Для оценки качества системы информационной безопасности можно использовать следующие методы:

• Экспертная оценка. 1 Экспертная комиссия определяет объекты исследования, их параметры и характеристики. 1 На основе собранной информации специалисты оценивают потенциальные источники риска. 1 Для каждого выявленного источника определяется вероятность возникновения угрозы и коэффициент важности. 1
• Статистический анализ рисков. 1 Метод позволяет определить, в каких местах система наиболее уязвима. 1 Для такого анализа необходимо иметь достаточно большой объём данных о ранее совершённых атаках. 1
• Факторный анализ. 1 ИТ-специалисты выделяют основные факторы, которые влияют на возникновение той или иной угрозы. 1 Задача эксперта — проанализировать системы предприятия и определить, какие уязвимости нужно устранить, а какими можно пренебречь. 1
• Моделирование информационных потоков. 1 Позволяет выявить тенденции в поведении системы, возникновение потенциальных ошибок, масштаб уязвимостей и последствий от вероятной угрозы. 1
• Моделирование угроз. 1 Специалисты тестируют все жизненно важные системы предприятия на наличие уязвимости. 1 Такой анализ помогает оценить вероятность возникновения угрозы и масштабы последствий. 1
• Расчёт метрик. 4 Отдельные аспекты безопасности информационной системы характеризуются одним или несколькими численными показателями. 4
• Тестирование на проникновение. 4 Метод подразумевает практическое выявление и демонстрацию эффективных методов реализации атаки, с которыми применяемыми мерами защиты информации справиться практически невозможно. 4

Согласно законодательству, организации могут осуществлять оценку уровня защищённости своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ и ФСТЭК России. 2