Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение В
(справочное)
Оценка активов
Оценка активов организации является важным этапом в общем процессе анализа риска. Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность. Чтобы выполнить оценку активов, организация сначала должна провести инвентаризацию своих активов. Для обеспечения полного учета активов часто полезно сгруппировать их по типам, например информационные активы, активы программного обеспечения, физические активы и услуги. Целесообразно также назначить "владельцев" активов, которые будут нести ответственность за определение их ценности.
Следующий этап - согласование масштабов оценки, которая должна быть произведена, и критериев определения конкретной стоимости активов. Из-за разнообразия активов большинства организаций весьма вероятно, что некоторые активы из тех, что могут быть оценены в денежных единицах, будут оцениваться в местной валюте, в то время как другие активы могут оцениваться по качественной шкале в диапазоне от "очень низкой" до "очень высокой" цены. Решение использовать количественную или качественную оценку принимает конкретная организация, но при этом выбранный тип оценки должен соответствовать подлежащим оценке активам. Для одного и того же актива могут быть использованы также оба типа оценки.
Типичными терминами, используемыми для качественной оценки ценности активов, являются: "пренебрежимо малая", "очень малая", "малая", "средняя", "высокая", "очень высокая", "имеющая критическое значение". Выбор и диапазон терминов, являющихся подходящими для данной организации, в значительной степени зависят от потребностей организации в безопасности, величины этой организации, а также других, специфичных для данной организации факторов.
Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. С этим часто бывают связаны наиболее сложные аспекты оценки активов, поскольку ценность некоторых из них приходится определять субъективно. Поэтому для определения ценности активов целесообразно привлекать достаточно большое число разных людей. Возможны следующие критерии определения ценности активов: первоначальная стоимость актива, стоимость его обновления или воссоздания. Ценность актива может также носить нематериальный характер, например цена доброго имени или репутации компании.
Другой подход к оценке активов основывается на затратах, понесенных по причине утраты конфиденциальности, целостности или доступности вследствие происшедшего инцидента. Применение подобных оценок предоставляет три важных фактора ценности актива в дополнение к стоимости воссоздания актива, основанной на оценках потенциального ущерба или неблагоприятного воздействия на деловую деятельность в результате происшедшего инцидента нарушения безопасности с предполагаемым набором обстоятельств. Следует подчеркнуть, что этот подход учитывает ущерб и другие затраты, связанные с воздействием, которые являются необходимыми для введения соответствующих факторов при оценке риска.
Многие активы могут в процессе оценки иметь несколько присвоенных им ценностей. Например бизнес-план может быть оценен на основе трудозатрат на его разработку или на введение данных, или ценности для конкурента. Весьма велика вероятность того, что значения этих ценностей будут значительно отличаться друг от друга. Присвоенная ценность актива может быть максимальной из всех возможных ценностей или суммой некоторых или всех возможных ценностей. При окончательном анализе необходимо тщательно определить итоговую ценность актива, поскольку от нее зависит объем ресурсов, необходимых для обеспечения защиты данного актива.
В конечном счете все оценки активов должны проводиться на основе общего подхода. Это может быть сделано при помощи следующих критериев, которые могут использоваться для оценки возможного ущерба от потери конфиденциальности, целостности или доступности активов:
- нарушение законов и/или подзаконных актов;
- снижение эффективности бизнеса;
- потеря престижа/негативное воздействие на репутацию;
- нарушение конфиденциальности личных данных;
- необеспеченность личной безопасности;
- негативный эффект с точки зрения обеспечения правопорядка;
- нарушение конфиденциальности коммерческой информации;
- нарушение общественного порядка;
- финансовые потери;
- нарушение деловых операций;
- угроза охране окружающей среды.
Перечисленные выше примеры критериев оценки могут быть использованы для оценки активов. Для выполнения оценок организация должна выбирать критерии, соответствующие типу ее деловой деятельности и установленным требованиям по обеспечению безопасности. Поэтому некоторые из вышеперечисленных критериев оценки могут оказаться неприменимыми, тогда как другие могут быть добавлены к данным критериям оценки.
После выбора подходящих критериев организация должна договориться о шкале оценки, которая будет использоваться во всей организации. Первым шагом должно быть установление числа используемых уровней. Правил для установления наиболее подходящего числа уровней не существует. Большее число уровней обеспечивает более высокую степень детализации, но иногда слишком тонкое дифференцирование затрудняет оценку активов организации. Обычно число уровней оценки находится в диапазоне от трех (например "малая", "средняя" и "высокая" ценность) до десяти при условии, что это совместимо с подходом организации к общему процессу оценки риска.
Кроме того, организация может устанавливать собственные пределы ценности активов (например "малая", "средняя" и "высокая"). Эти пределы должны быть оценены по выбранным критериям, например, возможные финансовые потери следует оценивать в денежных единицах, тогда как при оценке по критерию угрозы для личной безопасности оценка в денежных единицах окажется непригодной. В конечном счете организация сама должна решить, какой ущерб считать малым, а какой - большим. Ущерб, который может стать бедственным для маленькой организации, для очень крупной организации может быть сочтен малым или даже пренебрежимо малым.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.