А.4 Экономический ущерб ГОСТ Р 59711-2022|Техническая документация

Экономический ущерб, вызванный компьютерными инцидентами, определяют с учетом тяжести последствий сбоя или полного прекращения деятельности из-за выхода из строя программного, технического или программно-технического оборудования информационного ресурса. Размер потерь (ущерба) может зависеть от затрат на восстановление штатной деятельности организации и других последствий компьютерных инцидентов, включая потерю прибыли и (или) упущенные возможности. Экономический ущерб является единственным из рассмотренных в настоящем стандарте критериев, который могут использовать не только субъекты КИИ, но и организации, не относящиеся к субъектам КИИ. Этот подход классифицирует потери (ущерб) по четырем уровням влияния: критический, высокий, средний и низкий.

Критерии отнесения компьютерных инцидентов к указанным уровням, которые используют как субъекты КИИ, так и организации, не относящиеся к субъектам КИИ, представлены ниже.

Критический экономический ущерб для организации будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с прекращением деятельности организации на длительный период времени или полным прекращением деятельности и (или) с ущербом, выраженным в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности более чем на 20 % от годового объема доходов, усредненного за прошедший 5-летний период.

Высокий экономический ущерб для организации будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с прекращением деятельности организации на короткий период времени или остановкой отдельных видов деятельности и/или с ущербом, выраженным в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности от 10 до 20 % от годового объема доходов, усредненного за прошедший 5-летний период;

Средний экономический ущерб для организации будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с ущербом, выраженным в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности от 1 до 10 % от годового объема доходов, усредненного за прошедший 5-летний период.

Низкий экономический ущерб для организации будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, связанных с ущербом, выраженным в снижении уровня дохода, которое не подпадает под критерии других уровней (критический, высокий, средний).

При этом организации, не относящиеся к субъектам КИИ, могут устанавливать и иные критерии отнесения компьютерных инцидентов к указанным уровням.

Для субъектов КИИ должны дополнительно учитываться следующие критерии отнесения компьютерных инцидентов к указанным уровням экономического ущерба.

а) Критический экономический ущерб будет означать возможность возникновения в результате компьютерного инцидента любого из следующих негативных последствий:

1) возникновение ущерба бюджетам Российской Федерации, связанного со снижением выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ более чем на 0,1 % прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период;

2) прекращение или нарушение более 120 млн совершаемых в течение одного дня операций (на основе прогнозных значений), проводимых клиентами по банковским счетам и (или) без открытия банковского счета и (или) осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка.

б) Высокий экономический ущерб будет означать возможность возникновения в результате компьютерного инцидента любого из следующих негативных последствий:

1) возникновение ущерба бюджетам Российской Федерации, связанного со снижением выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ на 0,05 - 0,1 % прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период;

2) прекращение или нарушение от 70 до 120 млн совершаемых в течение одного дня операций (на основе прогнозных значений), проводимых клиентами по банковским счетам и (или) без открытия банковского счета и (или) осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка.

в) Средний экономический ущерб будет означать возможность возникновения в результате компьютерного инцидента любого из следующих негативных последствий:

1) возникновение ущерба бюджетам Российской Федерации, связанного со снижением выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ на 0,001 - 0,05 % прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период;

2) прекращение или нарушение от 3 до 70 млн совершаемых в течение одного дня операций (на основе прогнозных значений), проводимых клиентами по банковским счетам и (или) без открытия банковского счета и (или) осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка.

г) Низкий экономический ущерб будет означать возможность возникновения в результате компьютерного инцидента негативных последствий, приводящих к ущербу бюджетам Российской Федерации, связанному со снижением выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ, и (или) приводящих к прекращению или нарушению операций, проводимых клиентами по банковским счетам и (или) без открытия банковского счета и (или) осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, которые не подпадают под критерии других уровней (критический, высокий, средний).

[из А.4 Экономический ущерб ГОСТ Р 59711-2022]

Из ГОСТ Р 59711-2022 Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами

⇪В 34076 💥