Анализ вреда субъекту ПДн

Анализ вреда субъекту ПДн
Как мы знаем, согласно 5) ч. 1 ст. 18.1 152-ФЗ , оператор "может разработать" но "обязан представить" документ по оценке вреда субъекту ПДн в случае нарушения требований ФЗ (занятно, что вред субъекту уже наносит сам факт нарушения требований ФЗ, а не, к примеру, неправомерные действия с его ПДн),  а так же по соотношению вреда и предпринимаемых оператором мер.

Вот об этом документе я бы и хотел сегодня поговорить.






name='more'>
Простой и понятной методики оценки вреда на сегодняшний момент нет ни у нас, ни у них.
Поэтому "мы пойдём другим путём". (с) Ленин.
Первое с чего следует начать - это разделить вред субъектам от нарушения заданных характеристик безопасности. 
Если система у вас типовая - то характеристика безопасности у вас одна - конфиденциальность ПДн. Если система специальная - то может быть и 3: конфиденциальность, целостность и доступность.
Доступность
Ущерб от нарушения доступности персональных данных равен ущербу от приостановки процесса предоставления услуг субъекту ПДн и, как правило, прописывается в договоре. В лучшем случае, вам придется компенсировать время простоя услуги. Посчитать эту величину достаточно просто.
Целостность
Нарушение целостности - это несанкционированное уничтожение ПДн, обработка неправильных, либо неполных персональных данных. Степень ущерба тут, как правило, варьируется от минимального до максимального. Все зависит от типа предоставляемых вами услуг. Если вы лечите людей, то неправильный диагноз может человека и убить. Задайте себе вопрос "А что если персональные данные клиента будут неверными?" и постарайтесь выразить ответ в рублях.
Конфиденциальность
Оценить стоимость обрабатываемых персональных данных нелегко. Я предлагаю вам 3 подхода и  вы можете выбрать любой из них, либо 3 одновременно:
1. Нормативный
В соответствие с порядком классификации , класс системы привязывается к степени негативных последствий: 
  • К1 - значительные негативные последствия;
  • К2 - негативные последствия;
  • К3 - незначительные негативные последствия.

(к сожалению, подобная классификация не учитывает ситуацию, когда К1 отличается от К2 только количеством субъектов).
Прецедентная практика тут только нарабатывается. Конкретных судебных решений крайне мало. Поэтому для оценки вреда, я бы привязал негативные последствия, например, к телесным повреждениям. 
  • К1 - телесные повреждения средней тяжести. Средний штраф - 50 000т.р.;
  • К2 - незначительные телесные повреждения. Средний штраф - 25 000т.р.;
  • К3 - побои. 10 000т.р.

Учитывая, что за утечку локационных данных, Apple выплатила 932$  - 10-50 т.р. вполне адекватная сумма.
2. Рыночный
Давайте предположим, что стоимость ПДн определяется спросом на эти сведения на черном рынке. Найти аналоги вам поможет ачат , хакер , или местный ларёк с дисками "базы Москвы, России, ГИБДД, Налоговой" и т.д. Учтите, что доход продавца может быть в сотни раз больше стоимости базы.
3. Затратный
А что если ущерб от нарушения конфиденциальности ПДн приравнять к тем убыткам, которые понесет оператор? Пожалуй, это будет самая "реальная" оценка.
Если ПДн субъектов утекут, оператор будет вынужден:
  1. Уведомить субъекта персональных данных в 10 дневный срок ( ч.3 ст. 21 152-ФЗ ). Уведомить его необходимо заказным письмом (100р.) и звонком (15р), т.к. письмо за 10 дней может и не дойти. Письмо нужно составить, распечатать и упаковать в конверт - 35р. Итого - 150 рублей на субъекта минимум.
  2. Заплатить штраф за нарушение ст. 13.11 КоАП - 10 000 рублей;
  3. Устранить причину утечки, провести мероприятия по модернизации системы безопасности, аттестации или контролю эффективности.

Кроме того, репутации оператора так же будет нанесён ущерб и может снизиться стоимость бренда. Этот ущерб можно так же оценить в рублях.
Нужно так же иметь ввиду, что июльская поправка добавила в закон моральный вред , который не зависит от понесенных субъектом убытков и может составлять десятки тысяч рублей.

Соотношение вреда и предпринимаемых мер
Давайте посчитаем суммарный вред субъектам для базы данных клиентов (К3) из 20 000 записей.
1. нормативный - 200 000 000р.;
2. рыночный - стоимость базы - 30 000р. Доход продавца - 500 000р.;
3. затратный - 3 010 000р + затраты на модернизацию СИБ.

Допустим, что на создание системы защиты вы потратили 80 тысяч рублей. Самое время описать созданную СИБ, сделать вывод об оптимальном соотношении вреда и затрат и закончить документ :).

Alt text

Артем Агеев

root@itsec.pro:~#