Некоторые методы оценки эффективности политики информационной безопасности:

• Экспертная оценка. 1 Специалисты оценивают потенциальные источники риска на основе собранной информации. 1 Для каждого выявленного источника определяется вероятность возникновения угрозы и коэффициент важности. 1
• Статистический анализ рисков. 1 Метод позволяет определить, в каких местах система наиболее уязвима. 1 Для такого анализа необходим большой объём данных о ранее совершённых атаках. 1
• Факторный анализ. 1 ИТ-специалисты выделяют основные факторы, которые влияют на возникновение той или иной угрозы. 1 Задача эксперта — проанализировать системы предприятия и определить, какие уязвимости нужно устранить, а какими можно пренебречь. 1
• Моделирование информационных потоков. 1 Метод помогает выявить тенденции в поведении системы, возникновение потенциальных ошибок, масштаб уязвимостей и последствий от вероятной угрозы. 1
• Моделирование угроз. 1 Специалисты тестируют все жизненно важные системы предприятия на наличие уязвимости. 1 Такой анализ позволяет оценить вероятность возникновения угрозы и масштабы последствий. 1
• Оценка на основе экономических показателей. 2 Для этого используются показатели совокупной стоимости владения (Total Cost of Ownership — TCO). 2 Под TCO понимается сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение системы информационной безопасности. 2 Полученные данные оцениваются по ряду критериев с показателями TCO аналогичных организаций отрасли. 2
• Регулярный аудит. 4 В ходе проверок выясняется, насколько качественно выполняются задачи по обеспечению безопасности информационного периметра. 4