Подход к определению уровней влияния компьютерных инцидентов основан на следующих критериях:
- ущерб в социальной сфере;
- ущерб в политической сфере;
- экономический ущерб;
- ущерб в экологической сфере;
- ущерб для обеспечения обороны страны, безопасности государства и правопорядка.
Все перечисленные критерии определены с учетом [1] и должны быть в обязательном порядке учтены субъектами КИИ. Данные критерии подлежат уточнению в случае внесения изменений в вышеуказанное постановление. Организации, не являющиеся субъектами КИИ, могут формировать свои критерии по примеру критериев, устанавливаемых для субъектов КИИ.
В зависимости от сферы деятельности организации не все критерии будут подходить для определения уровня влияния компьютерных инцидентов по отношению к ее информационным ресурсам. В таких случаях используются только те критерии, которые подходят для конкретной организации и ее информационных ресурсов. Чтобы понять, какие критерии подходят для конкретных информационных ресурсов организации, рекомендуется использовать результаты категорирования объектов КИИ.
Подход также предусматривает возможность использования дополнительных критериев, которые не определены в настоящем стандарте. Порядок применения дополнительных критериев определен в А.7.
По каждому критерию установлено не более четырех уровней влияния:
- критический;
- высокий;
- средний;
- низкий.
Итоговый уровень влияния компьютерного инцидента оценивается как максимальный уровень влияния среди определенных по разным критериям. Например, если для одного компьютерного инцидента по критерию «экономический ущерб» определен уровень влияния средний, а по критерию «ущерб в социальной сфере» для этого компьютерного инцидента определен уровень влияния высокий, то для данного компьютерного инцидента устанавливается высокий уровень влияния [из А.1 Общие положения ГОСТ Р 59711-2022]