8 Đánh giá rủi ro an toàn thông tin
8.3.1Các phương pháp phân tích rủi ro
Phân tích rủi ro có thể được thực hiện theo các mức độ chi tiết khác nhau phụ thuộc vào mức độ quan trọng của các tài sản, phạm vi của các điểm yếu đã biết và các sự cố xảy ra trước đây liên quan tới tổ chức. Một phương pháp phân tích rủi ro có thể là định lượng hoặc định tính hoặc cả hai, dựa vào từng hoàn cảnh cụ thể. Trong thực tế, phân tích định tính thường được sử dụng đầu tiên để tìm được một biểu thị tổng quan về mức rủi ro và làm bộc lộ các rủi ro chủ yếu. Sau đó, có thể cần thực hiện chi tiết hơn hoặc phân tích định lượng các rủi ro chủ yếu này bởi vì việc thực hiện phân tích định tính thường ít phức tạp và ít tốn kém hơn so với việc phân tích định lượng. Hình thức phân tích cần phải phù hợp với các tiêu chí ước lượng rủi ro, được phát triển như là một phần của thiết lập bối cảnh.
Chi tiết hơn về hai phương pháp ước lượng được mô tả như sau: (a) Phương pháp phân tích rủi ro định tính:
Phân tích rủi ro định tính sử dụng một thang các thuộc tính chất lượng (thang thuộc tính) để mô tả tính chất nghiêm trọng của các hậu quả tiềm ẩn (ví dụ: Thấp, Trung bình và Cao) và khả năng xảy ra của các hậu quả đó. Ưu điểm của phân tích định tính là giúp các nhân viên có liên quan có thể dễ dàng hiểu được những hậu quả này, trong khi nhược điểm của phương pháp này là sự phụ thuộc vào lựa chọn chủ quan của thang thuộc tính.
Các thang thuộc tính có thể được thay đổi hoặc điều chỉnh để phù hợp với hoàn cảnh và những mô tả khác nhau có thể được sử dụng cho những rủi ro khác nhau. Phân tích rủi ro định tính có thể được sử dụng:
• Như một hoạt động lọc thô ban đầu để nhận biết những rủi ro, sau đó yêu cầu phân tích chi tiết hơn những rủi ro đó
• Khi mà kiểu phân tích này phù hợp với các quyết định
• Khi mà các dữ liệu số hay tài nguyên số không đủ để thực hiện phân tích rủi ro định lượng Phân tích định tính cần phải sử dụng các thông tin và dữ liệu thực tế có sẵn.
(b) Phương pháp phân tích rủi ro định lượng:
Phân tích rủi ro định lượng sử dụng thang với các giá trị số (thang giá trị số) (chứ không phải là thang mang tính chất mô tả sử dụng trong phân tích rủi ro định tính) cho cả hậu quả và khả năng xảy ra hậu quả. Phân tích rủi ro định lượng sử dụng dữ liệu từ nhiều nguồn khác nhau. Chất lượng của việc phân tích phụ thuộc vào độ chính xác và tính chất đầy đủ của các giá trị số và sự có căn cứ vững chắc của các mô hình được sử dụng. Trong hầu hết các trường hợp, phân tích rủi ro định lượng thường sử dụng các dữ liệu sự cố trong quá khứ, ưu điểm là có thể liên hệ trực tiếp đến các mục tiêu và mối quan tâm về an toàn thông tin của tổ chức. Nhược điểm của phương pháp này là sự thiếu dữ liệu về các rủi ro mới hoặc các yếu kém trong an toàn thông tin. Nhược điểm của phương pháp định lượng xuất hiện khi các dữ liệu thực sự, có thể kiểm chứng được, từ đó dẫn đến việc tạo ra ảo tưởng về giá trị và tính chính xác của việc đánh giá rủi ro.
Cách thức diễn tả hậu quả và khả năng xảy ra và các cách thức kết hợp hai vấn đề này để tạo ra mức độ rủi ro sẽ thay đổi theo loại rủi ro và mục đích cho đầu ra của việc đánh giá rủi ro dự tính được sử dụng. Sự ngẫu nhiên và tính hay thay đổi của cả hậu quả và khả năng xảy ra có thể được xem xét trong quá trình phân tích và truyền thông thông tin một cách hiệu quả.