В основе технологии АРИС лежит разработанная ICS методика оценки риска, по правилам которой решения об архитектуре систем безопасности принимается по результатам анализа активов и угроз, с учетом модели нарушителя, уязвимостей и оценкой вероятного ущерба. Методика позволяет оценить величину риска в денежном эквиваленте, учитывая как прямой ущерб от поражения угрозами, так и величину воздействия угроз на результативность предприятия на протяжении жизненного цикла активов. Полученная стоимость риска может быть использована для оценки величины бюджета на систему безопасности, выделение которого адекватно угрожающим активам опасностям.
На начальном этапе работы инженеры ICS совместно с представителями заказчика определяют перечень опасностей (угроз), которые могут поразить активы. На этом этапе используется имеющаяся статистика опасных событий на подобных объектах, иная доступная статистическая информация и экспертные оценки. Полученный перечень оформляется в табличном виде, а все опасности ранжируются по вероятности их наступления.
Для того чтобы выявленные опасности реализовались необходимо наличие уязвимостей. Уязвимость представляет собой слабость в защите объекта. Сама по себе уязвимость не является угрозой, но она делает возможным поражение угрозой. Поэтому необходимо четко определять взаимосвязь между угрозой и наличием уязвимости. Выявленные при обследовании объекта уязвимости ранжируются и собираются в таблицу.
Уровень уязвимости в значительной степени зависит от типа нарушителя. Понятно, что подготовленный нарушитель (террорист или представитель преступного сообщества) с гораздо большей вероятностью преодолеет установленную защиту и достигнет своей цели, чем неподготовленный нарушитель (например, для медицинского учреждения - родственник пациента в состоянии аффекта). Поэтому для противодействия разным типам нарушителей необходимо создавать различные уровни защит. Нарушители подразделяются на различные типы по организационному признаку и уровню подготовленности к преодолению систем защиты объекта. Инженеры ICS совместно с представителями заказчика определят, от каких типов нарушителей необходимо защищать объект, оценят вероятность появления определенного типа нарушителя и сведут полученную информацию в таблицу. Уровень уязвимости определяется для каждой опасности и каждого типа нарушителя с учетом вероятности его появления на защищаемом объекте.
При определении величины риска необходимо учитывать тяжесть последствий или ущерб, который может быть нанесен при наступлении опасности. Ущерб может приводить к смерти или потере здоровья для одного человека или группы людей, может иметь материальный характер – кража, вывод из строя и уничтожение какого-либо имущества собственника, расположенного на защищаемом объекте и другое. Необходимо учитывать специфику каждого рассматриваемого объекта.
Как правило, руководители бизнеса владеют информацией об убытках, связанных с утратой или повреждением активов, и о величине убытков в случае простоя своего бизнеса в течение определенного времени. Таким образом, руководители и собственники могут определить в денежном эквиваленте потенциальную величину своих потерь при отсутствии должного уровня защищенности от определенных угроз и оценить размер инвестиций в безопасность, необходимых для защиты своего предприятия. Собранная информация о величине ущерба объединяется в таблицу и может быть выражена в денежной форме. Чем более доверительным и открытым будет взаимодействие между службами заказчика и инженерами ICS, тем точнее и качественнее будут определены угрозы и оценен риск для защищаемого объекта, а значит, появится возможность построить действительно эффективную систему безопасности, отражающую основные угрозы и сокращающую риск для предприятия.
Для определения совокупной величины риска в одну таблицу (матрицу риска) сводятся вместе ранее полученные данные из таблиц угроз, уязвимостей и ущерба. В результате для каждой угрозы определяется значение риска. Итоговая таблица описывает ситуацию с риском для защищаемого объекта. Далее угрозы ранжируются и риск, в случае превышения допустимого уровня, подвергается сокращению с помощью разрабатываемой нами системы безопасности – физическими, организационными и техническими средствами защиты. Если анализ риска показывает, что для обеспечения безопасности достаточно организационных мер или, например, установки качественных дверей и решеток на окнах, то мы, руководствуясь принципом разумной достаточности, рекомендуем заказчику вообще не устанавливать часть систем безопасности или устанавливать их в сильно урезанном виде.
Наконец, не следует забывать, что далеко не всегда риск может быть сокращен до допустимого уровня с помощью систем безопасности – в этом случае остаточный риск может быть передан. Классическим примером передачи риска является страхование. Результатом проведения ICS оценки риска станет перечень опасностей, которые необходимо застраховать, и полные исходные данные, необходимые страховой компании для расчета поправочных коэффициентов к страховому тарифу.
