ГОСТ Р ИСО/МЭК ТО 13335-3—2007
Перечисленные выше примеры критериев оценки могут быть использованы для оценки активов. Для вы
полнения оценох организация должна выбирать критерии, соответствующие типу ее деловой деятельности и
установленным требованиям по обеспечению безопасности. Поэтому некоторые из вышеперечисленных крите
риев оценки могут оказаться неприменимыми, тогда как другие могут быть добавлены к данным критериям
оценки.
После выбора подходящих критериев организация должна договориться о шкале оценки, которая будет
использоваться во всей организации. Первым шагом должно быть установление числа используемых уровней.
Правил для установления наиболее подходящего числа уровней не существует. Большее число уровней обеспечи
вает более высокую степень детализации, но иногда слишком тонкое дифференцирование затрудняет оценку
активов организации. Обычно число уровней оценки находится в диапазоне от трех (например «малая», «сред
няя» и «высокая» ценность) до десяти при условии, что это совместимо с подходом организации к общему
процессу оценки риска.
Кроме того, организация может устанавливать собственные пределы ценности активов (например «ма
лая», «средняя» и «высокая»). Эти пределы должны быть оценены по выбранным критериям, например, воз
можные финансовые потери следует оценивать в денежных единицах, тогда как при оценке по критерию угрозы
для личной безопасности оценка в денежных единицах окажется непригодной. В конечном счете
организация сама должна решить, какой ущерб считать малым, а какой — большим. Ущерб, который может
стать бедствен ным для маленькой организации, для очень крупной организации может быть сочтен малым
или даже пренеб режимо малым.
37