Оценка рисков - широкое понятие как в смысле определения, так и в отношении выполнения. На самом высоком уровне оценка риска должна включать определение текущего уровня приемлемого риска и измерение существующего уровня риска. В случае несоответствия этих показателей, определяются действия для приведения их в соответствие. Оценка рисков обычно включает в себя оценку каждого риска по вероятности возникновения и степени воздействия риска на Систему, причем используются как количественные, так и качественные модели. Во многих отношениях оценка рисков и моделирование угроз являются схожими, поскольку цель для каждого из них - определение курса действий, который снизит риск до приемлемого уровня.
Отвечает на вопрос: какие есть несоответствия в уровнях приемлемых рисков и существующих? Какие действия необходимо выполнить для приведения уровней к соответствию?
Когда использовать
Оценка рисков, возможно, должна рассматриваться как общий термин для определения активов - всего ценного в Системе, как это может быть атаковано, что потеряете, если эти атаки будут успешными, и что план действий для решения проблем. Перед выполнением оценки рисков стоит уточнить, что понимается под этим термином: определение, какой подход или методология будет использоваться, какие результаты и в каком виде будут представлены и пр.