Оценка опасности производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет три значения:
- низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
- средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
- высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Определение опасности угроз производится на основании Отчета о результатах проведения внутренней проверки.
Обобщенный список оценки опасности УБПДн для разных типов ИСПДн представлен в таблицах 24-33.