Блок 3. Оценка рисков Количественная оценка рисков по FAIR-методологии Слайд 4 / 14
Дерево факторов FAIR
Risk (риск) Loss Event Frequency Как часто произойдёт инцидент Magnitude of Loss Насколько дорого обойдётся инцидент Threat Event Frequency частота попыток атак Vulnerability вероятность успешной атаки Primary Loss простой, восстановление, выкуп, потеря операций Secondary Loss штрафы, репутация, судебные расходы, регуляторы ALE = LEF × Magnitude of Loss ожидаемые годовые потери Пример: BEC-атака LEF 0.35 SLE 12.4 млн ₽ ALE 4.34 млн ₽ 0.35 × 12.4 = 4.34 млн ₽/год

Пример: BEC-атака

LEF (годовая частота)0.35
SLE (убыток/инцидент)12.4 млн ₽
ALE (годовые потери)4.34 млн ₽

ROI защитного контроля

Контроль: MFA + обучение против BEC1.2 млн ₽
ALE после контроля0.8 млн ₽
Экономия в год3.54 млн ₽
ROI296%

FAIR-формулы

ALE = LEF × Magnitude of Loss
LEF — Loss Event Frequency
SLE — Single Loss Expectancy
ALE = ARO × SLE
ARO — Annual Rate of Occurrence
FAIR переводит киберриски в денежную модель бизнеса
FAIR-онтология
Risk = Вероятность Loss Event × Magnitude of Loss
Loss Event Probability = f(TEF, Vulnerability)
Magnitude of Loss = Primary Loss + Secondary Loss
Primary — операционные; Secondary — репутация, штрафы

Monte Carlo Simulation

Оценка строится диапазонами: minimum / most likely / maximum вместо одного фиксированного числа

С чего начать FAIR на практике

1. Упрощённая модель: ARO + SLE + ALE
2. Оценить top-5 бизнес-рисков
3. Benchmark: IBM Cost of Data Breach, Verizon DBIR, Ponemon
FAIR превращает кибербезопасность в инвестиционный бизнес-кейс. Это язык CFO, CEO и совета директоров.
Лекция 06. Управление рисками и построение СУИБ Блок 3 / Слайд 4