Наряду с анализом потенциально возможных угроз на ранних этапах проектирования ИС желательно провести и анализ рисков от реализации этих угроз, так как этот анализ позволяет определить наиболее значимые угрозы из всех возможных угроз и средства защиты от них.
 

Процесс анализа рисков включает (1):

• оценку возможных потерь из-за успешно проведенных атак на безопасность ИС;

• оценку вероятности обнаружения уязвимых мест системы, влияющей на оценку возможных потерь.
 

Процесс анализа рисков включает (2):

• выбор оптимальных по затратам мер и средств защиты, которые сокращают риск до приемлемого уровня.

С целью повышения эффективности анализа рисков он проводится по различным направлениям:

• для объектов ИС;

• для процессов, процедур и программ обработки информации;

• для каналов связи;

• для побочных электромагнитных излучений;

• для механизмов управления системой защиты.
 

Анализ рисков предполагает изучение и систематизацию угроз защиты информации (ЗИ), а также определение требований к средствам защиты.
 

Изучение и систематизация угроз ЗИ предусматривает следующие этапы:

• выбор объектов ИС и информационных ресурсов, для которых будет проведен анализ;

• разработка методологии оценки риска;

• анализ угроз и определение слабых мест в защите;

• идентификация угроз и формирование списка угроз;

• формирование детального списка угроз и матрицы угрозы/элементы ИС или информационные ресурсы.
 

Для построения надежной защиты необходимо выявить возможные угрозы безопасности информации, оценить их последствия, определить необходимые меры и средства защиты и оценить их эффективность.
 

Разнообразие потенциальных угроз столь велико, что все равно не позволяет предусмотреть каждую из них, поэтому анализируемые виды уместно выбирать с позиций здравого смысла, одновременно выявляя не только собственно угрозы, вероятность их осуществления, масштаб потенциального ущерба, но и их источники.