Аннотация:
Описан процесс оценки вероятности реализации рисков информационной безопасности как последовательность ряда этапов. Выделены основные проблемы, связанные со сбором и анализом входной информации. Проанализированы недостатки существующих программных средств по оценке уровня риска нарушения информационных сервисов. Разработан алгоритм, на основе которого решается задача по выделению факторов, связанных с вероятностью реализации угроз. При использовании данного алгоритма появится возможность прогнозировать потери и выявлять наиболее слабые места в системе защиты информации, организовывать действия аудиторов, определять оптимальный состав, последовательность, стоимость и обоснованность работ аудиторов. Алгоритм описывает особенности получения и представления информации экспертам во время анкетирования. Разработаны рекомендации по упорядочению и оптимизации процесса проведения аудита информационной безопасности. Показана необходимость анализа информации, полученной от специалистов, учёта её достоверности и возможности возникновения конфликта интересов. На основе этой информации проводится аналитическая обработка данных о системе и ранжирование угроз доступности информационных сервисов в организации.