Оценка рисков - это безусловно краеугольный камень эффективной и экономически оправданной безопасности. За последние годы было много рассказано про различные подходы к проведению оценки рисков, а сейчас на фоне волны, поднятой законом "О персональных данных", вопрос оценки рисков несколько ушел в тень, сменившись более формальным (хотя и не формализованным !) составлением модели угроз. Однако, рано или поздно специалистам по инфобезопасности все же придется вернуться в своей работе к риск-ориентированным стратегиям обеспечения ИБ и вновь придется озаботиться вопросом о том, каким же способом эти самые риски оценивать.
Конечно же каждая организация выбирает свой путь и именно поэтому в мире существуют десятки методов оценки рисков (количественные/качественные). Какое-то время назад мне попался довольно интересный европейский веб-ресурс организации ENISA (European Network and Information Security Agency), на котором собран наиболее широкий (на мой взгляд) перечень различных методик и инструментов по оценке рисков.
Там же опубликован очень интересный материал ( PDF ), описывающий общий порядок управления рисками, а также методики и инструменты оценки.
В таблице ниже, взятой из указанного документа, представлено сравнение существующих методов: