Мой недавний пост-рассуждение о величине возможного вреда субъекту ПДн из-за утечки его ПДн поднял довольно интересную дискуссию. Одним из ключевых доводов моих коллег был "мы считаем слишком "среднюю температуру по больнице", к реальной жизни это не имеет отношение". Давайте теперь попробуем рассмотреть "универсальную" формулу, по которой можем посчитать вероятный ущерб для конкретной компании / конкретных субъектов ПДн. Я сделал удобный exel-файл, немного прокомментирую его.
Итак, шаг 1. Необходимо выделить в компании группу однотипных (одноценных) ПДн, ну или, если интересно, посчитать для каждого конкретного субъекта ПДн. Для большинства компаний будет достаточно выделить группы: "сотрудники", "ключевые сотрудники", "клиенты", ключевые клиенты", но можно и больше. Необходимость разделения обусловлена тем, что ценность ПДн разных субъектов различна (специалист и топ-менеджер; клиент, приносящий доход в 1000 рублей и клиент, приносящий 1000 000 рублей, и т.д.).
Шаг 2. Для конкретной группы нам уже не сложно посчитать коэффициент, который нам в дальнейшем пригодится, - среднюю ЗП (в нашем примере мы возьмем 30 000 руб.в месяц).
Для дальнейших расчетов мы будем рассматривать вероятность и ущерб от реализации следующих сценариев использования ПДн (про них я уже писал в предыдущем посте ):
- Переманивание сотрудника
- Спам
- Опубликование ПДн в открытом доступе
- Криминал:
- Кража личности
- Доступ к финансам
- Мошенничество
- Грабеж/Разбой
Шаг 3. Дальше сложнее, нам надо определить (экспертно или на основании статистики) следующие коэффициенты:
- Минут спама в день. Как часто и надолго ли будут отвлекать смс и другим спамом?
- Средняя длительность предложений, в минутах. Если будет звонок с целью переманивания клиента, то сколько времени будут "уговаривать"?
- Предложений в год (переманивание). Сколько раз позвонят за год?
Данные коэффициенты не особо показательны, ну тем не менее...
Шаг 4. Выбираем и проставляем вероятный ущерб за разглашение ПДн (коэффициент E20). Для большинства людей он будет 0 (обоснование приводил в прошлом посте), но для некоторого типа ПДн (например, личная переписка и заказы в интим-магазинах) его можно и увеличить.
Шаг 5. Самое сложное. Нам необходимо высчитать вероятность реализации каждого типа угроз (коэффициенты D15, D18, D21, D26, D30, D34, D38). Свое мнение для примера привожу.
Обратите внимание, что возможный ущерб я учитываю в зависимости от годового дохода, при необходимости эти коэффициенты можно поменять (D25, D29, D33, D37).
Итоговая таблица с результатами для моего примера:
Ссылка для стачивания итоговой таблицы в формате exel (чтобы можно было "поиграть" с коэффициентами). Формула довольно проста, но показательна, изменяя коэффициенты (отмечены желтым и оранжевым), можно посчитать вред для конкретного субъекта (группы субъектов) в зависимости от особенностей организации (отрасль, состав ПДн, инциденты и пр.).
Теперь вопросы к читателям блога:
- Насколько оправдана идея привязки к средней ЗП при расчете ущерба?
- Насколько удачно выбраны коэффициенты ущерба? Или их имеет смысл все же понизить?
- Насколько точно выбрана величина вероятности? Может надо рассматривать меньше или больше? Каким образом можно ее лучше всего уточнить?
P.S. Данный пост скорее первая прикидка и наброски идей, а не готовая формула. Я прекрасно понимаю, что надо бы еще поуточнять коэффициенты...
