При этом следует обратить внимание на наличие автоматизированного сбора исходных данных, необходимых для оценки рисков. Например, перечня активов и уязвимостей. Это может быть реализовано с помощью SIEM-систем. Наравне с этим защищаемые активы необходимо связать с бизнес-процессами компании.

Процессы СУРИБ должны быть реализуемы на практике, а алгоритмы оценки — обеспечивать сравнимые результаты. Это дает возможность отслеживать динамику уровня рисков за необходимый период. Соблюдение этих принципов позволяет выстроить эффективную СУРИБ, которую можно использовать для принятия обоснованных решений руководством финансовой организации.

С точки зрения функциональности СУРИБ должна обеспечить ведение и актуализацию перечней активов финансовой организации, каталога угроз ИБ, а также определение соответствия «угроза-актив». При анализе вероятности рискового события и ущерба от него необходимо предусмотреть как количественную, так и качественную их оценку. Кроме того важно, чтобы СУРИБ давала возможность оценивать «чистые» и «остаточные» риски ИБ, задавать уровень значимого риска ИБ и варианты обработки, а также формировать план реализации защитных мер. Стоит отметить, что автоматизация процессов управления рисками ИБ позволяет значительно повысить качество их выполнения.

Стоит отметить, что реализация СУРИБ, отвечающей описанным выше критериям и параметрам, позволяет значительно повысить эффективность функционирования всей системы управления рисками организации. В качестве «помощника» для решения этой задачи нами разработана автоматизированная методика оценки и обработки рисков ИБ.