Некоторые методы оценки уровня информационной безопасности на предприятии:

• Экспертная оценка. 1 Экспертная комиссия определяет объекты исследования, их параметры и характеристики. 1 На основе собранной информации специалисты оценивают потенциальные источники риска. 1 Для каждого выявленного источника определяется вероятность возникновения угрозы и коэффициент важности. 1
• Статистический анализ рисков. 1 Метод позволяет определить, в каких местах система наиболее уязвима. 1 Однако для такого анализа необходимо иметь достаточно большой объём данных о ранее совершённых атаках. 1
• Факторный анализ. 1 ИТ-специалисты выделяют основные факторы, которые влияют на возникновение той или иной угрозы. 1 Задача эксперта — проанализировать системы предприятия и определить, какие уязвимости нужно устранить, а какими можно пренебречь. 1
• Моделирование угроз. 1 Специалисты тестируют все жизненно важные системы предприятия на наличие уязвимости. 1 Такой анализ позволяет оценить вероятность возникновения угрозы и масштабы последствий. 1
• Методы экспертных опросов. 2 К ним относятся анкетирование, интервьюирование, метод brainshtorm и Delfy. 2
• Риск-ориентированная оценка. 4 При этом способе оценки рассматриваются риски информационной безопасности, возникающие в информационной сфере организации, и сопоставляются существующие риски и принимаемые меры по их обработке. 4
• Оценка на основе экономических показателей. 4 Для проведения оценки в качестве критериев эффективности используются показатели совокупной стоимости владения (Total Cost of Ownership — TCO). 4 Под этим показателем понимается сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение системы информационной безопасности. 4

Выбор метода зависит от специфики конкретной компании и задач, поставленных перед специалистом. 5