В самом общем виде: возможный ущерб от нарушения работы системы - 100000 млн * вероятность 1% = риск 1000 млн. Стоимость СЗИ = 5 млн.  Экономия в среднем 995 млн.

Вот только способов определить вероятность реализации угрозы пока ещё не придумали :)

Если бы еще и СЗИ гарантировано защищало, а то ведь только к снижению вероятности реализации угрозы приводит  (которую и так то не посчитать).

В общем виде именно так, как сказали выше: 100 млрд * 1% и т.д. Ущерб можно считать от простоя, от порчи оборудования, от возмещения лечения, от штрафных санкций и от суммы возмещения ущерба (если были таковые случаи в суде). Сложнее с репутационными потерями и потерей клиентов, но тоже возможно. В качестве примера: выход из строя информационной системы приведёт к остановке деятельности на 22 рабочих дня. Это равнозначно упущенной выгоде за один месяц, то есть за 1/12 года. Е

откуда цифра 100000 млн?

А почему 1%, а не 0.001%? :)

Да. Для мат.модели нет статистики. Поэтому обоснование должно быть понятным всем участникам. Например, вероятность большая, если: 1) угрозу смогли реализовать в ходе пентеста 2) угрозу можно реализовать без подготовки 3) угрозу можно реализовать скрытно

Например, остановка производства на месяц.

Однако, считать надо 😊 Например: 1) есть такие случаи в мировой статистике? 2) есть ли такие случаи в отечественной прессе? 3) нужен ли неуловимый джо кому-то? 4) насколько легко нарушителю это реализовать.

Исходить можно из того, что: если угрозу легко реализовать, её может реализовать любой пользователь, следы можно скрыть, и есть выгода - то вероятность 100%.

Ваще не надо. А) - бессмысленно, Б) - для КИИ не требуется.

А) Есть такая штука, называется "репрезентативный" и "релевантный". По угрозам и их последствиям ни в каких открытых источниках  вы не найдете такого количества  релевантных для вас примеров, чтобы получилась репрезентативная выборка. То, что вы на примерах из прессы посчитаете, никакого отношенгиия к вероятности не имеет.

Б) Поэтому в ПП127 и в методике моделирования угроз ФСТЭК в итоге принят другой подход. Угроза актуальна, если ее технически возможно осуществить. Т.е. из риска убрана вероятностная компонента, и оставлено только негативное последствие. "Нарушитель может остановить  ваше производство на месяц. В любой момент, когда захочет. Если захочет. И вы не вправе считать угрозу неактуальной только потому, что нарушитель может не захотеть вас атаковать."

Разумно. И я придерживаюсь такого же мнения, поэтому и написал: если легко реализовать, следы можно скрыть.... и так далее, то вероятность 100%.

Но если угроза трудно реализуема: требует проникновения на территорию и в помещение, использования специфических протоколов, и при этом неизбежно оставление следов - вероятность меньше. Но ненулевая, хотя бы потому что сама возможность есть.

И кстати, почему для КИИ не требуется расчёт? Если ваше предприятие оказывает влияние на бюджет региона, то придётся считать.

Более того, вероятность останется даже после применения всех и всяческих мер защиты. И их придется сравнивать, а для этого нужны именно достоверные оценки. :)

Поэтому было решено от оценки вероятностей отказаться, а отказ от них компенсировать периодическим пентестом ("не смогли пентестеры - скорее всего, не сможет и нарушитель").

Ущерб считать придется, вероятности - нет.

В итоге то, обосновать закупку СЗИ можно только через законодательные требования получается. Если у тебя нет ЗОКИИ, то никакой целесообразность закупки финансистам не докажешь

Ущерб от неработоспособности ИС есть? Значит обосновать можно.

А как без вероятности? Они же для каждой угрозы разные, даже с одним и тем же нарушителем. Например, воспользоваться незалоченным компом или подключиться к сетевой розетке - может один и тот же посетитель. Но вероятность первого случая больше, и эту уязвимость нужно прикрывать в первую очередь.

Тоже самое с занесением вредоноса пользователями: при использовании любых флешек вероятность больше, чем при использовании идентифицированных носителей. Хотя и ненулевая.