Ресурсы обычно подразделяются на несколько классов — например, физические, программные ресурсы, данные. Для каждого класса необходима своя методика определения ценности элементов, помогающая выбрать подходящий набор критериев. Эти критерии служат для описания потенциального ущерба, связанного с нарушением конфиденциальности и целостности ИС, уровня ее доступности.
Физические ресурсы оцениваются с точки зрения стоимости их замены или восстановления работоспособности. Эти стоимостные величины затем преобразуются в ранговую (качественную) шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление [1].
Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, т. е. в стоимостном выражении.
Кроме критериев, учитывающих финансовые потери, коммерческие организации могут применять критерии, отражающие:
- 1. ущерб репутации организации;
- 2. неприятности, связанные с нарушением действующего законодательства;
- 3. ущерб для здоровья персонала;
- 4. ущерб, связанный с разглашением персональных данных отдельных лиц;
- 5. финансовые потери от разглашения информации;
- 6. финансовые потери, связанные с восстановлением ресурсов;
- 7. потери, связанные с невозможностью выполнения обязательств;
- 8. ущерб от дезорганизации деятельности.
Могут использоваться и другие критерии в зависимости от профиля организации. К примеру, в правительственных учреждениях прибегают к критериям, отражающим специфику национальной безопасности и международных отношений.
