Методология анализа рисков в ИС с повышенными требованиями в области ИБ. При выполнении полного анализа рисков приходится решать ряд сложных проблем: как определить ценность ресурсов? как составить полный список угроз ИБ и оценить их параметры? как правильно выбрать эффективные контрмеры?[3]. Процесс анализа рисков делится на несколько этапов: 1. идентификация информационных ресурсов; 2. выбор критериев оценки и определение потенциального негативного воздействия на ресурсы и приложения; 3. оценка угроз; 4. оценка уязвимостей; 5. оценка рисков; 6. оценка эффективности существующих и предполагаемых средств обеспечения информационной безопасности.
На основе анализа рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза.
При оценке рисков учитываются потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз.
Риск характеризует опасность, которой может подвергаться система и использующая ее организация. Степень риска зависит от ряда факторов: 1. ценности ресурсов; 2. вероятности реализации угроз; 3. простоты использования уязвимости для реализации угроз; 4. существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.