Каковы основные подходы к пониманию информационных рисков?

Некоторые подходы к пониманию информационных рисков:

• Количественный подход. 12 Предполагает расчёты конкретных величин, выраженных в числовых значениях и процентах. 1 Опирается на сравнение с эталонными величинами, которые заранее известны и приемлемы. 1 При таком подходе каждому виду риска присваивается конкретная величина, параметры, выраженные в денежных и временных эквивалентах. 1
• Качественный подход. 2 Позволяет выявить и идентифицировать возможные виды рисков, свойственных объекту информатизации, а также определить и описать причины и факторы, влияющие на уровень данного вида риска. 2 Качественный анализ предполагает описание возможного ущерба от проявления рисков, его стоимостной оценки и мер по снижению или предотвращению риска. 2
• Процессная модель управления рисками. 1 Основывается на четырёх базовых процессах: планирование, реализация, проверка, действие. 1
• Модель FRAP (Facilitated Risk Analysis Process). 1 Состоит в качественной оценке рисков. 1 Акценты расставляются в пользу детального изучения информационной системы с помощью автоматизированных инструментов, тщательной идентификации угроз с формированием подробного списка. 1
• Модель CRAMM (CCTA Risk Analysis & Management Method). 1 Один из самых зрелых, известных и широко используемых методов оценки рисков, который опирается на количественные и качественные методы анализа. 1 Уделяет повышенное внимание определению ценности информации. 1
• Модель OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). 1 Также основана на качественной оценке рисков. 1 Ключевыми моментами в данной модели являются персональная разработка профиля угроз, исходя из вида информационного актива, точная идентификация уязвимостей по всей инфраструктуре, подбор оптимальных стратегий для обеспечения информационной безопасности. 1