30 Августа, 2012

ПДн как управление рисками

Andrey Prozorov
На днях с коллегами в очередной раз рассуждали на тему персональных данных. Общая идея была в том, что мы рассматривали обработку и защиту ПДн с точки зрения рисков ИБ. А конкретнее, рассматривали саму проверку и возможные санкции в качестве угрозы и последствий, а саму ситуацию в качестве риска ИБ. Такой подход интересен хотя бы тем, что мы можем попытаться таким риском осознанно управлять: определить допустимый уровень риска и выбрать стратегию обработки. Мы можем:
  • Принять риск ("Ничего не будем делать, нас проверять не будут. Или, ничего не будем делать нет денег на это, да и санкции проще заплатить")
  • Избежать риска ("Перестаем обрабатывать ПДн (или переходим на обработку обезличенных ПДн), а необходимые процессы обработки ПДн (например, кадровый учет и бухгалтерия) передаем на аутсорсин, и пусть это будет их головная боль...")
  • Снизить риск ("Выполним все (или частично выполним) требования и рекомендации")
  • Переложить риск ("Договоримся с юристами/интеграторами/консультантами, чтобы в случае чего защищали нас в суде, вели переговоры с регулятором / быстро привели в соответствие").
Чтобы выбрать одну из приведенных выше стратегий обработки риска, мы должны его сперва оценить. Используем классическую формулу: вероятность события (в данном случае проверка) * ущерб (последствия).

Значит нужно определить вероятность и ущерб. Но и то и другое оценить не так-то и просто.

Про ущерб. Легче всего посчитать возможные штрафы (см.соответствующие статьи УК, ТК, КоАП), можем прикинуть и судебные издержки. Стоимость репутационного ущерба посчитать уже сложнее, как и моральный ущерб субъекту ПДн (кстати, именно моральный ущерб у нас в России если и выплачивается, то минимальный). А еще тут может быть "мифическая" приостановка деятельности организации, хотя я ни разу не сталкивался с таким на практике. Можно конечно еще попытаться учесть положения проектов законодательных документов о повышении штрафов до 1 000 000 рублей, про них коллеги писали не раз...

Про вероятность. Тут дело еще сложнее. Можно сразу сказать, что "компаний (юр.лиц) очень много, а регуляторов (сотрудников, проводящих проверку) очень мало", что и подтверждается официальной статистикой по проверкам, поэтому вероятность низкая (используем именно качественную оценку). Однако есть ряд факторов, которые влияют на эту вероятность.
Как мы знаем есть плановые и внеплановые проверки. При плановых проверках на вероятность проверки влияют факторы, повышающие внимание регуляторов к организации, например:
  • подано ли уведомление в РКН о начале обработки ПДн;
  • получена ли лицензии ФСТЭК Россиии / ФСБ России;
  • посылались ли письма в РКН, ФСТЭК России, ФСБ России с вопросом разъяснения положений требований по обработке и защите ПДн;
  • проводились ли в отношении организации проверки в последние годы (как по теме ПДн, так и по смежным темам).
При внеплановых проверках на вероятность влияет скорее активность самих субъектов ПДн, а точнее факторы, которые данную активность могут инициировать, например:
  • перечень типов субъектов (клиенты скорее будут жаловаться, чем, например, собственные сотрудники), чьи ПДн обрабатываются в организации; 
  • количество субъектов, чьи ПДн обрабатываются (чем больше народу, тем больше вероятность, что найдется такой "молодец", который напишет жалобу в РКН и инициирует проверку);
  • обрабатываются ли ПДн с целью продвижения товаров и услуг (не все люди любят получать спам-рассылки и звонки с рекламой);
  • наличие недобросовестной конкуренции. а точнее фактов ее проявления в прошлом (ваши конкуренты вполне могут попытаться инициировать проверку по ПДн в качестве конкретных субъектов ПДн)
Также можно учесть активность региональных отделений регуляторов. Тут можно смотреть официальную статистику, в каких федеральных округах проверяют чаще и кого.


Вот если вкратце, то как-то так. В данном случае не предлагаю какую-то законченную модель и решение, но само направление мысли, я думаю, понятно...


Таким образом к сообществу безопасников есть несколько вопросов/запрос совета:
  • Как уточнить и обосновать величину вероятности проверки?
  • Как лучше всего учесть возможный ущерб, на какие моменты обратить внимание?