Представлен формализованный подход к оценке компонентов рисков информационных систем с возможностью автоматизации данной процедуры. При оценке рисков информационной системы предлагается учитывать вероятность возникновения угроз, простоту использования уязвимостей, эффективность реализованных защитных мер и величину ущерба. В ходе исследования на платформе RSA Archer GRC ведется разработка автоматизированной системы управления рисками, осуществляющей сбор и анализ исходных данных из различных источников (SIEM, DLP, средства защиты и прочие), определение значений метрик оценки, расчет значений рисков и определение наиболее оптимального набора защитных мер исходя из значений показателя их эффективности.