Предлагается подход к формализации задачи управления рисками информационной безопасности (ИБ) на основе процессной и сервис-ориентированной моделей систем управления бизнес-процессами и информационными технологиями. Предложена эталонная модель рисков ИБ, состоящая из слоев бизнес-процессов, ИТ-сервисов, сервисов ИБ и угроз. Требования бизнес-процессов к ИБ отражаются в соглашениях об уровне ИТ-сервиса. В эталонной модели последствия рисков ИБ оцениваются с точки зрения достижения бизнес-целей, это позволяет повысить достоверность оценок рисков, экономически обосновать инвестиции в ИБ, а также сделать прозрачным процесс управления рисками ИБ. Ключевые слова: информационная безопасность, бизнес-процессы, эталонная модель, управление рисками, ИТ-сервис
