Security Lab

\"Универсальная\" формула расчета стоимости утечки ПДн

\"Универсальная\" формула расчета стоимости утечки ПДн
Мой недавний пост-рассуждение о величине возможного вреда субъекту ПДн  из-за утечки его ПДн поднял довольно интересную дискуссию. Одним из ключевых доводов моих коллег был "мы считаем слишком "среднюю температуру по больнице", к реальной жизни это не имеет отношение". Давайте теперь попробуем рассмотреть "универсальную" формулу, по которой можем посчитать вероятный ущерб для конкретной компании / конкретных субъектов ПДн. Я сделал удобный exel-файл, немного прокомментирую его.

Итак, шаг 1. Необходимо выделить в компании группу однотипных (одноценных) ПДн, ну или, если интересно, посчитать для каждого конкретного субъекта ПДн. Для большинства компаний будет достаточно выделить группы: "сотрудники", "ключевые сотрудники", "клиенты", ключевые клиенты", но можно и больше. Необходимость разделения обусловлена тем, что ценность ПДн разных субъектов различна (специалист и топ-менеджер; клиент, приносящий доход в 1000 рублей и клиент, приносящий 1000 000 рублей, и т.д.).

Шаг 2. Для конкретной группы нам уже не сложно посчитать коэффициент, который нам в дальнейшем пригодится, - среднюю ЗП (в нашем примере мы возьмем 30 000 руб.в месяц).

Для дальнейших расчетов мы будем рассматривать вероятность и ущерб от реализации следующих сценариев использования ПДн (про них я уже писал в  предыдущем посте ):
  • Переманивание сотрудника
  • Спам
  • Опубликование ПДн в открытом доступе
  • Криминал:
    • Кража личности
    • Доступ к финансам
    • Мошенничество
    • Грабеж/Разбой
Кстати, мы берем вероятность утечки ПДн - 100% (коэффициент D10), можете уменьшить...

Шаг 3. Дальше сложнее, нам надо определить (экспертно или на основании статистики) следующие коэффициенты:
  • Минут спама в день. Как часто и надолго ли будут отвлекать смс и другим спамом?
  • Средняя длительность предложений, в минутах. Если будет звонок с целью переманивания клиента, то сколько времени будут "уговаривать"?
  • Предложений в год (переманивание). Сколько раз позвонят за год?
Данные коэффициенты не особо показательны, ну тем не менее...

Шаг 4. Выбираем и проставляем вероятный ущерб за разглашение ПДн (коэффициент E20). Для большинства людей он будет 0 (обоснование приводил в прошлом посте), но для некоторого типа ПДн (например, личная переписка и заказы в интим-магазинах) его можно и увеличить. 

Шаг 5. Самое сложное. Нам необходимо высчитать вероятность реализации каждого типа угроз (коэффициенты D15, D18, D21, D26, D30, D34, D38). Свое мнение для примера привожу. 

Обратите внимание, что возможный ущерб я учитываю в зависимости от годового дохода, при необходимости эти коэффициенты можно поменять (D25, D29, D33, D37).

Итоговая таблица с результатами для моего примера:



Ссылка для стачивания итоговой таблицы в формате exel (чтобы можно было "поиграть" с коэффициентами). Формула довольно проста, но показательна, изменяя коэффициенты (отмечены желтым и оранжевым), можно посчитать вред для конкретного субъекта (группы субъектов) в зависимости от особенностей организации (отрасль, состав ПДн, инциденты и пр.). 

Теперь вопросы к читателям блога:
  1. Насколько оправдана идея привязки к средней ЗП при расчете ущерба? 
  2. Насколько удачно выбраны коэффициенты ущерба? Или их имеет смысл все же понизить?  
  3. Насколько точно выбрана величина вероятности? Может надо рассматривать меньше или больше? Каким образом можно ее лучше всего уточнить?


P.S. Данный пост скорее первая прикидка и наброски идей, а не готовая формула. Я прекрасно понимаю, что надо бы еще поуточнять коэффициенты...
Метрики ПДн
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Andrey Prozorov

Информационная безопасность в России и мире