1. Ущерб
   Под ущербом понимается тяжесть возможных последствий для организации в случае наступления риска.
   Ущерб задается на уровне Угрозы и транслируется во все риски, сформированные на базе этой угрозы. При этом на уровне конкретных рисков ущерб можно переопределить.
   Возможные значения: отсутствует, низкий, средний, высокий, критический.
2. Вероятность
   Под вероятностью понимается вероятность нанесения ущерба в случае наступления риска или вероятность наступления риска.
   Вероятность задается на уровне Уязвимости и транслируется во все риски, сформированные на базе этой уязвимости. При этом на уровне конкретных рисков вероятность можно переопределить.
   Возможные значения: отсутствует, низкая, средняя, высокая, критическая.
3. Приоритет актива (типа актива)
   Под приоритетом актива понимается ценность актива являющегося источником уязвимости при реализации риска.
   Приоритет актива задается на уровне Типа актива и транслируется во все риски, сформированные на базе этого типа актива. При этом на уровне конкретных рисков приоритет типа актива можно переопределить.
   Возможные значения: отсутствует, низкий, средний, высокий, критический.

1. Первичный риск
   Величина риска (группы рисков) до его снижения под воздействием защитных мер 
2. Текущий риск
   Величина риска (группы рисков) с учетом воздействия на него реализованных на текущий момент защитных мер (т.е. мер, находящихся в статусе Реализовано)
3. Проектный (остаточный) риск
   Величина риска (группы рисков) с учетом воздействия на него как реализованных, так и еще не реализованных на текущий момент защитных мер (меры, находящиеся в статусе Проект или Внедрение)

Величина риска = Ущерб x Вероятность x Приоритет актива

Ущерб = Величина ущерба * Коэффициент влияния защитной меры на ущерб * Коэффициент влияния метрики

Вероятность = Величина вероятности * Коэффициент влияния защитной меры на вероятность * Коэффициент влияния метрики 

Вероятность = Severity уязвимости * Коэффициент влияния защитной меры на вероятность * Коэффициент влияния метрики 

• Отсутствует, коэффициент = 1;
• Низкое, коэффициент = 0,9;
• Среднее, коэффициент = 0,6;
• Высокое, коэффициент = 0,4;
• Полностью, коэффициент = 0;

• Значение метрики в пороговом значении Хорошо (зеленый фон), коэффициент = 1;
• Значение метрики в пороговом значении Удовлетворительно (желтый фон), коэффициент = 1,11;
• Значение метрики в пороговом значении Плохо (красный фон), коэффициент = 2,50;

• Величина риска = Ущерб + Вероятность + Приоритет актива
• Величина риска = Ущерб x Вероятность
• Величина риска = Ущерб + Вероятность

1. вероятность реализации риска
2. последствия реализации риска (ущерб)

Программное обеспечение > Системное ПО > Операционная система > ОС Windows > Windows Desktop > Windows XP

Угроза Заражение ВПО из-за Уязвимости Наличие технических уязвимостей в активах типа Программное обеспечение

Угроза Заражение ВПО из-за уязвимости Наличие технических уязвимостей в активах типа Windows XP

риск (risk): Сочетание вероятности события и его последствий

Риск нарушения безопасности сети электросвязи: Вероятность причинения ущерба сети электросвязи или ее компонентам вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости в сети электросвязи.

Риск информационной безопасности (information security risk): Потенциальная возможность того, что уязвимость будет использоваться для создания угрозы активу или группе активов, приводящей к ущербу для организации.

Риск - влияние неопределенности на цели.
Влияние - это отклонение от ожидаемого - положительное или отрицательное.
Неопределенность - это состояние, даже частичное, недостатка информации, относящейся к событию, его последствиям или вероятности, пониманию или знанию о нем.
Риск часто характеризуется ссылкой на потенциальные «события» и «последствия» или их комбинацию.
Риск часто выражается в виде комбинации последствий события (включая изменения обстоятельств) и связанной с ними «вероятности» наступления.
В контексте систем менеджмента информационной безопасности риски информационной безопасности могут быть выражены как влияние неопределенности на цели информационной безопасности.
Риск информационной безопасности связан с возможностью того, что угрозы будут использовать уязвимости информационного актива или группы информационных активов и тем самым причинить вред организации.

риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.
Примечание - Определяется как сочетание вероятности события и его последствий.

риск: Сочетание вероятности нанесения ущерба и тяжести этого ущерба.

• Обоснование бюджета на информационную безопасность через расчёт потенциальных финансовых потерь;
• Приоритизация рисков и защитных мер на основе финансовой оценки;
• Сравнение эффективности мер «до/после» в единой таблице;
• Интеграция с дашбордами для мониторинга текущего уровня риска относительно риск-аппетита компании.

