Согласно «Методическому документу. Методика оценки угроз безопасности информации» (утв. ФСТЭК России 05.02.2021), в состав экспертной группы при оценке угроз безопасности информации рекомендуется включать экспертов от следующих подразделений: 13

• Подразделение по защите информации (обеспечению информационной безопасности). 13
• Подразделение, ответственное за цифровую трансформацию (ИТ-специалисты). 13
• Подразделение, ответственное за эксплуатацию сетей связи. 13
• Подразделение, ответственное за эксплуатацию автоматизированных систем управления. 13
• Подразделения обладателя информации или оператора, ответственного за выполнение основных (критических) процессов (бизнес-процессов). 13

Состав экспертов может быть дополнен или уточнён с учётом особенностей области деятельности, в которой функционируют системы и сети. 12 Например, для оценки угроз безопасности информации, реализация которых может привести к финансовым рискам, рекомендуется привлекать дополнительно специалистов экономических (финансовых) подразделений обладателя информации или оператора. 1

В состав экспертной группы должно входить не менее трёх экспертов. 1 При этом не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасности информации. 1