ГОСТ Р ИСО/МЭК 27005—2010
с предполагаемой совокупностью обстоятельств. Следует подчеркнуть, что при этом подходе принимаются во
внимание последствия, которые необходимо включать в оценку риска.
Многим активам в ходе установления ценности могут присваиваться несколько значений ценности. Напри
мер. бизнес-план может оцениваться на основе труда, затраченного на его разработку, он гложет оцениваться на
основе труда, необходимого для ввода данных, или он может оцениваться на основе его значимости для конку
рентов. Все эти присвоенные значения ценности скорее всего будут существенно различаться. Присвоенное зна
чение может быть максимальным из всех возможных значений или суммой некоторых или всех
возможных значений. В окончательном анализе должно быть тщательно определено, какое значение или
значения ценности присваиваются активу, потому что окончательная присвоенная ценность включается в
определение ресурсов, которые должны быть затрачены на защиту актива.
Сведение к общей основе
В конечном счете все установления ценности активов должны быть сведены к общей основе. Это можно
сделать с помощью критериев, приведенных ниже. Критерии, которые могут использоваться для оценки возмож
ных последствий, вытекающих из потери конфиденциальности, целостности, доступности, неотказуемости. учет
ное™, подлинное™ или надежности активов, включают:
- нарушение законодательства и/или норм;
- ухудшение функционирования бизнеса;
- потеря «неосязаемого калиталав/негативное влияние на репутацию;
- нарушения, связанные с личной информацией;
- создание угрозы личной безопасности;
- неблагоприятное влияние на обеспечение правопорядка;
- нарушение конфиденциальности;
- нарушение общественного порядка:
- финансовые потери:
- нарушение бизнес-деятельности;
- создание угрозы для безопасности окружающей среды.
Друтм подходом к оценке последствий могут быть:
- прерывание сервиса — невозможность обеспечения сервиса:
- утрата доверия клиента — утрата доверия международной информационной системе, потеря репутации;
- нарушение внутреннего функционирования — нарушения внутри самой организации, дополнительные
внутренние расходы:
- нарушение функционирования третьей стороны — нарушения в функционировании третьих сторон, веду
щих дела с организацией, различные виды убытков;
- нарушение законов>’норм — неспособность выполнения правовых обязательств;
- нарушение договора — неспособность выполнения договорных обязательств;
- опасность для персонала/безопэсность пользователей — опасность для персонала и/или пользователей
организации;
- вторжение в час™ую жизнь пользователей;
-финансовые потери;
- финансовые потери, связанные с чрезвычайными обстоятельствами или ремонтом — касающиеся пер
сонала. касающиеся оборудования, касающиеся исследований, отчетов экспертов;
- потеря товаров/фондоа’активов;
- потеря клиентов, потеря поставщиков;
- судебные дела и штрафы:
- потеря конкурентного преимущества;
- потеря технологического/технического лидерства:
- потеря эффективностиУнадежности;
- потеря технической репутации:
- снижение способности к заключению соглашений;
- промышленный кризис (забастовки);
- правительственный кризис.
- увольнения;
- материальный ущерб.
Эти критерии являются примерами проблем, которые должны рассматриваться при установлении ценнос-
™ активов. Для проведения оценок организации нужно выбрать критерии, уместные для ее вида бизнеса и требо
ваний безопасности. Это может означать, что некоторые из перечисленных выше критериев неприменимы и
может потребоваться дополнение к этому списку.
Шкала
После установления критериев для рассмотрения организации следует согласовать шкалу, которая будет
использоваться в масштабах организации. Первым шагом является принятие решения о числе используемых
уровней. Не существует правил, определяющих наиболее уместное число уровней. Большее число уровней обес
печивает больший уровень детализации, но иногда слишком мелкая дифференциация затрудняет присвоение
29