27 Августа, 2013

\"Универсальная\" формула расчета стоимости утечки ПДн

Andrey Prozorov
Мой недавний пост-рассуждение о величине возможного вреда субъекту ПДн  из-за утечки его ПДн поднял довольно интересную дискуссию. Одним из ключевых доводов моих коллег был "мы считаем слишком "среднюю температуру по больнице", к реальной жизни это не имеет отношение". Давайте теперь попробуем рассмотреть "универсальную" формулу, по которой можем посчитать вероятный ущерб для конкретной компании / конкретных субъектов ПДн. Я сделал удобный exel-файл, немного прокомментирую его.

Итак, шаг 1. Необходимо выделить в компании группу однотипных (одноценных) ПДн, ну или, если интересно, посчитать для каждого конкретного субъекта ПДн. Для большинства компаний будет достаточно выделить группы: "сотрудники", "ключевые сотрудники", "клиенты", ключевые клиенты", но можно и больше. Необходимость разделения обусловлена тем, что ценность ПДн разных субъектов различна (специалист и топ-менеджер; клиент, приносящий доход в 1000 рублей и клиент, приносящий 1000 000 рублей, и т.д.).

Шаг 2. Для конкретной группы нам уже не сложно посчитать коэффициент, который нам в дальнейшем пригодится, - среднюю ЗП (в нашем примере мы возьмем 30 000 руб.в месяц).

Для дальнейших расчетов мы будем рассматривать вероятность и ущерб от реализации следующих сценариев использования ПДн (про них я уже писал в  предыдущем посте ):
  • Переманивание сотрудника
  • Спам
  • Опубликование ПДн в открытом доступе
  • Криминал:
    • Кража личности
    • Доступ к финансам
    • Мошенничество
    • Грабеж/Разбой
Кстати, мы берем вероятность утечки ПДн - 100% (коэффициент D10), можете уменьшить...

Шаг 3. Дальше сложнее, нам надо определить (экспертно или на основании статистики) следующие коэффициенты:
  • Минут спама в день. Как часто и надолго ли будут отвлекать смс и другим спамом?
  • Средняя длительность предложений, в минутах. Если будет звонок с целью переманивания клиента, то сколько времени будут "уговаривать"?
  • Предложений в год (переманивание). Сколько раз позвонят за год?
Данные коэффициенты не особо показательны, ну тем не менее...

Шаг 4. Выбираем и проставляем вероятный ущерб за разглашение ПДн (коэффициент E20). Для большинства людей он будет 0 (обоснование приводил в прошлом посте), но для некоторого типа ПДн (например, личная переписка и заказы в интим-магазинах) его можно и увеличить. 

Шаг 5. Самое сложное. Нам необходимо высчитать вероятность реализации каждого типа угроз (коэффициенты D15, D18, D21, D26, D30, D34, D38). Свое мнение для примера привожу. 

Обратите внимание, что возможный ущерб я учитываю в зависимости от годового дохода, при необходимости эти коэффициенты можно поменять (D25, D29, D33, D37).

Итоговая таблица с результатами для моего примера:



Ссылка для стачивания итоговой таблицы в формате exel (чтобы можно было "поиграть" с коэффициентами). Формула довольно проста, но показательна, изменяя коэффициенты (отмечены желтым и оранжевым), можно посчитать вред для конкретного субъекта (группы субъектов) в зависимости от особенностей организации (отрасль, состав ПДн, инциденты и пр.). 

Теперь вопросы к читателям блога:
  1. Насколько оправдана идея привязки к средней ЗП при расчете ущерба? 
  2. Насколько удачно выбраны коэффициенты ущерба? Или их имеет смысл все же понизить?  
  3. Насколько точно выбрана величина вероятности? Может надо рассматривать меньше или больше? Каким образом можно ее лучше всего уточнить?


