Риск-менеджмент в ИТ становится всё более комплексным процессом, выходящим за рамки механического составления риск-матриц. Для российского рынка эти процессы регулируются не только стандартными подходами к оценке угроз, но и требованиями законодательства — например, Федерального закона №152-ФЗ «О персональных данных» и приказами ФСТЭК. Тем не менее, на практике такие оценочные процедуры часто остаются формальными: составляются ради отчётности, а не трансформации процессов, и в результате реальные ИБ-риски остаются неуправляемыми. Современный подход требует перехода от абстрактных формул к практической...