Методика управления рисками назначает какое-то действие для каждого риска. Выбор может быть один из следующего:

• Избежание риска методом отказа от использования связанной с ним функции или устранением слабого звена системы
• Снижение риска до приемлемого уровня содержит соответствующие противодействия, которые могут применяться по-разному:
  • Передать риск третьей стороне (например использование страховки)
  • Уменьшить возможность появления угрозы
  • Уменьшить влияние угрозы
  • Определить частоту проявления сбоя или угрозы
• Принять риск - клиент может принять риск, если методы противодействия оказываются слишком дорогими.

Методы оценки риска зависят от принятой к использованию методики.

Например по методике CRAMM (CCTA Risk Analysis and Management Method) определены следующие стоимости уровней угрозы:

• Очень низкая - один случай в 10 лет
• Низкая - одни случай в 3 года
• Средняя - один случай в год
• Высокая - один случай в 4 месяца
• Очень высокая - один случай в месяц

Оценка уязвимостей по CRAMM:

• Низкая - в худшем случае вероятность появления события ниже 33%
• Средняя - в худшем случае вероятность появления события 33-66%
• Высокая - вероятность появления события выше 66%

Оценка угроз связана с анализом рисков, в ходе которого вычисляются степени угроз. Угрозы, учитываемые при анализе рисков, могут быть, например, следующими:

• Стихийные бедствия
• Кража оборудования или документов
• Сбой электроснабжения
• Сбой климатических установок
• Поломка аппаратуры
• Поломка аппаратуры или ПО в связи с человеческой ошибкой
• Вандализм

Риск измеряется на основании ущерба, наносимой системе в случае появления угрожающего события.

Эмпирическое правило оценки риска учитывает наносимый угрожающим событием ущерб и вероятность появления этого события:

R = D × P, где R это риск, D потенциальный ущерб и P вероятность появления события

В области безопасности в общем случае вероятность риска выражают функцией уязвимости системы и степени угрозы:

P = f (V, T) , где V это уязвимость, T угроза, P вероятность

В случае случайных рисков вероятность рисков выражается функцией уязвимости системы и специальной вероятности (например вероятность наводнения или сбоя электроснабжения)

P = f (V, p), где V это уязвимость, p специальная вероятность

Степень тяжести события обычно можно выразить и в виде денежного ущерба. Степень риска, учитывающего связанное с риском соответствующее имущество, выражается:

L=f(V,T,A), где L это степень риска, V уязвимость, T угроза и A стоимость имущества

Когда степень риска оценена, нужно определить противомеры угрозам. Каждая противомера относится к конкретному защищаемому объекту и связанной с ним угрозе. Определённые противомеры должны покрывать все найденные риски. Когда противомеры приняты на вооружение, нужно оценить возможность оставшихся рисков. Таким образом можно установить, являются ли противомеры достаточными.

Общую идею анализа риска и управления рисками можно представить с помощью простой диаграммы, где анализ риска и управление риском это различная, но связанная деятельность.

Рисунок 7‑1. Связь анализа риска и управления рисками (Источник: Learning Materials for Information Technology Professionals (EUCIP-Mat))

На этой диаграмме показаны основные элементы анализа риска и управления рисками и их связь.

План аварийного восстановления (Disaster Recovery Plan) это документ, часто сопровождающий план непрерывности услуг (Service Continuity Plan). Он определяет процессы, политики и процедуры для восстановления нормальной ситуации в ограниченное время, критические операции для продолжения бизнеса после происшествия. Длительность разрешённой задержки должна быть выбрана в соответствии с требования бизнеса.

Этот план предлагает технологические и организационные решения, позволяющие продолжатся критически важной деятельности в случае аварии, пока не будет восстановлена нормальная ситуация. Важной частью составления плана является выбрать и определить те процессы и услуги, которые быть защищены с помощью решений, предложенных в плане аварийного восстановления.