Приложение А (обязательное) - Подход к определению уровней влияния компьютерных инцидентов ГОСТ Р 59711-2022

В приложении А приведено описание подхода к определению уровней влияния компьютерных инцидентов.

Представленный подход может быть уточнен в соответствии с потребностями организации, ведущей деятельность по управлению компьютерными инцидентами [из Приложение А (обязательное) - Подход к определению уровней влияния компьютерных инцидентов ГОСТ Р 59711-2022]

А.1 Общие положения ГОСТ Р 59711-2022

Подход к определению уровней влияния компьютерных инцидентов основан на следующих критериях:

  • ущерб в социальной сфере;
  • ущерб в политической сфере;
  • экономический ущерб;
  • ущерб в экологической сфере;
  • ущерб для обеспечения обороны страны, безопасности государства и правопорядка.

Все перечисленные критерии определены с учетом [1] и должны быть в обязательном порядке учтены субъектами КИИ. Данные критерии подлежат уточнению в случае внесения изменений в вышеуказанное постановление. Организации, не являющиеся субъектами КИИ, могут формировать свои критерии по примеру критериев, устанавливаемых для субъектов КИИ.

В зависимости от сферы деятельности организации не все критерии будут подходить для определения уровня влияния компьютерных инцидентов по отношению к ее информационным ресурсам. В таких случаях используются только те критерии, которые подходят для конкретной организации и ее информационных ресурсов. Чтобы понять, какие критерии подходят для конкретных информационных ресурсов организации, рекомендуется использовать результаты категорирования объектов КИИ.

Подход также предусматривает возможность использования дополнительных критериев, которые не определены в настоящем стандарте. Порядок применения дополнительных критериев определен в А.7.

По каждому критерию установлено не более четырех уровней влияния:

  • критический;
  • высокий;
  • средний;
  • низкий.

Итоговый уровень влияния компьютерного инцидента оценивается как максимальный уровень влияния среди определенных по разным критериям. Например, если для одного компьютерного инцидента по критерию «экономический ущерб» определен уровень влияния средний, а по критерию «ущерб в социальной сфере» для этого компьютерного инцидента определен уровень влияния высокий, то для данного компьютерного инцидента устанавливается высокий уровень влияния [из А.1 Общие положения ГОСТ Р 59711-2022]

А.2 Ущерб в социальной сфере ГОСТ Р 59711-2022

Ущерб в социальной сфере классифицируют по четырем уровням влияния: критический, высокий, средний, и низкий.

Критический социальный ущерб будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с причинением ущерба жизни людей и (или) причинением ущерба здоровью 500 человек или более, и (или) прекращением или нарушением функционирования объектов обеспечения жизнедеятельности на территории более одного субъекта Российской Федерации или на территории города федерального значения, и (или) нарушением условий жизнедеятельности 5000 человек или более, и (или) прекращением или нарушением функционирования объектов транспортной инфраструктуры на территории более одного субъекта Российской Федерации или на территории города федерального значения, и (или) недоступностью транспортных услуг для 5000 человек или более, и (или) недоступностью сети связи для 5000 человек или более, и (или) отсутствием доступа к государственной услуге, максимальное время недоступности которой не может превышать 6 ч.

Высокий социальный ущерб будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с причинением ущерба здоровью от 50 до 500 человек и (или) прекращением или нарушением функционирования объектов обеспечения жизнедеятельности на территории более одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения (но не за пределами территории одного субъекта Российской Федерации или территории города федерального значения), и (или) нарушением условий жизнедеятельности от 1000 до 5000 человек, и (или) прекращением или нарушением функционирования объектов транспортной инфраструктуры на территории более одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения (но не за пределами территории одного субъекта Российской Федерации или территории города федерального значения), и (или) недоступностью транспортных услуг от 1000 до 5000 человек или более, и (или) недоступностью сети связи от 1000 до 5000 человек, и (или) отсутствием доступа к государственной услуге, максимальное время недоступности которой не может превышать от 6 до 12 ч.

Средний социальный ущерб будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с причинением ущерба здоровью от 1 до 50 человек и (или) прекращением или нарушением функционирования объектов обеспечения жизнедеятельности в одном муниципальном образовании (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения, и (или) нарушением условий жизнедеятельности от 2 до 1000 человек и (или) прекращением или нарушением функционирования объектов транспортной инфраструктуры на территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения, и (или) недоступностью транспортных услуг от 2 до 1000 человек, и (или) недоступностью сети связи от 2 до 1000 человек, и (или) отсутствием доступа к государственной услуге, максимальное время недоступности которой не может превышать от 12 до 24 ч.

