Розглядається ризик безпеки інформації як вплив невизначеності на досягнення цілей. Під досягненням цілей розуміється забезпечення конфіденційності, цілісності та доступності інформації. Оцінювання такого впливу здійснюється завдяки обиранню ентропії якміри невизначеності. Стан невизначеності описується кінцевою схемою. Для її визначення задаються множини загроз безпеці інформації та збитки внаслідок їх реалізації. При цьому враховується існування відмінних між собою загроз, що призводять до однаковихзбитків, а також загроз, унаслідок реалізації яких збитки відсутні. Водночас вважається відомим розподіл імовірностей нанесення збитків унаслідок реалізації загроз безпеці інформації. Коректність означеного підходу підтверджується виконанням властивостей ентропії. Тому використання ентропійного підходу дозволяє побудувати інтуїтивно більш коректну базу кількісного оцінювання ризиків безпеки інформації. Це обумовлено оперуванням формою розподілу випадкової величини, а не її конкретними значеннями. При цьому встановлюються переваги та недоліки ентропійного підходу. Для подолання означених недоліків у перспективах пропонується використання теорій нечітких множин і вірогідності.
