В чем разница между количественным и качественным подходом к анализу рисков информационной безопасности?

Разница между количественным и качественным подходом к анализу рисков информационной безопасности заключается в том, как оцениваются риски и их параметры. {6-host}

Количественный подход предполагает, что риск и все его параметры выражаются в числовых значениях. {6-host} Каждому виду риска присваивается конкретная величина, параметры, выраженные в денежных, временных эквивалентах. rt-solar.ru Это облегчает понимание ситуации, позволяет оценить возможный ущерб, расходы на обеспечение защитных мер, долю резервов, которые придётся задействовать. rt-solar.ru

Качественный подход основывается на присвоении риску определённого ранга согласно системе ценностей: баллы, степени. rt-solar.ru Числовые значения заменяются на эквивалентные им понятийные уровни. {6-host} Например, каждый фактор оценивается по шкале «низкий» — «средний» — «высокий». it-iatu.ru

Таким образом, количественный подход даёт наглядное представление в деньгах по объектам оценки (ущербу, затратам), но он более трудоёмок и в некоторых случаях неприменим. kontur.ru Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения средств защиты. kontur.ru

При анализе информационных систем желательно применять смешанный подход, который использует как качественную, так и количественную шкалы оценок. journal-ekss.ru Это обеспечит наиболее всесторонний и комплексный подход к решению задачи управления рисками. journal-ekss.ru