В статье рассматриваются вопросы управления информационной безопасностью в современных корпоративных информационных системах. В качестве аппарата анализа защищенности информационной системы от реальных угроз безопасности рассматривается применение методики оценки рисков, предлагается усовершенствованный алгоритм расчета оценок, а также затрагиваются вопросы его апробации.