Количественная модель рисков оперирует такими понятиями, как:
□ годовая частота происшествия (англ. Annualized Rate of Occurrence — ARO), иначе говоря, вероятность появления ущерба;
□ ожидаемый единичный ущерб (англ. Single Loss Expectancy — SLE), т.е. стоимость ущерба от одной успешной атаки;
□ ожидаемый годовой ущерб (англ. Annualized Loss Expectancy — ALE), величина, равная произведению ARO на SLE.
ALE = ARO x SLE,
где ARO — это частота появления события, приносящего ущерб на годовой основе, т. е., если событие происходит раз в 5 лет, то величина ARO равна 1/5 или 0,2, а если событие происходит 3 раза в год, то ARO равно 3. Как видим, эта величина отлична от математической вероятности, которая не может быть больше 1. Величина ARO не ограничена сверху. Если в организации из 100 человек 50 ежедневно эксплуатируют информационную систему, при этом 5 из них, обладая высокими правами, но низкой квалификацией, могут ежемесячно допускать серьезные ошибки, приводящие к нарушениям в работе системы, то AROjsjm этой системы по данному событию будет равна 5 х 12 = 60.
SLE рассчитывается как произведение количественного (стоимостного) значения актива (англ. Asset Value — А V) на фактор воздействия (англ. Exposure Factor — EF). Фактор воздействия — это размер ущерба или влияния на значение актива (от 0 до 100%), т. е. часть значения, которую актив потеряет в результате события.
SLE=AVx ЕЕ
Рассмотрим пример. Предположим, имеется здание с внутренней инфраструктурой общей стоимостью 10 000 000 долларов. Пожар может нанести ущерб с фактором воздействия 30% (здание и часть инфраструктуры сохранится). Пожар может случиться раз в 10 лет. Тогда:
SLE= 10 000 000 х 0,3 = 300 000
ALE= 300 000 х 0,1 = 30 000
Таким образом, если организация будет тратить до 30 000 долларов в год на предотвращение риска пожара, то предпринимаемые меры будут эффективными с точки зрения управления рисками.