Определение ценности ресурсов. Ресурсы обычно подразделяются на несколько классов - например, физические, программные ресурсы, данные. Для каждого класса необходима своя методика определения ценности элементов, помогающая выбрать подходящий набор критериев.
Эти критерии служат для описания потенциального ущерба, связанного с нарушением конфиденциальности и целостности ИС, уровня ее доступности. Физические ресурсы оцениваются с точки зрения стоимости их замены или восстановления работоспособности. Эти стоимостные величины затем преобразуются в ранговую (качественную) шкалу, которая используется также для информационных ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, на основе определения затрат на их приобретение или восстановление [1]. Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, т. е. в стоимостном выражении.
Кроме критериев, учитывающих финансовые потери, коммерческие организации могут применять критерии, отражающие: 1. ущерб репутации организации; 2. неприятности, связанные с нарушением действующего законодательства; 3. ущерб для здоровья персонала; 4. ущерб, связанный с разглашением персональных данных отдельных лиц; 5. финансовые потери от разглашения информации; 6. финансовые потери, связанные с восстановлением ресурсов; 7. потери, связанные с невозможностью выполнения обязательств; 8. ущерб от дезорганизации деятельности.
Могут использоваться и другие критерии в зависимости от профиля организации. К примеру, в правительственных учреждениях прибегают к критериям, отражающим специфику национальной безопасности и международных отношений.