В настоящее время при работе различных компаний требуется использовать информацию в различном виде применять эффективные технологии ее обработки. Информация является важнейшей составляющей в производстве и управлении разными процессами. В связи с этим возникает необходимость оценки рисков нарушения информационной безопасности (ИБ). Риски требуется не только оценивать, но и уметь управлять ими.
Прежде всего, необходимо выбрать подход, в рамках которого будет проводиться оценка рисков. В качестве методик оценок обычно используются несколько. Методика OCTAVE осуществляет весь процесс анализа силами сотрудников организации, без привлечения внешних консультантов. При описании профиля используются «деревья вариантов». Существуют методики, реализованные в CRAMM, который позволяет осуществлять комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Методика FRAP вопросы ИБ информационной системы рассматривает в рамках процесса управления рисками.
Методики могут быть подразделены на качественные и количественные, в зависимости от используемых мер шкал, которые применяются при оценке вероятностей угрозы и результатов воздействия.
При реализации выбранной методики могут решаться следующие задачи: определение области оценки рисков, оценка рисков, обработка рисков, мониторинг и контроль, выдача рекомендаций по совершенствованию процесса защиты.
В область оценки рисков могут входить бизнес-процессы, элементы инфраструктуры, различные сервисы, персонал и др. Область оценки рисков должна охватить всю организацию в целом, таким образом, чтобы максимально обезопасить ее. Для каждой составляющей требуется определить владельца, который несет за нее ответственность.