• Риск — это вероятность наступления события × величина ущерба. 
• Метод разбивает риск на четкие компоненты: какова вероятность атаки, насколько уязвима система, сколько может стоить инцидент. 
• Результат — это конкретная цифра (например, «потенциальный убыток — 20 млн руб. в год»), а не абстрактная "высокий/средний/низкий" оценка. 

• Коэффициенты влияния защитных мер на устойчивость к угрозе (Resistance Strength). Атрибуты Низкое влияние, Среднее влияние и Высокое влияние определяют насколько применённые защитные меры снижают итоговую величину риска влияя на вероятность. Механика влияния защитных мер следующая: 
  • Из всех привязанных к риску защитных мер определяется та защитная мера у которой максимальный показатель Снижение вероятности.
  • Далее сервис умножает максимальный показатель Снижение вероятности на атрибуты Низкое влияние, Среднее влияние и Высокое влияние то количество раз, сколько привязано к риску защитных мер каждого нижележащего показателя Снижение вероятности (Низкое, Среднее, Высокое). 
• Величина потерь. Необходима для расчёта предполагаемого объёма потерь при реализации сценария риска.
  • Прямые потери (Primary Loss). Непосредственный финансовый ущерб от реализации риска: штрафы, стоимость восстановления систем, выплаты компенсаций.
  • Косвенные потери (Secondary Loss). Опосредованный ущерб: репутационные потери, упущенная выгода, издержки на расследование инцидента.
• Частота событий. Используется для оценки как частота инцидентов влияет на уровень риска.
  • Частота контакта, кол-во/год (Contact Frequency). Среднее количество попыток воздействия злоумышленника на актив в год. Используется как один из переменных формулы. 
  • Вероятность действия нарушителя, % (Probability of action). Вероятность (0-100) того, что при наличии контакта злоумышленник предпримет активные действия против актива. 

• Annualized Loss Expectancy (ALE) - ожидаемые годовые потери, это текущий уровень риска;
• Threat Event Frequency (TEF) - Оценка частоты событий угрозы. TEF = CF × PoA, где 
  • CF и PoA - критерии вероятности, указывается три значения для каждого критерия.
• Vulnerability (Vuln) - оценка уязвимости.Vuln = 1/(1+2^(RS-TC)), где 
  • Resistance Strength (RS) - влияние защитной меры на вероятность, (значение от 0 до 15).
    • Отсутствует – 0, 
    • Низкая – 3, 
    • Средняя – 7, 
    • Высокая – 11, 
    • Полностью – 15.
  • Threat Capability (TC) - параметры указанные в блоке Источники конкретной Угрозы, принимает значение от 0 до 15 согласно правилам:
    • Чек-боксы Внешний нарушитель и Внутренний нарушитель неактивны = 0, 
    • Чек-боксы Внешний нарушитель и/или Внутренний нарушитель активен и выбран радиобатон уровня компетенций Низкий – 5, 
    • Чек-боксы Внешний нарушитель и/или Внутренний нарушитель активен и выбран радиобатон уровня компетенций Средний – 10. 
    • Чек-боксы Внешний нарушитель и/или Внутренний нарушитель активен и выбран радиобатон уровня компетенций Высокий – 15.
• Loss Magnitude (LM) - Вероятная величина потерь. LM = PLM + SLM, где: 
  • Primary Loss Magnitude (PLM)  - критерии ущерба, указывается три значения для критерия. 
  • Secondary Loss Magnitude (SLM)  - критерии ущерба, указывается три значения для критерия.

• Угрозы: указываются источники (внешний/внутренний нарушитель и др.), степень их влияния (определяет параметр TC), величина потерь.
• Уязвимости: задаются параметры частоты событий (CF и PoA), из которых считается TEF.
• Риски: связываются угроза + уязвимость + актив. Система автоматически рассчитывает ALE. Значения можно переопределить на уровне риска.

• Как и в качественной оценке рисков может быть использован параметр Базовое значение из связанной с риском Угрозы или в окне редактирования риска их выпадающего списка Ущерб. При указании конкретного уровня Ущерба, параметры Прямые потери (Primary Loss) и Косвенные потери (Secondary Loss) примут соответствующие одинаковые значения согласно уровню ущерба.
• Доступна более гибкая настройка, для неё необходимо развернуть блок Величина потерь и выбрать отдельно значение для параметра Прямые потери (Primary Loss) и Косвенные потери (Secondary Loss). Далее установить чек-бокс Сохранить для риска и сохранить изменения нажав кнопку Обновить.

• Как и в качественной оценке рисков может быть использован параметр Базовое значение из связанной с риском Уязвимости или в окне редактирования риска их выпадающего списка Вероятность. При указании конкретного уровня Вероятности, параметры Частота контакта, кол-во/год (Contact Frequency) и Вероятность действия нарушителя, % (Probability of action) примут соответствующие значения одинаковые значения согласно вероятности события риска.
• Доступна более гибкая настройка, для неё необходимо развернуть блок Частота событий и выбрать отдельно значение для параметра Частота контакта, кол-во/год (Contact Frequency) и Вероятность действия нарушителя, % (Probability of action). Далее установить чек-бокс Сохранить для риска и сохранить изменения нажав кнопку Обновить.

