VaR (Value at Risk): методология оценки риска ИБ

2

Рассмотрим кратко методологию оценки риска информационной безопасности VaR.

В данной методологии слишком большее внимание уделяется процессу расчета стоимостной меры риска (выделению нетипичного уровня потерь). Это – недостаток методологии VaR.

Знание VaR в объеме, представленном в данном посте, является одним из требований, предъявляемых к CISSP.


Методология оценки риска информационной безопасности VaR впервые была представлена J. Rees и J. Jaisingh в CERIAS Tech Report 2001-127.

Структура VaR для оценки рисков информационной безопасности состоит из четырех этапов:
1. Идентификация угроз,
2. Оценка вероятности реализации этих угроз,
3. Расчет стоимостной меры риска,
4. Снижение риска.

Если с первыми двумя и последним этапами все понятно, то стоит подробнее остановиться на 3 этапе — «Расчет стоимостной меры риска».

После того как различные риски идентифицированы, вероятность этих рисков оценена, возможные сценарии рисков разработаны, следующим шагом будет расчет стоимостной меры риска (VAR).
VaR основан на следующих понятиях:

  • time horizon (временной горизонт) — в рамках которого рассчитывается VAR
  • confidence level (доверительный интервал) — уровень допустимого риска в процентах.
  • базовая валюта — денежные единицы, в которых измеряется показатель.

Пример:
Компания «Рога и копыта» решила оценить VaR в течении одного месяца (временной горизонт) с доверительным интервалом 99%, в рублевом эквиваленте (базовая валюта).
Таким образом, VAR суммирует ожидаемый максимум потерь на временном горизонте с заданным доверительным интервалом.
Например, если VaR = 10 млн. руб. это значит, что наихудшие потери компании «Рога и копыта» не превысят 10 млн. руб в течении следующих 30 (31) дней с вероятностью 99%.

2 комментария для “VaR (Value at Risk): методология оценки риска ИБ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *