Результаты оценки ущерба сводятся в таблицу ценности активов. В «Примечаниях» надо подробно описывать, в чем будет заключаться ущерб и почему он оценивается именно таким образом. Это позволит обеспечить воспроизводимость результатов и предоставить обоснование оценки рисков для руководства организации и владельцев бизнеса.
Заполнение таблицы ценности активов производится экспертом по оценке рисков в ходе интервьюирования владельцев и пользователей активов, которым предлагается рассмотреть различные сценарии инцидентов, в ходе которых (на данной стадии неважно, по каким причинам) нарушается конфиденциальность, целостность или доступность актива. Описание сценариев инцидентов, даваемое экспертом, должно быть как можно более реалистичным и вызывать у интервьюируемых определенные параллели с реальной жизнью и деятельностью их организации. Это даст им возможность высказывать авторитетные суждения о видах и размерах возможного ущерба для организации. Для повышения объективности оценок, даваемых представителями бизнеса, следует проводить опрос нескольких человек из различных уровней иерархии и структурных подразделений организации. Интервьюируемые представители бизнеса должны иметь достаточный опыт работы и быть экспертами в своей предметной области.
