Количествено определяйки величината на риска, Александър Астахов - Изкуството на управлението на информацията
Количествено, размерът на риска, свързан с изпълнението на конкретна заплаха за сигурността по отношение на конкретен актив, може да бъде изразен чрез следната проста математическа формула:
.[Риск] = [Вероятност за събитие] × [Размер на щетата],
[Вероятност за събитие] = [Вероятност за заплаха] × [Мащаб на уязвимостта].
В тези формули:
Вероятност за успешно прилагане на заплаха срещу актив, използвайки уязвимост и причинявайки щети на организацията
Вероятността, че заплахата за актива ще бъде реализирана (успехът или неуспехът на заплахата се определя от големината на уязвимостта). На практика рискът се изчислява, като се използва не математическата вероятност за заплаха, а очакваният брой опити за реализиране на заплаха за определен период от време. По-конкретно, за да се избегне объркване в стандартите, вместо математическия термин вероятност се използва терминът вероятност. Този термин, макар и преведен на руски по същия начин като "вероятност", на практика означава възможността за заплаха, характеризираща се с приблизителната честота на нейното прилагане за определен период от време
Вероятността, че в случай на заплаха срещу актив, тази заплаха ще бъде успешно приложена, използвайки тази уязвимост, т.е. В резултат на това безопасността на актива ще бъде нарушена и организацията ще претърпи известни щети
За да се определи големината на риска, се използват прогнозни количествени стойности, получени чрез експертни оценки, прогнози, а също и въз основа на статистически данни. Размерът на щетите обикновено се изразява в парични единици, степента на уязвимост варира от 0 до 1, а вероятността за заплаха е положително цяло число, което определя очаквания брой опити за изпълнение на заплаха за определен период от време.
Количествено определяне на големината на риска:
[Риск] = [Вероятност за заплаха] × [Количество на уязвимостта] × [Количество на щетите].