Оценка масштаба последствий и соотнесение со значениями показателей категорий

Для рассматриваемой ИСиР необходимо определить возможные последствия нарушений, основываясь на выявленных возможных угрозах ИБ, сценариях компьютерных атак, назначение ИСиР и автоматизируемого процесса. Для рассматриваемой ИСиР должны выбираться те типы последствий, которые могут стать следствием реализации вероятных угроз для данной ИСиР. В качестве последствий рассматриваем:

1) причинение ущерба жизни и здоровью людей;

2) прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнических сооружений;

3) прекращение или нарушение функционирования объектов транспортной инфраструктуры;

4) прекращение или нарушение функционирования сети связи;

5) отсутствие доступа к государственной услуге;

6) прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции;

7) нарушение условий международного договора РФ, срыв переговоров или подписания планируемого к заключению международного договора РФ, оцениваемые по уровню международного договора РФ;

8) возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей);

9) возникновение ущерба бюджетам Российской Федерации;

10) прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка;

11) вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосферу, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия);

12) прекращение или нарушение (невыполнение установленных показателей) функционирования пункта управления (ситуационного центра), оцениваемое в уровне (значимости) пункта управления или ситуационного центра;

13) снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры;

14) прекращение или нарушение функционирования (невыполнения установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка.

 

При оценке масштабов последствий и соотнесении со значениями показателей категорий следует использовать (для соответствующих ИСиР):

- договоры на оказание соответствующих услуг (учет количества потребителей и подключаемых территориальных объектов);

- паспорта объектов (систем);

- ТЗ на объекты;

- результаты категорирования объектов транспортной инфраструктуры;

- декларация промышленной безопасности;

- паспорта безопасности опасного производственного объекта;

- декларация безопасности объектов;

- паспорта безопасности объектов топливно-энергетического комплекса;

- результаты категорирования объектов, оказывающих негативное воздействие на окружающую среду;

- результаты классификации сетей электросвязи.

Полученная оценка масштабов последствий должна соотноситься со значениями показателей критериев значимости и для каждого показателя должна быть определена соответствующая категория значимости.

Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей и т. д.), оценка производится по каждому из значений показателя критериев значимости.

В случае если показатель критерия значимости неприменим для ИСиР или ИСиР не соответствует ни одному показателю и их значениям (оцененный масштаб ниже минимального показателя критерия значимости), категория значимости данной ИСиР не присваивается.