Осуществляется с использованием различных методик:

CRAMM (UK Government Risk Analysis and Management Method);

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation SM);

NIST SP800-30 (Risk Management Guide for Information Technology Systems);

ISO/IEC 27005:2011 (Information Technology. Security techniques. Information Security Risk Management) и др.

В процессе оценки рисков происходит:

- инвентаризация информационных активов организации и оценка их стоимости;

- определение методологии оценки рисков с последующей адаптацией под особенности деятельности организации;

- выявление потенциальных угроз и уязвимостей;

- анализ уже принятых мер по обеспечению ИБ и рекомендации дополнительных;

- разработка матрицы рисков;

- оценка рисков ИБ в качественном и количественном аспекте;

- оптимизация процессов управления рисками ИБ;

- разработка итогового отчета и плана обработки рисков по результатам оценки.

Использование международных методик:

OSSTMM (Open Source Security Testing Methodology Manual) – ориентация на технические тесты в совокупности с аспектами социальной инженерии, направленной на сотрудников организации;

NIST SP800-115 – документ, описывающий способы оценки, самооценку, внутренний аудит, внешний аудит, pentest, организацию процесса проведения оценивания, анализ результатов, использование результатов в процессе совершенствования ИБ организации.

PCI DSS – рекомендации по оценке возможности осуществления несанкционированного доступа к данным платежных карт или сетевым ресурсам, обрабатывающим данные платежных карт (требование пункта 11.3 PCI DSS). Описывает внешний тест на проникновение (в рамках этапа осуществляются попытки получить доступ к критичным ресурсам из сети Интернет) и внутренний тест на проникновение (в рамках этапа осуществляются попытки получить доступ к критичным ресурсам из внутренней сети).

ISSAF (The Information Systems Security Assessment Framework ) –методики проведения активного инструментального анализа защищенности.

Результат:

- адаптация методики проведения теста;

- описание выявленных уязвимостей и недостатков в организации обеспечения ИБ;

- рекомендации по устранению выявленных уязвимостей и др.

Детальное описание имеющихся активов организации позволяет значительно повысить уровень защищенности

- применение методов социальной инженерии;

- проведение обучающих лекций по тематикам обеспечения ИБ;

- повышение квалификации в сфере ИБ.

- оказание консультационных услуг в вопросах получения лицензии и прохождения процедур стандартизации в сфере ИТ/ИБ;

- полное сопровождение процессов получения лицензий ФСБ/ФСТЭК и др.

- проведение процедуры оценки соответствия, аттестационных мероприятий на соответствие требованиям по защите информации по тем или иным законодательным нормативам.