P.S. Данный пост скорее первая прикидка и наброски идей, а не готовая формула. Я прекрасно понимаю, что надо бы еще поуточнять коэффициенты...
или введите имя

CAPTCHA
Михайло
28 Августа, 2013
Практика показывает, что вероятности рисков слабо влияют на выбор мер защит. Это потому что вариантов мер защит немного и они сильно разнятся. Поэтому разумно начинать не с оценки риска, а с оценки затрат на защиты. Либо выполнять анализ чувствительности оптимального выбора от показателей рисков.
0 |
28 Августа, 2013
Требование оценки ущерба для субъектов есть в 152-ФЗ... Его и пытаемся прикинуть. Он, кстати, может повлиять на МУ со всеми вытекающими...
0 |
Михайло
28 Августа, 2013
И потом: защиту от переманивания сотрудников не выставить. Если сотрудник на грани сваливания из конторы, то с ним надо провести "очную работу по обеспечению лояльности к компании". )) Будьте трезвее, защита от спама не поможет в этом деле. За опубликование ПДн можно схватить штраф или потерять клиентов... Excel не смотрел.
0 |
28 Августа, 2013
Обратите внимание, что оценивается не ущерб оператора, а ущерб субъекта. Это принципиально разные вещи
0 |
Михайло
28 Августа, 2013
ну и наконец: эксперту по информационной безопасности следовало бы применять термины "опасность", "ущерб" вместо своих придуманных.
0 |
28 Августа, 2013
Какой термин считаете неверно использованным? Поясните.
0 |
Михайло
28 Августа, 2013
Вероятность реализации -> просто вероятность (можно считать, что у Вас образовалось сленговое такое словосочетание, произошедшее от "вероятность реализации рискового события" или что-то в этом роде) Вред -> Опасность (дело в том, что вред по своему смыслу - это скорее то же самое, что ущерб.)
0 |
28 Августа, 2013
вред и ущерб по смыслу скорее синонимы, но в данном случае я их сознательно разделяю. Это необходимо для того, чтобы вред считать по формуле: вред = вер.утечки*(сумма по сценариям(вер.использования*ущерб))
0 |
мишка на сервере
9 Сентября, 2013
почему бы не учитывать для вероятности реализации (там, где это возможно), реальную статистику по компании. Любая DLP-система сейчас умеет отслеживать персональные данные: регулярными выражениями, фингерпринтами и т.д. Тут уж как настроишь. Суть в том, что можно поднимать статистику, чтобы реально увидеть как часто и через какие каналы уходят данные.
0 |
Михайло
28 Августа, 2013
1. Насколько оправдана идея привязки к средней ЗП при расчете ущерба? 2. Насколько удачно выбраны коэффициенты ущерба? Или их имеет смысл все же понизить? 3. Насколько точно выбрана величина вероятности? Может надо рассматривать меньше или больше? Каким образом можно ее лучше всего уточнить? Исходя из Вашей практически 100%-й неопределенности можно сделать вывод, что ни один из показателей риска Вам неизвестен и не "почувствован на шкуре". Нужно собирать факты. Ведь риск - это не предположение, а реальные факты, реальные ущербы, наносимые компании в настоящем и в прошлом. У Вас что? Через аську сотрудников уводят?
0 |
28 Августа, 2013
Еще раз повторюсь, что считаем не ущерб компании, а субъекту. С фактами, как вы правильно заметили, пока сложнее. иЗ адекватной статистики есть только МВД и ЦБ, +экспертное мнение. В этом-то и проблема формулы, что вероятность реализации того или иного сценария надо бы уточнить... Принимаются предложения по снижению неопределенности.
0 |
Михайло
28 Августа, 2013
Взять, например, Криминал: - Доступ к финансамкак Вы собрались оценивать ущерб, если украсть бабки можно несколькими способами и из разных фондов? Там и вероятности разные. Нужно проводить декомпозицию рисков, разбивать на элементарные риски. А Вы как думали?
0 |
28 Августа, 2013
Да, все верно. Декомпозиция повышает точность, именно по этому рассмотрены 7 сценариев. Их, в принципе можно еще и дальше дробить, но это считаю не эффективным. Предлагаю остановиться на данном уровне. Он удобен. Например, если мы рассматриваем в качестве ПДн субъекта в составе только сканы паспортов, то вероятности "переманиавния" и "спам" будут равны 0, опубликование ПДн близко к 0, кража личности вероятность высокая, доступ к финансам 0, мошеничество минимальное (мало данных), грабеж\разбой тоже вероятность низкая. Ну, логика такая, можем оценивать исходя из конкретного состава ПДн.
0 |
28 Августа, 2013
В основнм посте еще много комментариев и обсуждение http://80na20.blogspot.ru/2013/08/blog-post_27.html
0 |
Amanda
31 Августа, 2013
Amanda
.Денег ни гроша, да слава хороша..
0 |
Daniel
31 Августа, 2013
Daniel
.Каков сват, таков и жених..
0 |
genilya
12 Декабря, 2013
А как оценить ущерб оператора от нарушения безопасности?
Вопрос в теме
0 |