||||||||||
44 | |||||||||||||||||||
45 | |||||||||||||||||||
46 | |||||||||||||||||||
47 | |||||||||||||||||||
48 | |||||||||||||||||||
49 | |||||||||||||||||||
50 | |||||||||||||||||||
51 | |||||||||||||||||||
52 | |||||||||||||||||||
53 | |||||||||||||||||||
54 | |||||||||||||||||||
55 | |||||||||||||||||||
56 | |||||||||||||||||||
57 | |||||||||||||||||||
58 | |||||||||||||||||||
59 | |||||||||||||||||||
60 | |||||||||||||||||||
61 | |||||||||||||||||||
62 | |||||||||||||||||||
63 | |||||||||||||||||||
64 | |||||||||||||||||||
65 | |||||||||||||||||||
66 | |||||||||||||||||||
67 | |||||||||||||||||||
68 | |||||||||||||||||||
69 | |||||||||||||||||||
70 | |||||||||||||||||||
71 | |||||||||||||||||||
72 | |||||||||||||||||||
73 | |||||||||||||||||||
74 | |||||||||||||||||||
75 | |||||||||||||||||||
76 | |||||||||||||||||||
77 | |||||||||||||||||||
78 | |||||||||||||||||||
79 | |||||||||||||||||||
80 | |||||||||||||||||||
81 | |||||||||||||||||||
82 | |||||||||||||||||||
83 | |||||||||||||||||||
84 | |||||||||||||||||||
85 | |||||||||||||||||||
86 | |||||||||||||||||||
87 | |||||||||||||||||||
88 | |||||||||||||||||||
89 | |||||||||||||||||||
90 | |||||||||||||||||||
91 | |||||||||||||||||||
92 | |||||||||||||||||||
93 | |||||||||||||||||||
94 | |||||||||||||||||||
95 | |||||||||||||||||||
96 | |||||||||||||||||||
97 | |||||||||||||||||||
98 | |||||||||||||||||||
99 | |||||||||||||||||||
100 | |||||||||||||||||||
101 | |||||||||||||||||||