Как мы знаем, согласно 5) ч. 1 ст. 18.1 152-ФЗ, оператор "может разработать" но "обязан представить" документ по оценке вреда субъекту ПДн в случае нарушения требований ФЗ (занятно, что вред субъекту уже наносит сам факт нарушения требований ФЗ, а не, к примеру, неправомерные действия с его ПДн), а так же по соотношению вреда и предпринимаемых оператором мер.
Вот об этом документе я бы и хотел сегодня поговорить.
Простой и понятной методики оценки вреда на сегодняшний момент нет ни у нас, ни у них.
Поэтому "мы пойдём другим путём". (с) Ленин.
Первое с чего следует начать - это разделить вред субъектам от нарушения заданных характеристик безопасности.
Если система у вас типовая - то характеристика безопасности у вас одна - конфиденциальность ПДн. Если система специальная - то может быть и 3: конфиденциальность, целостность и доступность.
Доступность
Ущерб от нарушения доступности персональных данных равен ущербу от приостановки процесса предоставления услуг субъекту ПДн и, как правило, прописывается в договоре. В лучшем случае, вам придется компенсировать время простоя услуги. Посчитать эту величину достаточно просто.
Целостность
Нарушение целостности - это несанкционированное уничтожение ПДн, обработка неправильных, либо неполных персональных данных. Степень ущерба тут, как правило, варьируется от минимального до максимального. Все зависит от типа предоставляемых вами услуг. Если вы лечите людей, то неправильный диагноз может человека и убить. Задайте себе вопрос "А что если персональные данные клиента будут неверными?" и постарайтесь выразить ответ в рублях.
Конфиденциальность
Оценить стоимость обрабатываемых персональных данных нелегко. Я предлагаю вам 3 подхода и вы можете выбрать любой из них, либо 3 одновременно:
1. Нормативный
В соответствие с порядком классификации, класс системы привязывается к степени негативных последствий:
- К1 - значительные негативные последствия;
- К2 - негативные последствия;
- К3 - незначительные негативные последствия.
(к сожалению, подобная классификация не учитывает ситуацию, когда К1 отличается от К2 только количеством субъектов).
Прецедентная практика тут только нарабатывается. Конкретных судебных решений крайне мало. Поэтому для оценки вреда, я бы привязал негативные последствия, например, к телесным повреждениям.
- К1 - телесные повреждения средней тяжести. Средний штраф - 50 000т.р.;
- К2 - незначительные телесные повреждения. Средний штраф - 25 000т.р.;
- К3 - побои. 10 000т.р.
Учитывая, что за утечку локационных данных, Apple выплатила 932$ - 10-50 т.р. вполне адекватная сумма.
2. Рыночный
Давайте предположим, что стоимость ПДн определяется спросом на эти сведения на черном рынке. Найти аналоги вам поможет ачат, хакер, или местный ларёк с дисками "базы Москвы, России, ГИБДД, Налоговой" и т.д. Учтите, что доход продавца может быть в сотни раз больше стоимости базы.
3. Затратный
А что если ущерб от нарушения конфиденциальности ПДн приравнять к тем убыткам, которые понесет оператор? Пожалуй, это будет самая "реальная" оценка.
Если ПДн субъектов утекут, оператор будет вынужден:
- Уведомить субъекта персональных данных в 10 дневный срок (ч.3 ст. 21 152-ФЗ). Уведомить его необходимо заказным письмом (100р.) и звонком (15р), т.к. письмо за 10 дней может и не дойти. Письмо нужно составить, распечатать и упаковать в конверт - 35р. Итого - 150 рублей на субъекта минимум.
- Заплатить штраф за нарушение ст. 13.11 КоАП - 10 000 рублей;
- Устранить причину утечки, провести мероприятия по модернизации системы безопасности, аттестации или контролю эффективности.
Кроме того, репутации оператора так же будет нанесён ущерб и может снизиться стоимость бренда. Этот ущерб можно так же оценить в рублях.
Нужно так же иметь ввиду, что июльская поправка добавила в закон моральный вред, который не зависит от понесенных субъектом убытков и может составлять десятки тысяч рублей.
Соотношение вреда и предпринимаемых мер
Давайте посчитаем суммарный вред субъектам для базы данных клиентов (К3) из 20 000 записей.
1. нормативный - 200 000 000р.;
2. рыночный - стоимость базы - 30 000р. Доход продавца - 500 000р.;
3. затратный - 3 010 000р + затраты на модернизацию СИБ.
Допустим, что на создание системы защиты вы потратили 80 тысяч рублей. Самое время описать созданную СИБ, сделать вывод об оптимальном соотношении вреда и затрат и закончить документ :).
На счет доступности. Не всегда недоступность ПДн и недоступность услуги - это одно и тоже.
ОтветитьУдалитьС другой стороны не со всеми субъектами есть договор. Может быть например госучреждение которое обязано оказать услугу - выдать справку, перечислить субсидию и т.п.
Например какой ущерб если ГИБДД в течении недели не сможет оказывать услугу по регистрации автомобилей?
Может быть 0, а может быть 100 тыщ млн?
2 подход - это оценка стоимости данных со стороны преступников. Если сворованную картину или бриллиант преступник может продать только за 100 тыс, это не значит что исходно картина не могла стоить 10 млн.
ОтветитьУдалить3 подход - ущерб оператору не всегда соизмерим с ущербом субъекту. Особенно если речь идет об утечке ценных данных по малому количеству субъектов.
Например, если медицинская компания разгласила что Президент РФ употребляет лечится от наркомании или организация проводящая исследования на полиграфе разгласила что губернатор берет взятки?
Убытки оператора и ущерб субъекту будут не сравнимы.
Надеюсь, в случае с ГИБДД ущерб будет равняться 2 звездочкам с погонов :)
ОтветитьУдалитьОценка ущерба - дело очень сложное и запутанное. Моя задача была дать максимально простой подход, который подошел бы большинству операторов.
Согласен, результаты по 2 и 3 подходу дают заниженную оценку, однако полученные цифры все равно выглядят достаточно убедительно.
Закон не обязывает оператора проводить КОЛИЧЕСТВЕННУЮ оценку вреда, идем по пути регулятора (трехглавый приказ) и оцениваем качественно.
ОтветитьУдалитьЗакон про качественную оценку ничего не говорит. Результат оценки нужно соотносить с принятыми мерами и есть только один способ это сделать =)
ОтветитьУдалитьимхо важная часть данного анализа - показать руководству сколько стоят пдн и какие затраты может понести оператор.
Вот именно что может. А может и не понести. Все очень индивидуально. В условиях бардака в законодательстве оценка вреда - очередная химера. Реальная защита ПДн осуществляется там, где это актив, ценный для бизнеса оператора (клиентская база, например), а не виртуальные убытки вследствии призрачного вреда субъекту.
ОтветитьУдалитьв случае с ЖКХ, здравоохранением и т.д. конфиденциальность пдн не является для оператора сколь-либо ценной. А вот для субъекта эти сведения зачастую важно держать в тайне.
ОтветитьУдалитьхоть в законодательстве и бардак, но требование есть и исполнять его нужно. Краснодарский РКН уже подобный документ запрашивает.
А есть ли рыба данного документа у кого?
ОтветитьУдалить