Читаем Политики безопасности компании при работе в Интернет полностью

Представим, например, защиту источника питания хранилища данных некоторого коммерческого банка. Источник питания стоит 10 млн. долларов. Если принять вероятность полного разрушения источника питания, например в результате теракта, как 1:1 000 000 000, то риск будет равен произведению этих величин и составит всего 1 цент.

Теперь представим персональный счет клиента, который защищен лишь 4-значным пин-кодом. Вероятность подбора такого кода равна 0,001. Если представить, что средняя сумма на балансе составляет 3 тыс. долларов, то риск составит 30 центов. То есть риск взлома банковского счета может быть в 30 раз выше риска потери источника питания стоимостью 10 млн. долларов.

Следует сказать, что задача управления рисками состоит не в том, чтобы определять риск исключительно количественно с высокой точностью и достоверностью. Здесь достаточно просто понимания природы риска и определения такой метрики риска, которая позволяет измерять, сравнивать, наблюдать и оптимизировать остаточные риски компании и тем самым устанавливать, насколько политика безопасности соответствует требованиям бизнеса.

 управление информационной безопасностью;