Основные подходы к анализу рисков. В настоящее время используются два подхода к анализу рисков - базовый и полный вариант. Выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Подразумевается, что ценность ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ [3]. Полный вариант анализа рисков применяется в случае повышенных требований к ИБ. В отличие от базового варианта в том или ином виде оцениваются ресурсы, характеристики рисков и уязвимостей.
Как правило, проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты. Таким образом, при проведении полного анализа рисков необходимо: 1. определить ценность ресурсов; 2. добавить к стандартному набору список угроз, актуальных для исследуемой информационной системы; 3. оценить вероятность угроз; 4. определить уязвимость ресурсов; 5. предложить решение, обеспечивающее необходимый уровень ИБ.