Низкий социальный ущерб будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с прекращением или нарушением функционирования объектов обеспечения жизнедеятельности и (или) прекращением или нарушением функционирования объектов транспортной инфраструктуры и (или) недоступностью транспортных услуг, и (или) недоступностью сети связи, и (или) отсутствием доступа к государственной услуге, которые не подпадают под критерии других уровней (критический, высокий, средний).

А.З Ущерб в политической сфере ГОСТ Р 59711-2022

Ущерб в политической сфере классифицируют по трем уровням влияния: критический, высокий и средний.

Критический ущерб в политической сфере будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с прекращением или нарушением функционирования Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного суда Российской Федерации, Конституционного суда Российской Федерации.

Высокий ущерб в политической сфере будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с прекращением или нарушением функционирования федерального органа государственной власти.

Средний ущерб в политической сфере будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с прекращением или нарушением функционирования органа государственной власти субъекта Российской Федерации или города федерального значения [из А.З Ущерб в политической сфере ГОСТ Р 59711-2022]

А.4 Экономический ущерб ГОСТ Р 59711-2022

Экономический ущерб, вызванный компьютерными инцидентами, определяют с учетом тяжести последствий сбоя или полного прекращения деятельности из-за выхода из строя программного, технического или программно-технического оборудования информационного ресурса. Размер потерь (ущерба) может зависеть от затрат на восстановление штатной деятельности организации и других последствий компьютерных инцидентов, включая потерю прибыли и (или) упущенные возможности. Экономический ущерб является единственным из рассмотренных в настоящем стандарте критериев, который могут использовать не только субъекты КИИ, но и организации, не относящиеся к субъектам КИИ. Этот подход классифицирует потери (ущерб) по четырем уровням влияния: критический, высокий, средний и низкий.

Критерии отнесения компьютерных инцидентов к указанным уровням, которые используют как субъекты КИИ, так и организации, не относящиеся к субъектам КИИ, представлены ниже.

Критический экономический ущерб для организации будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с прекращением деятельности организации на длительный период времени или полным прекращением деятельности и (или) с ущербом, выраженным в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности более чем на 20 % от годового объема доходов, усредненного за прошедший 5-летний период.

Высокий экономический ущерб для организации будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с прекращением деятельности организации на короткий период времени или остановкой отдельных видов деятельности и/или с ущербом, выраженным в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности от 10 до 20 % от годового объема доходов, усредненного за прошедший 5-летний период;

Средний экономический ущерб для организации будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с ущербом, выраженным в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности от 1 до 10 % от годового объема доходов, усредненного за прошедший 5-летний период.

Низкий экономический ущерб для организации будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с ущербом, выраженным в снижении уровня дохода, которое не подпадает под критерии других уровней (критический, высокий, средний).

При этом организации, не относящиеся к субъектам КИИ, могут устанавливать и иные критерии отнесения компьютерных инцидентов к указанным уровням.

Для субъектов КИИ должны дополнительно учитываться следующие критерии отнесения компьютерных инцидентов к указанным уровням экономического ущерба.

а) Критический экономический ущерб будет означать возможность возникновения в результате компьютерного инцидента любого из следующих негативных последствий:

1) возникновение ущерба бюджетам Российской Федерации, связанного со снижением выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ более чем на 0,1 % прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период;

2) прекращение или нарушение более 120 млн совершаемых в течение одного дня операций (на основе прогнозных значений), проводимых клиентами по банковским счетам и (или) без открытия банковского счета и (или) осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка.

б) Высокий экономический ущерб будет означать возможность возникновения в результате компьютерного инцидента любого из следующих негативных последствий:

1) возникновение ущерба бюджетам Российской Федерации, связанного со снижением выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ на 0,05 - 0,1 % прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период;

2) прекращение или нарушение от 70 до 120 млн совершаемых в течение одного дня операций (на основе прогнозных значений), проводимых клиентами по банковским счетам и (или) без открытия банковского счета и (или) осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка.

в) Средний экономический ущерб будет означать возможность возникновения в результате компьютерного инцидента любого из следующих негативных последствий:

1) возникновение ущерба бюджетам Российской Федерации, связанного со снижением выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ на 0,001 - 0,05 % прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период;

2) прекращение или нарушение от 3 до 70 млн совершаемых в течение одного дня операций (на основе прогнозных значений), проводимых клиентами по банковским счетам и (или) без открытия банковского счета и (или) осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка.

