В статье отмечается, что методика оценки рисков информационной безопасности (ИБ) имеет ряд существенных ограничений, в частности, используется метод экспертных оценок. Как показывает практика ИБ, метод экспертных оценок имеет ряд ограничений, что в результате не позволяет сформировать необходимый и достаточный перечень мер по защите информации. В статье детально описаны математические подходы, лежащие в основе методики прогнозирования динамики вероятности проведения компьютерной атаки (КА) с точки зрения нарушителя на основе статистических данных, в частности Теория положений криминологии, и Теория диффузии инноваций. Отдельно отмечается важность формирования модели нарушителя для определения источников общедоступной информации для расчета вероятности КА. Приведено детальное описание методики прогнозирования динамики вероятности проведения КА с точки зрения нарушителя на основе статистических данных. А также оценка ее адекватности на основе данных о более чем 700 тысячах КА на кредитно-финансовый сектор (КФС) за 2017-2018 гг.