Степень риска в рамках управления информационными системами оценивается двумя методами: 5

1. Количественный метод. 5 Позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности. 5 Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее. 5
2. Качественный метод. 5 Применяется, когда не удаётся получить конкретное выражение объекта оценки из-за большой неопределённости. 5 Вместо этого объекту оценки присваивается показатель, проранжированный по трёхбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0…10). 5 Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи. 5

Некоторые методы оценки рисков для информационных систем:

• Метод CRAMM. 3 Заключается в описании защищаемых ресурсов с помощью выражения их денежной ценности, после чего определяется необходимый уровень защиты системы в соответствии с ценностью защищаемых данных. 3 Далее проводится комплексная оценка угроз для каждого из ресурсов, а также уровня этих угроз, после чего используются стандартные рекомендации исходя из уровня угроз и требуемого уровня защиты ресурса. 3
• Метод RiskWatch. 3 Ориентирован на то, чтобы ещё на этапе проектирования информационной системы учесть все грозящие ей риски. 3 В этом методе сначала определяются категории защищаемых ресурсов, затем описываются возможные потери и классы инцидентов. 3 Для этого используется специальный опросник, содержащий более шестисот вопросов, позволяющих максимально полно и точно описать риски для информационной системы организации. 3 Затем устанавливаются связи между ресурсами, потерями и рисками, на основании чего проводится количественный расчёт ожидаемых потерь и выдаются рекомендации по конкретным мерам защиты. 3
• Метод ГРИФ. 3 Анализирует движущиеся внутри компании информационные потоки, что дополняется затем анализом угроз и уязвимостей. 3 При анализе информационных потоков строится полная модель всей информационной системы организации, включающая в себя все информационные ресурсы, их пользователей и имеющиеся у этих пользователей права доступа, а также средств защиты ресурсов. 3 Далее с помощью специальных опросников проводится определение адекватности комплексной политики безопасности реальной структуре информационной системы, что является отправной точкой для дальнейшего анализа в терминах угроз и уязвимостей. 3 На данном этапе определяются угрозы и уязвимости для каждого из информационных ресурсов организации, после чего обновлённая модель просчитывается с помощью вероятностных математических моделей, что затем даёт возможность определить рекомендации для каждого из корпоративных информационных ресурсов. 3

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом. 5