В данной теме хочется поднять очень спорный вопрос - как адекватно оценить вероятность реализации угроз в организации? 
Да, существует метод экспертной оценки, но он работает если есть "независимые эксперты", которые могут оценить угрозы.
Да, существуют статистические методы, но они работают при ведении статистики в организации (что происходит далеко не всегда). Безусловно можно взять мировую практику статистики (NIST NVD), но всем и так ясно, что ситуация по уязвимостям в США или Европе несколько отличается от отечественных реалий.
Да, можно взять из головы "на основе личного опыта", но как потом обосновать цифры перед руководством?
Да, можно использовать качественную оценку, которая на сколько проще количественной, на столько же и менее информативна. Уважаемые коллеги, поделитесь опытом по данной проблеме. 
