6. ƯỚC TÍNH CÁC RỦI RO ĐƯỢC NHẬN DẠNG
6.2. Ước tính rủi ro để quản lý tổng thể
Có thể sử dụng một mô hình rủi ro hoàn chỉnh như đã đề cập ở phần trên để ước tính từng rủi ro một, và từ đó suy ra một chính sách đảm bảo an toàn cùng với các mục tiêu thích nghi với sự quản lý tổng thể các rủi ro. Khi rủi ro được miêu tả như một nguy cơ và một (hoặc một nhóm) điểm yếu bị khai thác, cách miêu tả này đưa ra một cách nhìn riêng phần về rủi ro và nó chỉ chỉ ra một phần của các điểm yếu. Cách miêu tả này cho phép đưa ra tầm quan trọng của rủi ro chỉ tính đến các điểm yếu bị khai thác, không tính đến các biện pháp đảm bảo an toàn có thể giảm thiểu rủi ro. Tầm quan trọng của rủi ro sẽ được sử dụng để phân cấp các điểm yếu, cho dù nó không mang lại một cách đánh giá hoàn chỉnh về mức độ rủi ro mà một tổ chức, cơ quan hay doanh nghiệp bị lộ bản chất. Điều này có nghĩa là mô hình ước tính rủi ro tương đối phải bao gồm nhiều phần tử:
• Ước tính hơn thiệt hoặc các hậu quả của rủi ro
• Ước tính cấp độ nguy cơ
• Ước tính mức độ điểm yếu được chỉ rõ trong bản miêu tả rủi ro, mức độ rủi ro mà chính sách đảm bảo an toàn có thể can thiệp.
6.2.1. Ước tính hơn thiệt hoặc các hậu quả của rủi ro
Ước tính rủi ro phải tính đến các thiệt hại của phần tử tài sản khi vượt qua rủi ro. Biết rằng bản miêu tả rủi ro bao gồm phần miêu tả về tài sản liên quan và kiểu thiệt hại tài sản phải chịu (tất nhiên là thiệt hại này không được chỉ rõ trong phần miêu tả rủi ro, và phải tìm kiếm nó trong phần miêu tả các kiểu nguy cơ), câu hỏi đặt ra là làm thế nào đánh giá sự trầm trọng của thiệt hại này. Như trong mô hình trước, vấn đề ở đây là chỉ ra phương thức chứ không phải miêu tả một phương thức đặc biệt nào đề làm điều này. Cần làm rõ các nguyên tắc chung phải tôn trọng và nó sẽ ảnh hưởng đến việc ta tìm kiếm hay không một giá trị tuyệt đối của mức độ rủi ro, giá trị này chính là tầm quan trọng của rủi ro.
a) Miêu tả mức độ rủi ro bằng cách tham chiếu đến độ trầm trọng của các hậu quả của rủi ro
Trong tình huống ta không tìm kiếm một giá trị tuyệt đối của các mức độ rủi ro, tham chiếu đến độ trầm trọng của các hậu quả của rủi ro có thể thoải mái hơn. Ta có thể tham chiếu đến định nghĩa thang đo các độ trầm trọng sau:
• Sự trầm trọng thực sự của các hậu quả của rủi ro đối với thực thể (như đã nói trong phần 6.1.1).
• Chi phí để che phủ các rủi ro
• Tất cả các tiêu chí khác phản ánh một sự phân cấp của các hậu quả, như độ lâu của việc tạm ngắt các dịch vụ.
b) Định nghĩa thang đo độ trầm trọng
Một khi đã có tham chiếu cố định, cần cố định thang đo độ trầm trọng. Số lượng các độ trầm trọng không mấy quan trọng trong kiểu quản lý rủi ro này và một thang đo ít mức độ sẽ làm cho các công việc định lượng tiếp theo trở nên dễ dàng hơn.
6.2.2. Ước tính cấp độ nguy cơ
Tầm quan trọng của rủi ro phải tính đến cấp độ nguy cơ. Cách thức đánh giá cấp độ nguy cơ phải được miêu tả trong mô hình ước tính rủi ro và có thể tính đến các tham số khác nhau như:
• Xác suất vượt qua biết trước của sự kiện khởi đầu nguy cơ
• Tiềm năng của yếu tố nguy hại của nguy cơ
• Lộ bản chất của thực thể có liên quan đến kiểu nguy cơ này
• Dễ dẫn đến nguy cơ, v.v.
Rõ ràng là một hàm phối hợp về xác suất vượt qua biết trước và lộ bản chất của thực thể có liên quan đến kiểu nguy cơ này dường như gần đúng với khái niệm xác suất. Nhưng trong tiến trình ước tính rủi ro tương đối này, điều chủ yếu là tiến trình đánh giá cấp độ nguy cơ cho phép trao đổi thông tin rất tốt. Nó cũng cho phép các cấp có thẩm quyền quyết định việc hợp thức hóa trên lý thuyết hay không sự đánh giá không mấy quan trọng này.
6.2.3. Ước tính mức độ điểm yếu
Cuối cùng, ước tính rủi ro phải tính đến các điểm yếu liên quan, vì các điểm yếu này là phần tử trung tâm của rủi ro được xác định. Những điểm sau phải được đề cập và miêu tả bằng mô hình quản lý:
• Đo mức độ điểm yếu
• Cách thức tính và ước lượng giá trị việc phối hợp nhiều điểm yếu, nếu nhiều điểm yếu được miêu tả khi nhận dạng rủi ro.
a) Đo mức độ điểm yếu
Để có thể quản lý các rủi ro phải chịu, ngay cả khi chỉ quan sát được từng phần của rủi ro, cần đánh giá mức độ điểm yếu. Cách thức để đánh giá như thế có thể là:
• Chủ quan
• Dựa trên việc kiểm tra các điểm yếu và trên cơ sở tri thức
Phương thức nào cũng phải miêu tả tiến trình đánh giá và tiến trình này phải cho phép tính đến các phần tử của chính sách đảm bảo an toàn.
b) Đo nhiều điểm yếu cùng lúc
Ngoài ra, nếu nhiều điểm yếu được miêu tả trong một kiểu rủi ro, cách thức để đánh giá tổng thể mức độ điểm yếu phải được miêu tả và phải bao gồm:
• Hệ thống các loại hình điểm yếu: liệu có thể so sánh các điểm yếu cực kỳ khác biệt như sự điều khiển truy cập yếu kém và sự điều khiển sao lưu yếu kém.
• Phương thức phối hợp các điểm yếu cùng kiểu: mức độ cao nhất, mức độ thấp nhất, các dạng khác.
• Phương thức phối hợp các điểm yếu khác kiểu.
6.2.4. Ước tính mức độ rủi ro
Ước tính mức độ rủi ro phải tính đến tập các biện pháp đánh giá nói trên và mở ra cách phân cấp các rủi ro bộ phận hay các rủi ro tương đối đã được miêu tả.
7. ĐÁNH GIÁ CÁC RỦI RO ĐƯỢC NHẬN DẠNG
Trong thực tế, giai đoạn mà các chuẩn ISO gọi là đánh giá rủi ro (Risk evaluation) là giai đoạn phán đoán về đặc tính chấp nhận được hay không của các rủi ro như đã miêu tả.