Единственное предлагаемое нами изменение в том, чтобы вместо использования шкал типа «высокий, средний, низкий» или «от 1 до 5» эксперты научились субъективно оценивать фактические величины, стоящие за такими шкалами, т. е. вероятность и воздействие в денежном выражении. В табл. 3.1 кратко описана возможная замена каждого элемента привычной матрицы риска с помощью метода, использующего вероятности в явном виде.

Предложенный метод, как и матрица рисков, на самом деле не более чем еще один способ выражения текущего состояния неопределенности. Он не отражает надлежащее измерение в принятом нами смысле: мы не снижаем неопределенность на основе дополнительных наблюдений, мы лишь подтверждаем свою априорную неопределенность. Однако теперь уровень этой неопределенности выражен таким образом, который позволяет нам однозначно сообщать о риске и корректировать степень неопределенности с появлением новой информации.

Давайте теперь соберем воедино элементы данного подхода, начиная с того, как эксперт в сфере кибербезопасности дает субъективную оценку вероятности.

В соответствии с принципами замены «один на один» нами будет задействован тот же источник данных для оценки, что использовался бы и при составлении матрицы рисков, – эксперт в сфере кибербезопасности. Подобно тому как эксперты уже оценивают вероятность и воздействие с помощью обычной матрицы рисков, они могут оценить их же, используя значимые величины. Чуть позже будет также разобрано, как добавить к их оценке дополнительную внешнюю информацию. В любой проблеме измерения важной отправной точкой является фиксирование текущего состояния неопределенности. Нужно лишь задать базовую структуру, выполнив следующие действия.

1. Определить список рисков. Классифицировать риски можно по-разному, но сейчас только укажем, что для обычной матрицы рисков составляется такой же список.

2. Определить конкретный период времени, в течение которого может возникнуть несущее риск событие (например: «Утечка данных из приложения Х произойдет в ближайшие 12 месяцев», «Потеря доступа к системе Х достаточно продолжительная, чтобы привести к снижению производительности в ближайшие пять лет» и т. д.).

3. Для каждого риска субъективно определить вероятность (от 0 до 100 %), с которой заявленное событие произойдет в указанное время (например: «Существует вероятность 10 %, что утечка данных из системы X произойдет в ближайшие 12 месяцев»).

4. Для каждого риска субъективно определить диапазон финансовых потерь в случае наступления события в виде 90 %-ного доверительного интервала (ДИ). Это достаточно широкий диапазон, позволяющий быть на 90 % уверенными, что фактические потери окажутся в его пределах (например: «Если произойдет утечка данных из приложения X, то с вероятностью 90 % можно предположить, что потери составят от 1 до 10 млн долл.»).

5. Если есть возможность, то получить оценки нескольких экспертов, но не проводить при этом общее совещание в попытке достичь консенсуса. Просто предоставьте список определенных событий, и пусть люди отвечают по отдельности. Если ответы некоторых экспертов сильно отличаются от остальных, выясните, не интерпретируют ли они иначе проблему. Например, если один человек называет вероятность наступления какого-либо события равной 5 % в течение года, а другой говорит, что оно с вероятностью 100 % происходит каждый день, тогда они, судя по всему, по-разному поняли вопрос (авторы лично сталкивались именно с таким вариантом). Однако, если эксперты понимают вопрос одинаково, просто усредните их ответы. То есть вычислите среднее арифметическое значение всех вероятностей наступления события, чтобы получить одно значение вероятности, а затем вычислите среднее арифметическое всех наименьших значений вероятностей для получения одного нижнего предела и наибольших значений для получения одного верхнего предела.