Ущерб - это материальные или финансовые потери, возникающие в результате реализации угрозы.
Ущерб можно определить как
U = Up + Uk
Ущерб от реализации угрозы может быть прямой (Up) и косвенный (Uk). Прямой ущерб определяется непосредственным определением величины влияния опасности на ресурс, процесс или объект в целом. Ущерб обычно определяется в денежных затратах.
Основной метод определения прямого ущерба заключается в определении трудозатрат на восстановление ресурса (процесса) при реализации угрозы.
Up = ∑ si * ti
где:
Косвенный ущерб определяется, как правило, методом экспертных оценок. К косвенному ущербу относятся:
Ущерб может также проявляться в различное время: сразу же после воздействия угрозы, через некоторое время после их воздействия и в более отдалённые сроки, чем период времени рассматриваемых угроз. Таким образом, ущерб, в некоторых случаях может быть отнесён к затратам будущих периодов экономической деятельности хозяйствующего субъекта.
Более подробная информация и подход по оценке ущерба от нарушения информационной безопасности доступна по ссылке