Второй подход оценки ВРУ основан на использовании различных математических аппаратов. Если посмотреть труды различных ученых, то с первого взгляда можно оценить все разнообразие таких подходов. Кто-то предлагает оценивать вероятность с использованием теории случайных процессов, кто-то с использованием нечеткой логики и нечетких множеств, кто-то теории надежности и.т.д. Авторефераты этих работ без проблем можно найти в интернете.
Но хочу заметить, что за множеством различных формул, терминов, например, "функции принадлежности", "фазификация", "функции и плотности распределения", "интегральные оценки", численными методами "монте-карло", "сети петри", "марковские цепи и процессы", "конечные автоматы" - скрываются все те же оценки экспертов, либо статистически накопленные данные.
Как и почему они там используются? Для того, что бы математическая модель начала работа необходимо что-то подать на вход этой модели. В качестве входных данных могут выступать такие значения как: количество произошедших угроз ИБ, интенсивность происходивших угроз ИБ, уязвимости программного обеспечения и средств защиты, степень выполнения требований ИБ (простая зависимость: если требования выполняются то ВРУ ниже) и т.д. А на выходе получается значение ВРУ. Достоверность полученных результатов зависит от достоверности входных данных.
Количество произошедших угроз может браться из собственной БД (если она конечно ведется :)) или из общедоступных источников. Откуда лучше брать информацию? Лучше брать накопленную информацию по угрозам ИБ и дополнять ее информацией из обще доступных источников. При этом необходимо обращать особое внимание на вид деятельности организаций для которых представлена статистика. Ведь вы не станете устанавливать в легковую машину двигатель от грузовой :). Вот и тут не надо на организацию здравоохранения или металлургический комбинат примерять статистику по угрозам ИБ от банковского сектора.
Приимущества подхода:
- использование математических подходов приближает результат оценки ВРУ к объективной.
Недостатки:
- коммерциализация программных продуктов с использованием таких подходов очень низкая, я бы даже сказал практически 0, на сколько я знаю, всего два российских продукта, с определенными поправками, можно отнести к этой категории "АванГард" и "Digital Security Office".