Сравнение рисков – выражение рисков, возникающих от двух различных (или более) факторов и ведущих к одному и тому же эффекту; может выражаться количественно (например, как отношение 1:5) или качественно (один риск больше, чем другой); другими словами – любое сравнение рисков двух или более опасностей может быть дано в единой шкале.
Риск летального исхода по данным на 69 год в США:
Причина |
Вероятность летального исхода в год |
Автомобильный транспорт |
3·10-4 |
Падение |
9·10-5 |
Пожар и ожоги |
4·10-5 |
Утопление |
3·10-5 |
Отравление |
2·10-5 |
Огнестрельное оружие |
1·10-5 |
Водный транспорт |
9·10-6 |
Воздушный транспорт |
9·10-6 |
Падающие предметы |
6·10-6 |
Электрический ток |
6·10-6 |
Железная дорога |
4·10-6 |
Молния |
5·10-7 |
Торнадо |
4·10-7 |
Ураган |
4·10-7 |
Все прочие |
4·10-5 |
Катастрофы, связанные с ядерной энергетикой |
2·10-10 |
Оценка рисков по двум факторам. В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:
РИСК = P происшествия • ЦЕНА ПОТЕРИ
Если переменные являются количественными величинами, то риск — это оценка математического ожидания потерь.
Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна.
Оценка рисков по трем факторам. В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.
Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Р происшествия = Р угрозы • Р уязвимости
Соответственно, риск определяется следующим образом:
РИСК = P угрозы • Р уязвимости • ЦЕНА ПОТЕРИ
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.