И снова про оценку вреда субъекту

Раз уж Андрей Прозоров в очередной раз поднял эту тему, продолжу....

Про исследование ФОМ я уже говорил 29 мая. Презентация там же.

Что можно извлечь из этого исследования?

Например построить "профиль страха" (термин мой, на его научность не претендую):

Его смысл можно понять через презентацию Алексея Лукацкого о психологии в деятельности CISO

Влево отложены реалии, вправо - опасения.

Явно видны три группы угроз:

1) "Не так страшен черт, как его малюют"

2) Адекватная оценка

3) "У страха глаза велики"

Можно получить соответствующие коэффициенты значимости угроз для субъектов:

Можно ввести, например, такую шкалу, соответствующую вербальным описаниям опасности угрозы из Методички ФСТЭК:

0<=Хi<2 - низкая опасность (незначительные негативные последствия)

2<=Хi< 4 - средняя опасность (негативные последствия)

4<=Хi<6 - высокая опасность (значительные негативные последствия)

Каждую угрозу оценить по этой шкале, умножить оценку на коэффициент значимости и получить итоговую оценку возможного вреда:

Например:

Совокупный вред находится на шкале опасности в зоне низкого вреда.