г) Низкий экономический ущерб будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, приводящих к ущербу бюджетам Российской Федерации, связанному со снижением выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ, и (или) приводящих к прекращению или нарушению операций, проводимых клиентами по банковским счетам и (или) без открытия банковского счета и (или) осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, которые не подпадают под критерии других уровней (критический, высокий, средний).

[из А.4 Экономический ущерб ГОСТ Р 59711-2022]

А.5 Ущерб в экологической сфере ГОСТ Р 59711-2022

Ущерб в экологической сфере классифицируют по четырем уровням влияния: критический, высокий, средний и низкий.

Критический ущерб в экологической сфере будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с вредными воздействиями на окружающую среду на территории, выходящей за пределы одного субъекта Российской Федерации или города федерального значения, и (или) вредными воздействиями на 5000 человек и более.

Высокий ущерб в экологической сфере будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с вредными воздействиями на окружающую среду на территории, выходящей за пределы одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения, и (или) вредными воздействиями на 1000 - 5000 человек.

Средний ущерб в экологической сфере будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с вредными воздействиями на окружающую среду на территории в пределах территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения и (или) вредными воздействиями на 2 - 1000 человек.

Низкий ущерб в экологической сфере будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с вредными воздействиями на окружающую среду и (или) вредными воздействиями на людей, не подпадающих под критерии других уровней (критический, высокий, средний) [из А.5 Ущерб в экологической сфере ГОСТ Р 59711-2022]

А.6 Ущерб для обеспечения обороны страны, безопасности государства и правопорядка ГОСТ Р 59711-2022

Ущерб для обеспечения обороны страны, безопасности государства и правопорядка классифицируют по трем уровням влияния: критический, высокий, средний.

Критический ущерб для обеспечения обороны страны, безопасности государства и правопорядка будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с прекращением или нарушением функционирования пункта управления государством или ситуационного центра Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного суда Российской Федерации, Конституционного суда Российской Федерации и (или) снижением объемов продукции (работ, услуг) в рамках государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом КИИ, в заданный период времени более чем на 15 %, и (или) увеличением времени выпуска продукции (работ, услуг) заданного объема в рамках государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом КИИ, более чем на 40 %, и (или) прекращением или нарушением функционирования (невыполнением установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, для которой определено максимально допустимое время недоступности пользователю до 1 ч.

Высокий ущерб для обеспечения обороны страны, безопасности государства и правопорядка будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с прекращением или нарушением функционирования пункта управления или ситуационного центра федерального органа государственной власти или государственной корпорации и (или) со снижением объемов продукции (работ, услуг) в рамках государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом КИИ, в заданный период времени на 10-15 %, и (или) увеличением времени выпуска продукции (работ, услуг) заданного объема в рамках государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом КИИ, на 10 - 40 %, и (или) прекращением или нарушением функционирования (невыполнением установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, для которой определено максимально допустимое время недоступности пользователю от 1 до 2 ч.

Средний ущерб для обеспечения обороны страны, безопасности государства и правопорядка будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с прекращением или нарушением функционирования пункта управления или ситуационного центра органа государственной власти субъекта Российской Федерации или города федерального значения, и (или) со снижением объемов продукции (работ, услуг) в рамках государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом КИИ, в заданный период времени до 10 %, и (или) увеличением времени выпуска продукции (работ, услуг) заданного объема в рамках государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом КИИ, до 10 %, и (или) прекращением или нарушением функционирования (невыполнением установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, для которой определено максимально допустимое время недоступности пользователю от 2 до 4 ч [из А.6 Ущерб для обеспечения обороны страны, безопасности государства и правопорядка ГОСТ Р 59711-2022]

А.7 Порядок применения дополнительных критериев ГОСТ Р 59711-2022

Организации могут формировать свои критерии по примеру критериев, установленных в А.2-А.6. Например, в организации могут быть установлены критерии, связанные с экономическим ущербом, выраженным в затратах на восстановление информационных ресурсов. Критерии должны быть определены не более чем по четырем уровням влияния: критический, высокий, средний, низкий. При этом допускается использовать меньшее количество уровней влияния. Например, если по определенному критерию не может быть низкого ущерба, допускается устанавливать уровни влияния: критический, высокий и средний. Бывают и другие ситуации, когда по определенному критерию не может быть критического ущерба, в таких случаях могут быть установлены уровни влияния: высокий, средний и низкий [из А.7 Порядок применения дополнительных критериев ГОСТ Р 59711-2022]