Теперь просто создадим по этим двум столбцам точечную (X,Y) диаграмму в Excel. Если хотите, чтобы она выглядела так же, как показанная выше кривая вероятности превышения потерь, нужно выбрать тип диаграммы с гладкими кривыми и без маркеров для точки. Именно этот тип диаграмм используется в электронной таблице с сайта. Дополнительные кривые можно добавить, вставив еще столбцы данных. Скажем, создание кривой остаточного риска представляет собой аналогичную процедуру, но основанную на оценках вероятности и воздействия (которые, предположительно, будут меньше) после реализации предложенных дополнительных средств контроля.

Один из недостатков диаграммы с кривыми вероятности превышения потерь заключается в том, что изображение становится перегруженным при наличии множества таких кривых. В типичной матрице рисков каждый риск показан как одна точка (хотя и крайне нереалистичная и двусмысленная точка), а кривая вероятности превышения потерь отображается как линия. Вот почему одна из организаций, составив диаграмму с большим количеством кривых вероятности превышения потерь, назвала ее диаграммой спагетти. Однако с этим недостатком легко справиться, просто создав отдельные диаграммы для различных категорий. Кроме того, поскольку кривые вероятности превышения потерь всегда можно объединить математически, то возможно создание комплексных диаграмм кривых вероятности превышения потерь, где каждая кривая будет раскладываться на несколько других, показанных на отдельной подробной диаграмме. Это еще одно ключевое преимущество использования такого инструмента, как кривые вероятности превышения потерь, для передачи информации о рисках. На сайте книги доступна электронная таблица, демонстрирующая, как это делается.

Теперь сравните эту возможность комплексного сравнения с популярными подходами в оценке рисков кибербезопасности. Типичный подход «низкий/средний/высокий» недостаточно конкретен, чтобы можно было сказать, что «семь низких значений и два средних рискованнее, чем одно высокое» или «девять низких значений в сумме дают одно среднее», но это позволяет сделать кривая вероятности превышения потерь. И еще следует подчеркнуть, что высокая неоднозначность метода «низкий/средний/высокий» никоим образом не избавляет аналитика от необходимости задумываться о подобных вещах. Просто с матрицей рисков он вынужден воспринимать риски гораздо более неоднозначно.

Для построения обобщенной кривой необходимо для начала создать еще одну таблицу, подобную табл. 3.3, но в которой каждое значение будет являться суммой нескольких смоделированных категорий рисков, а затем на ее основе сделать таблицу, аналогичную табл. 3.4. Опять же, в качестве примера у нас есть электронная таблица, доступная для скачивания на сайте www.howtomeasureanything.com/cybersecurity. Порядок действий при этом следующий: проводится еще 10 000 тестов всех рисков, общее влияние которых нас интересует, и к их сумме применяется процедура построения кривой вероятности превышения потерь. Может показаться, что достаточно было бы просто взять отдельно составленные таблицы, такие как табл. 3.3, сложить количество значений, подпадающих под условия соответствующей ячейки с расчетом процента, и получилась бы обобщенная кривая. Но нет, полученные результаты будут неверны, за исключением случаев, когда риски идеально коррелируют (опустим подробности, почему так происходит, но, немного поэкспериментировав, вы сами в этом убедитесь, если захотите увидеть разницу между двумя процессами).

Придерживаясь этого метода, можно увидеть риски системы при нескольких уязвимостях, риски структурного подразделения от нескольких систем и риски в масштабах предприятия для всех структурных подразделений.

В идеале информация для кривой рискоустойчивости собирается на встрече с руководителями, обладающими компетенцией заявлять, насколько большой риск организация готова принять в соответствии с ее политикой. Хаббарду доводилось формировать кривые рискоустойчивости различных типов (кривая вероятности превышения потерь – лишь один из видов количественной оценки рискоустойчивости) для множества организаций, в том числе с целью определения рискоустойчивости ряда приложений обеспечения кибербезопасности. Такая встреча обычно длится около полутора часов. Предполагается, что в ходе нее вы просто объясняете саму концепцию руководству, а затем просите их установить несколько точек на кривой. Также в процессе необходимо определить, какая именно кривая рискоустойчивости вас интересует (например, ежегодный риск для отдельной системы, риск на десятилетие для всего предприятия и т. д.). Как только суть дела объяснена, можно начинать задавать вопросы, оттолкнувшись от какой-то произвольной точки.