Нет однозначного мнения о том, какие методы анализа информационных рисков наиболее эффективны для обеспечения безопасности предприятия. Несколько подходов, которые используются для оценки рисков:

• Количественный метод. 5 Применяется, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и прочее. 5 Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности. 5
• Качественный метод. 5 Используется, когда не всегда удаётся получить конкретное выражение объекта оценки из-за большой неопределённости. 5 Объекту оценки присваивается показатель, проранжированный по трёхбалльной, пятибалльной или десятибалльной шкале. 5 Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи. 5
• Статистический анализ рисков. 1 Метод позволяет определить, в каких местах система наиболее уязвима. 1 Для такого анализа необходимо иметь достаточно большой объём данных о ранее совершённых атаках. 1
• Факторный анализ. 1 ИТ-специалисты выделяют основные факторы, которые качественно влияют на возникновение той или иной угрозы. 1 Задача эксперта заключается в том, чтобы проанализировать системы предприятия и определить, какие уязвимости будут устранены, а какие можно будет пренебречь. 1
• Моделирование угроз. 1 При моделировании угроз обычно используют сочетание экспертного и факторного анализа. 1 Специалисты тестируют все жизненно важные системы предприятия на наличие уязвимости. 1 Такой анализ позволяет оценить вероятность возникновения угрозы и масштабы последствий. 1
• Матрица угроз. 1 Представляет собой сводную таблицу вероятности возникновения угроз и степени их влияния. 1 Такая характеристика позволяет специалистам описывать все уязвимые места системы, типы угроз и возможные последствия, уменьшая при этом субъективный фактор. 1

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом. 5