• Повышают параметр устойчивости защиты (RS), что снижает уязвимость (Vulnerability) по формуле 1/(1+2^(RS-TC)).
• Влияние мер, на риск влияет максимальный показатель Снижение вероятности умноженный на коэффициенты согласно количеству мер с меньшим влиянием (коэффициенты по умолчанию 1.05/1.1/1.3). 
• Максимальное значение RS — 15.
• Защитные меры не влияют на ущерб.

1. Управляющие элементы:
   • Добавить риск - переход в интерфейс создания рисков;
   • Модель нарушителя - переход в интерфейс создания модели нарушителя;
   • Каталоги - ссылка в модуль Каталоги;
   • MITRE ATT&CK - прямая ссылка в каталог;
   • БДУ ФСТЭК - прямая ссылка в каталог;
   • Новая БДУ ФСТЭК - прямая ссылка в каталог;
   • Угрозы - переход в Реестр угроз;
   • Уязвимости - переход в Реестр уязвимостей;
   • Типы активов - переход в Реестр типов активов;
   • Методика - открывает модальное окно Метод оценки рисков;
   • Принятые - отображает реестр принятых рисков;
   • Мастер; 
   • Справка;
2. Метрики и показатели:
   • Текущий риск - степень влияния текущего риска;
   • КЦД (Конфиденциальность, целостность, доступность) - диаграмма распределения рисков и фильтр по свойствам информации затрагиваемым угрозой;
   • Stride (Отказ в обслуживании) -  диаграмма распределения рисков и фильтр по stride - Подмена пользователя, Искажение, Отрицание, Раскрытие информации, Отказ в обслуживании и Повышение привилегий.
   • Риск -  диаграмма распределения рисков и фильтра по уровню критичности риска;
   • Риск-аппетит - диаграмма распределения рисков и фильтр по превышению риск- аппетита;
   • Тип рисков - диаграмма распределения рисков и фильтр по типам рисков;
   • Идентификация рисков - диаграмма активности процессов по добавлению рисков в реестр;
   • История Факт/план - История изменения максимальной величины риска;
   • Риски по величине - Количество рисков по их величине.
3. Табличная часть и фильтры:
   • Вид - изменение отображения табличной части: 
     • Упрощенный реестр рисков - стандартное описание риска, одержит стоблцы: Угроза, Уязвимость, Тип актива, Текущий риск и Связи (отображение связи с ).
     • Детальный реестр рисков - добавляет столбцы отображающих уровень риск и влияния на него защитных мер, уязвимостей или метрик - Первичный риск  (до влияния), Текущий риск (после влияния) и Остаточный риск (добавление влияния всех связанны защитных мер вне зависимости от статуса)
     • План обработки рисков - добавляет столбец Защитные меры, с описанием связанных защитных мер.
   • Фильтры - добавляет один или несколько фильтров по уровню риска с конъюнкцией - > Риск-аппетита, < Риск-аппетита, Критический, Высокий, Средний, Низкий;
   • Тип - позволяетдобавить один или несколько фильтров по атрибутам угроз с дизъюнкцией:
     •  КЦД: Конфиденциальность, Целостность, Доступность, Неотказуемость, Подотчетность, Достоверность, Аутентичность. 
     • НСД: Финансы, Здоровье, Репутация, Право.
     • SRIDE: Подмена пользователя, Искажение, Отрицание, Раскрытие информации, Отказ в обслуживании и Повышение привилегий.
   • Метки - фильтрация рисков по меткам;
   • Экспорт данных - экспортирует реестр рисков согласно настройке Вид в форматах CSV, XLS, JSON и XML, а также Отчет по оценке рисков в формате DOCX.

• Если настройки параметров не позволят достичь какого-либо значения уровня риска, система выведет сообщение об этом;
• После сохранения новых параметров происходит пересчет значения уровня риска для существующих рисков. Если не найдено соответствие новым параметрам, то присваивается минимальное значение параметра;
• При изменении параметров расчета риска система автоматически выводит новые значения максимальной возможной оценки риска в баллах;
• При изменении параметров расчета риска система автоматически выводит распределение рисков по уровням в баллах и процентах.

• Threat Damage x Vuln Likelihood x Asset type Priority
• Threat Damage x Vuln Likelihood
• Threat Damage + Vuln Likelihood + Asset type Priority
• Threat Damage + Vuln Likelihood

• Баллы 
• Проценты

• Риск аппетит  -  Максимальный уровень риска который организация готова принять;
• Низкий риск -  Максимальный уровень низкого риска;
• Средний риск - Максимальный уровень среднего риска;
• Высокий риск - Максимальный уровень высокого риска.