Основной целью обработки рисков является выбор наиболее эффективных мер, обеспечивающих сокращение среднегодовых потерь организации от инцидентов информационной безопасности (ИБ) при максимальном возврате инвестиций.При управлении ИБ (анализе уязвимостей и угроз, возможного ущерба и рисков) рассматривают три свойства информации: конфиденциальность (к), целостность (ц) и доступность (д). Процесс управления рисками ИБ состоит из 6 этапов, его можно представить в виде IDEF0-диаграммы, как показано на рисунке 1. 1 этап: определение активов организации и их ценности, анализ категории пользователей, имеющих доступ к информации.2 этап: анализ возможного ущерба (коммерческим интересам организации и ущерб репутации).3 этап: анализ возможных угроз и уязвимостей, ассоциированных с активами организации. Групповой уровень уязвимостей рассчитывается по формуле, где РУУ – это уровни уязвимости, а РМК – уровни механизмов контроля.ГУ = i=1nРУУ -i=1nРМК. 4 этап: определение величины риска, по матрице из рисунка 2. 5 этап: определение среднегодового ущерба (ALE) по формуле:ALE=РУ ×k×РРУ ,где РУ – размер ущерба; k – количество инцидентов в год; РРУ – вероятность успешной реализации угрозы. Рисунок 1 – Диаграмма декомпозиции процесса управления рисками ИБ Рисунок 2 – Матрица величин риска6 этап: расчёт коэффициента возврата инвестиций (ROI) по формуле:ROI=ALE-TCO TCO×100 % .где ТСО (Total Cost of Ownership) – это стоимость защитных мер:ТСО = ПР + К1 + К2,где К1, К2 – косвенные затраты первой и второй групп, ПР – сумма капитальных затрат и расходов на управление. ROI > 100% свидетельствует о том, что затраты на ИБ окупились, есть прибыль от вложений (ROI = 100% – это точка безубыточности, 0 < ROI < 100% – возвращается часть затрат).