Этот опросник служит для определения степени критичности обследуемой системы и глубины проводимого обследования. Он заполняется владельцем или пользователем информационной системы, представляющим себе величину ущерба, который может быть нанесен ему, организации, государству или конкретным людям в случае инцидента информационной безопасности.
Для принятия правильного решения относительно глубины проводимого обследования нужны как можно более точные и полные ответы на представленные вопросы с рассмотрением возможных сценариев нарушения информационной безопасности.
Оценка возможного ущерба от нарушений информационной безопасности дается на основе знаний о видах, объеме и степени критичности информации, хранимой и обрабатываемой в системе.
Рассматриваются следующие виды нарушений информационной безопасности:
- Несанкционированное раскрытие конфиденциальной информации.
- Нарушение целостности информации (разрушение или несанкционированное изменение).
- Потеря доступности информации в результате отказа технических средств, приложений и т.п.
Вопросы для оценки возможного ущерба:
- Может ли в результате нарушения информационной безопасности быть причинен более-менее значительный ущерб здоровью или личности (моральный, финансовый и т.п.) одного или несколько индивидуумов?
- Могут ли ошибки, допущенные при формулировании требований или реализации политики безопасности, нанести более-менее значительный ущерб здоровью или личности (моральный, финансовый и т. п.) одного или несколько индивидуумов?
- Может ли отказ исполнить юридические или договорные обязательства в результате нарушения информационной безопасности повлечь предупреждение, гражданский иск или уголовное расследование или привести к финансовым потерям/штрафу для организации или ответственных лиц?
- Может ли нарушение информационной безопасности способствовать совершению преступления или препятствовать расследованию преступления?
- Хранятся ли в системе коммерческие или экономические данные, стоимость которых для конкурентов оценивается выше Х руб.?
- Может ли компрометация коммерческих или экономических данных привести к финансовым потерям или потери платежеспособности организации или привести к получению выгоды или конкурентных преимуществ для индивидуумов или организаций?
- Может ли по причине упущений, допущенных при организации защиты коммерческих или экономических данных, быть нарушена конфиденциальность информации, предоставленной третьими сторонами?
- Могут ли прямые или косвенные финансовые потери в результате нарушения информационной безопасности составить более Х руб.?
- Может ли снижение работоспособности организации в результате нарушения информационной безопасности прямо или косвенно привести к потерям больше чем Х руб.?
- Могут ли проблемы с информационной безопасностью привести к нарушению производственной дисциплины, общественного порядка или вызвать массовые волнения?
- Могут ли быть нарушены процессы управления организацией или бизнес-процессы в результате нарушения информационной безопасности?
- Может ли нарушение информационной безопасности неблагоприятно повлиять на отношения с акционерами, поставщиками, органами надзора, правительством, другими организациями или общественностью и привести к антирекламе в средствах массовой информации?
- Превышает ли стоимость ремонта или замены всех программно-технических средств системы Х руб.?
