В соответствии с [5] для определения степени реализуемости угрозы вводится показатель — частота (вероятность) реализации угрозы — определяемый экспертным путём показатель, характеризующий, насколько вероятным является реализация конкретной угрозы ИС для данной ИС в складывающихся реальных условиях обстановки.
Вводятся четыре вербальных градации этого показателя:
маловероятно — отсутствуют объективные предпосылки для осуществления угрозы;
низкая вероятность — объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют её реализацию;
средняя вероятность — объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ИС не достаточны;
высокая вероятность — объективные предпосылки для реализации угрозы существуют, и меры по обеспечению безопасности ИС не приняты.
Определение возможности реализации угроз
В соответствии с [6] каждой степени исходной защищённости ставится в соответствие числовой коэффициент Y1, а именно:
- 0 — для высокой степени защищённости;
- 5 — для средней степени защищённости;
- 10 — для низкой степени защищённости.
Каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2, а именно:
- 0 — для маловероятной угрозы;
- 2 — для низкой вероятности угрозы;
- 5 — для средней вероятности угрозы;
- 10 — для высокой вероятности угрозы.
На основе уровня исходной защищённости и частоты (вероятности) реализации угроз рассчитывается коэффициент реализуемости угрозы — Y, равный:
Y = (Y1+Y2)/20.
Коэффициент может принимать значения от 0 до 1. Коэффициент реализуемости угрозы — Y можно считать математическим ожиданием возникновения угрозы, на анализируемом объекте. По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:
- — если значение Y больше равно 0 и меньше равно 0.3, то возможность реализации угрозы признается низкой;
- — если значение Y больше 0.3 и меньше равно 0.6, то возможность реализации угрозы признается средней;
- — если значение Y больше 0.6 и меньше равно 0.8, то возможность реализации угрозы признается высокой;
- — если значение Y больше 0.8, то возможность реализации угрозы признается очень высокой.