определение риска (ущерба)
Операции с документом

Уважаемые Коллеги!
В классическом варианте ущерб определяется для каждой пары "угроза-уязвимость". Величину риска можно определить, например, с использованием метрик CVSS.
Обычно при оценки риска (ущерба) сначала определяется перечень актуальных угроз, а уязвимости лишь характеризуют возможности их реализации.
Что если сместить акцент с угроз на уязвимости?
Тогда, вместо вероятности реализации угрозы можно будет определять вероятность эксплуатации уязвимости, которая будет учитывать как вероятность наличия уязвимости, так и вероятность её использования хотя бы одной из угроз.
Мне кажется, что такой подход к определению риска сокращает объём работы, а использование метрик CVSS исключает субъективную оценку эксперта и даёт возможность автоматизировать процесс.
У кого есть какие мысли по этому поводу? Правильно ли моё расуждение?
Риск определяется триадой "угроза-уязвимость-актив", где пара "угроза-уязвимость" описывает механизм компрометации актива и вероятность этого события, а ценность актива определяет последствия для владельцев актива и величину ущерба. Вопрос о риске возникает в связи с появлением (наличием) ценного (информационного) актива и рассмотрения возможных последствий его компрометации. Если эти последствия могут выразится в значительном ущербе для владельца актива, тогда имеет смысл начинать катавасию с оценкой риска. Поэтому в большинстве случаев в первую очередь производится инвентаризация, классификация и оценка ценности активов. Затем формируется перечни (модели) угроз в отношении этих активов, а затем для оценки вероятности успешной реализации угрозы идентифицируются и оцениваются как имеющиеся уязвимости, так и механизмы защиты. Чаще всего, для того чтобы угроза в отношении актива могла быть реализована, требуется наличие сразу нескольких уязвимостей и отсутствие (или слабости) соответствующих механизмов защиты.
Метрики CVSS, наряду с другими количественными и качественными подходами, используются для оценки величины (степени опасности) уязвимостей. Кроме этого существуют также количественные и качественные методы оценки угроз, механизмов защиты и ценности активов. Только когда у вас есть метрики для всех элементов триады (+ метрики для оценки механизмов защиты) вы можете оценить риск.
Субъективизм в оценке риска исключить невозможно, хотя бы потому, что суждения о ценности активов или степени мотивации потенциального нарушителя всегда носят субъективный характер, а последствия реализации угроз уходят в бесконечность. Риск - это вообще субъективное понятие. Различные метрики и методы экспертных оценок, позволяют лишь снизить степень субъективизма до приемлемого уровня.
Однако, описанный выше подход на практике применять довольно сложно, поскольку он порождает очень много сущностей, относящихся между собой как многие к многим. Модель получается сложной. Каждая информационная система обрабатывает кучу разнородных информационных активов (документы, наборы и базы данных, транзакции, конфигурации, протоколы, авторизации, образов, информационных потоков и т.п.), представленных в различных форматах, на разных носителях, территориально распределенных и т.п. Эти активы (и их ценность) взаимозависимы. Кроме этого, информационная система взаимодействует с другими системами, используя общие активы и обмениваясь ими. Все это учесть, классифицировать и описать довольно сложно. Еще сложнее это потом использовать для оценки риска.
Угрозы и уязвимости "разложить по полочкам" тоже очень сложно, поскольку реальные инциденты обычно включают в себя группу угроз и группу уязвимостей и сценарии их использования и их взаимозависимости. Угрозы от уязвимостей тоже бывает сложно отделить.
Поэтому, чтобы упростить задачу оценки риска, "угроза-уязвимость" заменяется понятием "инцидент", т.е. событие, которое может иметь негативные последствия. Вместо "актива" используются сразу "последствия для бизнеса" (т.е. вся возня с активами, их классификациями, ценностями и зависимостями пропускается). Получается двойка "инцидент-последствия", с которой работать намного проще. Тогда величина риска определяется комбинацией "возможности реализации инцидента" и "тяжести последствий". Это более высокоуровневый и универсальный подход, используемый для оценки операционных рисков.
Инциденты и соответствующие риски вполне можно классифицировать по типам используемых в них уязвимостей, которые оцениваются с использованием CVSS метрик. В этом смысле ваше рассуждения правильно.