Чем отличаются качественный и количественный методы оценки информационных рисков?

Качественный и количественный методы оценки информационных рисков отличаются подходом к оценке и выражению рисков. 15

Количественный метод применяется, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и прочее. 1 При таком подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. 1 Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее. 1

Качественный метод используется, когда не всегда удаётся получить конкретное выражение объекта оценки из-за большой неопределённости. 1 При качественном подходе не используются количественные или денежные выражения для объекта оценки. 1 Вместо этого объекту оценки присваивается показатель, проранжированный по трёхбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). 1 Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи. 1

Некоторые преимущества и недостатки каждого метода:

• Количественный метод даёт наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоёмок и в некоторых случаях неприменим. 1
• Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения средств защиты. 1

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом. 1