Идентификация и оценка рисков являются ключевыми задачами в управлении рисками. На основе полученных оценок осуществляется отбор мер по снижению уязвимостей и реагированию на инциденты безопасности. Существующие стандарты информационной безопасности описывают порядок действий лица, принимающего решения в этой области, но выбор конкретных моделей, методов и инструментов преимущественно оставляют на усмотрение последнего. Предлагаемые к применению стандартами в отдельных случаях количественные показатели требуют для расчета долговременных статистических данных, накопление 361 которых для информационных систем затруднительно в силу их высокой гибкости и изменчивости, делающей статистику прошлых периодов нерелевантной. Таким образом, создание новых и адаптация существующих в смежных областях методов оценки рисков информационных систем в условиях неопределенности остается актуальной задачей. В настоящей работе предлагается вариант адаптации механизма комплексного оценивания из теории управления организационными системами для оценки информационных рисков в условиях неопределенности.