Сравнение и анализ рисков в единой шкале

Сравнение рисков – выражение рисков, возникающих от двух различных (или более) факторов и ведущих к одному и тому же эффекту; может выражаться количественно (например, как отношение 1:5) или качественно (один риск больше, чем другой); другими словами – любое сравнение рисков двух или более опасностей может быть дано в единой шкале.

Риск летального исхода по данным на 69 год в США:

 Причина

Вероятность летального исхода в год

Автомобильный транспорт

3·10-4

Падение

9·10-5

Пожар и ожоги

4·10-5

Утопление

3·10-5

Отравление

2·10-5

Огнестрельное оружие

1·10-5

Водный транспорт

9·10-6

Воздушный транспорт

9·10-6

Падающие предметы

6·10-6

Электрический ток

6·10-6

Железная дорога

4·10-6

Молния

5·10-7

Торнадо

4·10-7

Ураган

4·10-7

Все прочие

4·10-5

Катастрофы, связанные с ядерной энергетикой

2·10-10

 

Оценка рисков по двум факторам. В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:

РИСК = P происшествия ЦЕНА ПОТЕРИ

Если переменные являются количественными величинами, то риск — это оценка математического ожидания потерь.

Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна.

Оценка рисков по трем факторам. В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.

Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

Р происшествия = Р угрозы Р уязвимости

Соответственно, риск определяется следующим образом:

РИСК = P угрозы Р уязвимости ЦЕНА ПОТЕРИ

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.

Будет полезно почитать по теме: