Metody szacowania ryzyka

Jakościowe szacowanie ryzyka jest indywidualną oceną opartą na dobrych praktykach i doświadczeniu.

Metoda jakościowa szacowania ryzyka

W tej metodzie korzysta się z wcześniej zdefiniowanych zakresów wartości oraz z miar opisowych, takich jak np.: niskie, średnie, wysokie wraz z opracowaniem rankingu zagrożeń. Metoda jakościowa wykorzystuje subiektywne miary i oceny, takie jak: wartości opisowe poziomów, zakresy wartości miar liczbowych oraz przyporządkowanie miar podatnościom, zagrożeniom, skutkom itp. Metoda ta cechuje się dużą elastycznością i możliwością modyfikacji. Potencjalne zdarzenia i ich skutki są prezentowane w sposób opisowy na podstawie dobrych praktyk i doświadczenia zespołu prowadzącego szacowanie ryzyka.

Metoda ilościowa szacowania ryzyka

W tej metodzie szacowania ryzyka najważniejsze jest określenie dwóch podstawowych parametrów:

  1. wartości skutku,
  2. prawdopodobieństwa wystąpienia danego ryzyka.

W ocenie ryzyka używa się metod przystosowanych do szacowania małych prawdopodobieństw – drzew zdarzeń i błędów. Zdarzenia rozkłada się na mniejsze części, które po wnikliwej analizie łączy się ponownie w celu zrozumienia
całego zdarzenia oraz występujących zdarzeń składowych. Skutki mogą być określone przez ocenę wyników zdarzeń.

W metodzie ilościowej przy wyznaczaniu poziomu ryzyka najważniejsze jest numeryczne określenie dwóch podstawowych parametrów:

  1. poziomu prawdopodobieństwa zaistnienia zdarzenia (podatność),
  2. poziomu skutków tego zdarzenia (skutki).

Poziom ryzyka jest iloczynem podatności i skutków:

R = S × P,

gdzie:

R  –  poziom (wielkość) ryzyka,

S  –  skutki utraty atrybutów bezpieczeństwa danych osobowych,

P  –  podatność zasobów na zidentyfikowane dla systemu zagrożenia.