Ценность информационных активов определяется величиной прямого или косвенного ущерба, причиняемого бизнесу в результате инцидентов безопасности, связанных с раскрытием, несанкционированной модификацией, временной недоступностью или разрушением активов. Последствия таких инцидентов могут выражаться в упущенной выгоде, потере конкурентных преимуществ, ухудшении имиджа организации, причинении вреда интересам третьей стороны, штрафах, прямых финансовых убытках или дезорганизации деятельности. Для каждого актива следует рассматривать наихудший сценарий развития событий.
Для оценки возможного ущерба в результате осуществления угроз в отношении активов могут использоваться следующие критерии:
- У1 – ущерб коммерческим интересам партнеров и третьих лиц;
- У2 – санкции со стороны правоохранительных и регулирующих органов (штрафы, административная и уголовная ответственность);
- У3 – ущерб коммерческим интересам организации;
- У4 – финансовые потери;
- У5 – ущерб репутации организации;
- У6 – дезорганизация деятельности, ухудшение морального климата в коллективе, снижение эффективности работы.
Для оценки величины возможного ущерба может использоваться пятибалльная качественная шкала, показанная на рисунке.
Здесь 0 – минимально возможный (незначительный) ущерб, 4 – максимальный ущерб (разрушительные последствия для организации). Оценка ущерба дается для каждого свойства актива (конфиденциальности, целостности и доступности) независимо.
Для того чтобы оценка ценности активов имела экономический смысл, качественная шкала оценки ущерба должна соотносится с размером прямых финансовых потерь. Возможная шкала оценки прямого финансового ущерба и ущерба коммерческим интересам организации может выглядеть, например, как показано в следующей таблице. Эта таблица сопоставляет качественным уровням оценки ущерба определенные диапазоны количественных значений ущерба, выраженных в денежных единицах. Эти количественные значения могут носить переменный характер и определяться в процентах от выручки организации.
Критерии оценки ущерба для разных организаций могут существенным образом различаться. Они определяются областью, характером и масштабами деятельности организации, политикой руководства, формой собственности и рядом других факторов.
После идентификации активов, требований безопасности, определения критериев и шкал оценки ущерба можно переходить к заполнению таблицы ценности активов.