ГОСТ Р 59711—2022
При этом организации, не относящиеся к субъектам КИИ, могут устанавливать и иные критерии отнесения
компьютерных инцидентов к указанным уровням.
Для субъектов КИИ должны дополнительно учитываться следующие критерии отнесения компьютерных ин
цидентов к указанным уровням экономического ущерба.
а) Критический экономический ущерб будет означать возможность возникновения в результате компьютерно
го инцидента любого из следующих негативных последствий:
1) возникновение ущерба бюджетам Российской Федерации, связанного со снижением выплат (отчисле
ний) в бюджеты Российской Федерации, осуществляемых субъектом КИИ более чем на 0,1 % прогнозиру
емого годового дохода федерального бюджета, усредненного за планируемый 3-летний период;
2) прекращение или нарушение более 120 млн совершаемых в течение одного дня операций (на основе
прогнозных значений), проводимых клиентами по банковским счетам и (или) без открытия банковского
счета и (или) осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Россий
ской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструк
туры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной
организацией финансового рынка.
б) Высокий экономический ущерб будет означать возможность возникновения в результате компьютерного
инцидента любого из следующих негативных последствий:
1) возникновение ущерба бюджетам Российской Федерации, связанного со снижением выплат (отчисле
ний) в бюджеты Российской Федерации, осуществляемых субъектом КИИ на 0,05 — 0,1 % прогнозируемо го
годового дохода федерального бюджета, усредненного за планируемый 3-летний период;
2) прекращение или нарушение от 70 до 120 млн совершаемых в течение одного дня операций (на основе
прогнозных значений), проводимых клиентами по банковским счетам и (или) без открытия банковского
счета и (или) осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Россий
ской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструк
туры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной
организацией финансового рынка.
в) Средний экономический ущерб будет означать возможность возникновения в результате компьютерного
инцидента любого из следующих негативных последствий:
1) возникновение ущерба бюджетам Российской Федерации, связанного со снижением выплат (отчисле
ний) в бюджеты Российской Федерации, осуществляемых субъектом КИИ на 0,001 — 0,05 % прогнозиру
емого годового дохода федерального бюджета, усредненного за планируемый 3-летний период;
2) прекращение или нарушение от 3 до 70 млн совершаемых в течение одного дня операций (на основе
прогнозных значений), проводимых клиентами по банковским счетам и (или) без открытия банковского
счета и (или) осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Россий
ской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструк
туры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной
организацией финансового рынка.
г) Низкий экономический ущерб будет означать возможность возникновения в результате компьютерного ин
цидента негативных последствий, приводящих к ущербу бюджетам Российской Федерации, связанному со сниже
нием выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ, и (или) приводя
щих к прекращению или нарушению операций, проводимых клиентами по банковским счетам и (или) без открытия
банковского счета и (или) осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Рос
сийской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры
системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией
финансового рынка, которые не подпадают под критерии других уровней (критический, высокий, средний).
А.5 Ущерб в экологической сфере
Ущерб в экологической сфере классифицируют по четырем уровням влияния: критический, высокий, сред
ний и низкий.
Критический ущерб в экологической сфере будет означать возможность возникновения в результате ком
пьютерного инцидента негативных последствий, связанных с вредными воздействиями на окружающую среду на
территории, выходящей за пределы одного субъекта Российской Федерации или города федерального значения, и
(или) вредными воздействиями на 5 000 человек и более.
Высокий ущерб в экологической сфере будет означать возможность возникновения в результате компью
терного инцидента негативных последствий, связанных с вредными воздействиями на окружающую среду на
территории, выходящей за пределы одного муниципального образования (численностью от 2 тыс. человек) или
одной внутригородской территории города федерального значения, но не за пределы территории одного субъек та
Российской Федерации или территории города федерального значения, и (или) вредными воздействиями на 1
000—5 000 человек.
Средний ущерб в экологической сфере будет означать возможность возникновения в результате компью
терного инцидента негативных последствий, связанных с вредными воздействиями на окружающую среду на тер-
18