Оценка рисков является одним из ключевых процессов в рамках обеспечения информационной безопасности организации. ЦКИБ Р-Вижн позволяет оценивать как прямые, так и производные риски активов, основываясь на взаимосвязи их атрибутов безопасности. При оценке уровня риска учитывается ценность актива, применяемые в организации средства контроля, а также результаты предыдущих оценок. Организации могут использовать качественные или количественных схемы оценки, выбрав одну из предустановленных методик (простые 3-х уровневые схемы, FAIR, оценка по требованиям РС БР ИББС-2.2-2009, ALE, схема, разработанная специалистами R-Vision) или создав свою собственную. В зависимости от выбранного режима параметры рисков рассчитываются автоматически или оцениваются вручную экспертами.
ЦКИБ позволяет не только рассчитывать уровни рисков, но также отслеживать их изменение с течением времени. Результаты всех завершенных оценок сохраняются в карте рисков, содержащей информацию об источниках и предпосылках отдельных рисков, о защитных мерах, оказывающих влияние на их уровень, связанных инцидентах и мероприятиях по обработке, а также значения параметров рисков за различные промежутки времени. Данные из карты рисков учитываются при проведении последующих оценок рисков информационной безопасности – система автоматически отмечает соответствующие риски как актуальные и заполняет необходимые параметры.
В отношении идентифицированных рисков участниками оценки формируется план мероприятий по обработке, в рамках которого оценивается стоимость и эффективность выбранной стратегии обработки рисков. Система позволяет отслеживать статусы реализации запланированных мероприятий и учитывает их при проведении новых оценок.