Для оценки возможных угроз для конкретной информационной системы используют различные методы, например:

• Экспертная оценка. 1 Специалисты собирают данные об объекте автоматизации, процессах обработки конфиденциальной информации, корпоративной информационной системе и информационной инфраструктуре. 1 На основе собранной информации оценивают потенциальные источники риска. 1
• Статистический анализ рисков. 1 Метод позволяет определить, в каких местах система наиболее уязвима. 1 Для такого анализа необходим большой объём данных о ранее совершённых атаках. 1
• Факторный анализ. 1 ИТ-специалисты выделяют основные факторы, которые влияют на возникновение той или иной угрозы. 1
• Моделирование информационных потоков. 1 Позволяет выявить тенденции в поведении системы, потенциальные ошибки, масштаб уязвимостей и последствия от вероятной угрозы. 1
• Моделирование угроз. 12 Обычно используют сочетание экспертного и факторного анализа. 1 Специалисты тестируют все жизненно важные системы предприятия на наличие уязвимости. 1
• Поиск уязвимых зон. 1 Позволяет оценить степень влияния потенциальных угроз на работу предприятия. 1
• Матрица угроз. 1 Представляет собой сводную таблицу вероятности возникновения угроз и степени их влияния. 1

Также для оценки угроз используют модель угроз — документ, в котором определяют актуальные для конкретной системы угрозы. 4

При анализе угроз информационной безопасности важно опираться на рекомендации регуляторов и реальную ситуацию в бизнесе или в государственной организации. 3