Травмы или летальный исход

Указания по трактовке уровня ущерба

Все информационные системы могут быть подразделены на системы с НИЗКИМ, СРЕДНИМ и ВЫСОКИМ уровнем потенциального ущерба, в зависимости от оценочного ущерба.

НИЗКИЙ потенциальный ущерб. Ожидается, что потеря конфиденциальности, целостности и доступности будет иметь ограниченное воздействие на организацию и на физических лиц.

СРЕДНИЙ потенциальный ущерб. Ожидается, что потеря конфиденциальности, целостности и доступности будет иметь серьезное негативное влияние на организацию и физических лиц.

ВЫСОКИЙ потенциальный ущерб. Ожидается, что потеря конфиденциальности, целостности и доступности будет иметь тяжелое или катастрофически негативное влияние на организацию и физических лиц.

Для информационной системы, значение потенциального ущерба может быть определено путем оценки ущерба для организации и индивидуальных ущербов, соответствующих нарушению атрибутов безопасности (Конфиденциальность, Целостность и Доступность). Совокупный ущерб для информационной системы является функцией от всех типов ущербов.

1. Ущерб для организации (Материальный)

Ущерб для организации, влекущий прямые финансовые потери, вызван рисками или слабыми сторонами системы. Такой ущерб может быть оценен количественно.

Стоимость поврежденных активов

Финансовый ущерб, вызванный потерей или повреждением активов, таких как аппаратные средства, программное обеспечение и другая инфраструктура.

Стоимость восстановления

Финансовые потери, вызванные необходимыми затратами на ремонт оборудования, восстановления программного обеспечения или информации и восстановление оказания услуг. Они включают в себя затраты на выявление, устранение и восстановление и возобновления операций для каждой системы.

Потеря доходов

Финансовый ущерб, вызванный перебоями в системах, генерирующих доход.

Ущерб для организации (Не материальный)

Ущерб организации, влекущий непрямые финансовые потери, вызван рисками или слабыми сторонами системы. Такие виды ущерба не могут быть измерены количественно, однако могут быть оценены качественно, как ‘высокий‘,‘средний‘,‘низкий‘ и тд.

2.1 Потеря/ухудшение функциональности

Ущерб вызван потерями/ухудшением функциональности или вмешательствами в услуги, предоставляемые системой. Также недостаточной проработкой целей и задач.

2.2 Потеря имиджа/репутации

Ущерб, нанесен утратой доверия пользователя, потери доброжелательности/негативного воздействия на репутацию, ослабление способности к переговорам, потери конкурентных преимуществ, потеря доверия, потеря технической репутации и т.д.

2.3 Уставной/Правовой/Не соблюдение договоров

Ущерб нанесен невозможностью выполнения правовых, нормативных и договорных обязательств, нарушением договора с третьими сторонами, стоимостью судебных разбирательств и штрафами.

Ущерб физическим лицам

Ущерб, нанесенный третьим лицам, использующим систему, в силу наличия в ней слабых мест и рисками информации, находящейся в системе.

Финансовые потери

Ущерб, повлекший прямые финансовые потери для третьих лиц или персонала, работающих в системе или использующих ее для ведения дел.

Не материальные потери

Ущерб, повлекший нематериальный ущерб, такой как нарушение неприкосновенности частной жизни, преследования и т.д. третьих лиц использующих систему, или персонала, работающего в ней.

Травмы или летальный исход

Ущерб, повлекший за собой травмы или смерть третьих лиц в силу наличия слабых мест в системе или подвергания риску информации, находящейся в ней.

2. Идентифицируйте тип информационной системы, критичность которой не обходимо оценить

___________________________

3. Идентифицируйте назначение (функции) системы

___________________________

4. Проведите оценку системы с использованием дерева (в баллах от 0 до 3), обведя ваш выбор и и с помощь таблице определите общий уровень ущерба по каждой категории

Травмы или летальный исход - student2.ru