Методика визначення IT-ризиків
В даний час не існує загальноприйнятого методу, достовірно визначає конкретні ризики інформаційних технологій. Це пов’язано з тим, що немає належної кількості статистичних даних, які дозволили б отримати більш конкретну інформацію про поширених ризики. Важливу роль відіграє також те, що важко досконалим чином визначити величину конкретного інформаційного ресурсу, адже виробник або власник підприємства може з абсолютною точністю назвати вартість інформаційних носіїв, проте вартість інформації, що знаходиться на них, він затрудняється озвучити. Саме тому на даний момент оптимальним варіантом визначення вартості IT-ризиків є якісна оцінка, завдяки якій точно ідентифікуються різні фактори ризику, а також визначаються сфери їх впливу та наслідки виникнення для діяльності всього підприємства.
Метод CRAMM, що використовується у Великобританії, є найбільш дієвим для визначення кількісних ризиків. До основних цілей цієї методики можна віднести:
- автоматизацію процесу управління ризиками;
- оптимізацію грошових витрат на управління;
- продуктивність систем безпеки компанії;
- прагнення до безперервності бізнесу.