Метою статті є проведення детального аналізу відомих методів управління ризиками CRAMM та COBIT 5 for Risk для їх використання стосовно мінімізації впливу ризиків на інформаційну безпеку підприємства (організації, установи). Під час написання статті застосовано теоретичні методи, а саме аналіз досліджень і публікацій за тематикою управління ризиками. Зазначений методологічний підхід дає змогу порівняти основні методи управління ризиками. У роботі зазначено, що найбільш поширеними у світі методами та методиками управління ризиками інформаційної безпеки є CRAMM, COBIT for Risk, FRAP, Octave і Microsoft. Проведено ретельний аналіз методів CRAMM і COBIT 5 for Risk. Зазначено що метод CRAMM має етапи ініціювання, ідентифікації й оцінювання ІТ-активів, оцінювання загроз і вразливостей, визначення ризику. Наведено структуру методології COBIT 5 for Risk, розглянуто компоненти установи стосовно опису функцій і процесів управління ризиками за цією методологією та запропоновано рекомендації щодо впровадження заходів зниження ризиків. Наведено основні переваги та недоліки розглянутих методів управління ризиками. Значимість ризиків інформаційної безпеки зростає через збільшення кількості реалізованих нападів, і з урахуванням їх руйнівного потенціалу. Поряд із визначеними перевагами вони мають і свої обмеження. Зокрема, розглянуті методи ефективно використовуються комерційними компаніями і державними установами, а також можуть бути застосовані під час оцінювання й управління ризиками інформаційної безпеки об’єктів критичної інфраструктури.

управління ризиками, потенційна шкода, ранжування ризиків, оцінювання ризиків безпеці інформації, реагування на ризик