Некоторые методы оценки информационных рисков, которые используются в современных компаниях:

• Экспертная оценка. 1 Экспертная комиссия определяет объекты исследования, их параметры и характеристики. 1 На основе собранной информации специалисты оценивают потенциальные источники риска. 1 Для каждого выявленного источника определяется вероятность возникновения угрозы и коэффициент важности. 1
• Статистический анализ рисков. 1 Метод позволяет определить, в каких местах система наиболее уязвима. 1 Для такого анализа необходим большой объём данных о ранее совершённых атаках. 1
• Факторный анализ. 1 ИТ-специалисты выделяют основные факторы, которые влияют на возникновение той или иной угрозы. 1 Задача эксперта — проанализировать системы предприятия и определить, какие уязвимости нужно устранить, а какими можно пренебречь. 1
• Количественный метод. 4 Применяется, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч.. 4 Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности. 4
• Качественный метод. 4 При качественном подходе не используются количественные или денежные выражения для объекта оценки. 4 Вместо этого объекту оценки присваивается показатель, проранжированный по трёхбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0…10). 4 Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи. 4

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом. 4