На сегодняшнее время, наличие системы управления безопасностью информации является одним из необходимых условий стратегического развития любой организации. При этом, определение требований по разработке, внедрению, применению, мониторингу, анализу, поддержанию и улучшению системы управления информационной безопасностью осуществляется в контексте рисков конкретной организации [1]. Следует отметить, что под риском в настоящей работе будем понимать риск безопасности информации ("information security risk"). Как следствие, в организации необходимо определить методику построения оценок риска, которая должна соответствовать установленным требованиям к защите информации и позволять получить сравнимые и воспроизводимые результаты.
