потому что критерии значимости разные.
Я тоже про DC предложил не чтоб подъебать, а потому что с точки зрения ИТ/ИБ - если контроллер домена колом встал, то скорее всего колом встанут и бизнес процессы (условно - не смогут в 1С авторизоваться). И вроде бы эту ситуацию и можно ввести в описанные выше формулы, но тут вторая проблема - как доказать, что формула верна? Хорошо, если методика оценков рисков утверждена. Но обычно ее нет ж, применительно к ИБ

Это считается элементарно 😊 В стандартах по бухучету это называется нематериальными активами и для них описано с два десятка формул 😊

Еще не забудь подключить историю инцидентов по активу или пользователю. Тоже наверно должно влиять

Можно конечно все у третьей стороны заказать, а-ля консалтинг. Но тоже тема поплавная

Вот три примера оценки приоритета в ОДНОЙ организации. Зависит от типа инцидента (персданные, простои и т.п.)

да не, фигня это

Не, не шляпа. Все реально. Проблема - убедить свое руководство, что это так считается. Если оно привыкло считать ИБ центром затрат, то убедить их в обратном - задача непростая и небыстрая. А когда ты их уже убедил, никакие формулы расчета не нужны - верят на слово 😊

Не совсем, достучаться до мозгов финансистов проще. Хотя бы по причине, что бабла отвалили уже ) мнение третьей, независимой (условно) стороны

Ты все время на грабли «нет пророка в своем отечестве» прыгать будешь при подходе «щас сам все докажу»

А при найме консалтера ты потом на него (результаты работы) ссылаешься. Типа - вот не ток я так считаю, вот вам третья сторона

😊

Главное, чтобы стоимость привлечения консалтера не превысила все выгоды от их привлечения 😊

Ну, т.е. что-то посчитать на языке понятном бизнесу всё-таки можно?

И не получить прямо противоположный результат

Посчитать вообще можно все, даже счастье 😊 А уж ИБ тем более. Вопрос только в том, что сами ИБшники не всегда готовы к этому 😊

Посчитать можно. Как убедить, что конкретно этот примененный метод расчета - верный?