Подход к определению уровней влияния компьютерных инцидентов основан на следующих критериях:

• ущерб в социальной сфере;
• ущерб в политической сфере;
• экономический ущерб;
• ущерб в экологической сфере;
• ущерб для обеспечения обороны страны, безопасности государства и правопорядка.

Все перечисленные критерии определены с учетом [1] и должны быть в обязательном порядке учтены субъектами КИИ. Данные критерии подлежат уточнению в случае внесения изменений в вышеуказанное постановление. Организации, не являющиеся субъектами КИИ, могут формировать свои критерии по примеру критериев, устанавливаемых для субъектов КИИ.

В зависимости от сферы деятельности организации не все критерии будут подходить для определения уровня влияния компьютерных инцидентов по отношению к ее информационным ресурсам. В таких случаях используются только те критерии, которые подходят для конкретной организации и ее информационных ресурсов. Чтобы понять, какие критерии подходят для конкретных информационных ресурсов организации, рекомендуется использовать результаты категорирования объектов КИИ.

Подход также предусматривает возможность использования дополнительных критериев, которые не определены в настоящем стандарте. Порядок применения дополнительных критериев определен в А.7.

По каждому критерию установлено не более четырех уровней влияния:

• критический;
• высокий;
• средний;
• низкий.

Итоговый уровень влияния компьютерного инцидента оценивается как максимальный уровень влияния среди определенных по разным критериям. Например, если для одного компьютерного инцидента по критерию «экономический ущерб» определен уровень влияния средний, а по критерию «ущерб в социальной сфере» для этого компьютерного инцидента определен уровень влияния высокий, то для данного компьютерного инцидента устанавливается высокий уровень влияния [из А.1 Общие положения ГОСТ Р 59711-2022]