Я уже писал о сценариях расчета стоимости инцидента с утечками данных. Одной из метрик является цена уведомления клиента об инциденте с его данными. В ст.21.4 ФЗ-152 такое требование тоже есть, но его мало кто оценивает и вообще предполагает выполнять. Но что, если… что если прикинуть, во сколько обойдется контакт с клиентом, чьи персональные данные пострадали от несанкционированного доступа или уничтожения? И можно ли это прикинуть заранее? Оказывается можно.
Я зашел на сайт «Почты России», на котором есть сервис автоматического рассчета почтовых отправлений (правда, рассчет делается при условии, что вы посылаете уведомление из Москвы). Итак вводим тип письма — заказное (заказное с уведомлением у меня почему-то не сработало). Затем указываем вес — около 20 грамм, способ доставки (я выбрал самый дешевый — наземный) и почтовый индекс получателя (для примера я брал Калининград и Владивосток). Оказалось, что стоимость такого отправления составляет около 30 рублей. Таким образом можно принять, что стоимость контакта с пострадавшим в России стоит около 1 доллара (без учета печати самого уведомления и покупки конверта). Осталось только умножить это на число клиентов и получить верхнюю границу потенциального ущерба от контакта с пострадавшими клиентами.
Вот мне объясните с приведенным примером почты почему берется расчет стоимости инцидента с утечками данных в соотв. с 152 ФЗ. Я насколько понимаю, тут имеет место гражданские правоотношения по вопросу возмещения ущерба за не предоставленную услугу, ну и возмещение морального вреда. Где взаимосвязь, и куда этот расчет потребуется в дальнейшем. Тем, более по почте могли передавать документы особой важности для предприятия(напр.), в котором может быть сорван контракт (оферта), и суммы тут могут быть уже тысячи рублей с этими 30 рублями
По ФЗ-152 вы обязаны уведомить клиента о факте нарушения его прав. Как уведомить, чтобы потом доказать факт уведомления? Заказным письмом. Потому так и считается. Разумеется, это только одна из статей затрат. Возмещение ущерба, затраты на расследование и устранение причин — это другие статьи затрат.
Пример получился красочный, но использовать его будет сложно.
Если взять определение Википедии (статистическое): стоимость — произведение цены товара на его количество. Вы просто подтвердили эту формулу, проблема в установлении составных частей стоимости инцидентов и их цен.
Пример получился красочный, но использовать его будет сложно.
Если взять определение Википедии (статистическое): стоимость — произведение цены товара на его количество. Вы просто подтвердили эту формулу, проблема в установлении составных частей стоимости инцидентов и их цен.
А сценарии расчета показаны в первичном сообщении?
Уведомлять можно электронной почте или путём размещения информации на сайте оператора. Доказать факт доставки уведомления не требуется, а доказать факт попытки уведомления: предъявить записи на сайте или копии отправленных электронных писем.
А потом клиент скажет, что его не уведомили и РКН запишет вам минус 😉
Не правильно понял статью, посчитав что утечка произошла по вине почты и почтовый клиентов. Подсчеты будут разные с учетом рода деятельности предприятия и их клиентов. Допустим утечка данных клиентов кабельного ТВ, кабельному предприятию не составит НИКАКИХ ЗАТРАТ делать уведомление на рекламных заставках и вставках. Есть еще обзвонка клиентов, СМС и т.п.. Думаю предприятия выберут самый дешевый вариант или бесплатный, так что вопрос стоимость инцидента существенно незначительный, не затратный … и не составит труда в расчетах
ЕвгенийКР, бесплатных не бывает, из указанных примеров это либо человеческие трудозатраты, которые можно было бы направить в другое русло (продажи, обслуживания клиентов), либо трата экранного времени, которое могло бы быть потрачено на рекламу.
и считать всё это не так уж и просто.
И опять же в разных ФЗ требования по способам уведомления. Например, в бумажном виде для госорганов.
Алексей, в указанной вами статье идет речь об уведомлении о прекращении обработки и уничтожении ПДн, а никак ни об инцидентах ИБ. В 152-ФЗ (к сожалению) нет норм, обязывающих оператора уведомлять субъекта в случае инцидента. Под "неправомерными действиями" понимаются именно действия оператора, нарушающие закон (если посмотреть п.1 этой же статьи)
Не согласен. Речь идет именно о неправомерных действиях с ПДн. Утечка произошла по причине невыполнения ст.19, а что это как не нарушение законодательства?..
Этот комментарий был удален автором.
Ну это спорное высказывание, хотя согласен, что притянуть можно попробовать. Однако при таком подходе извещать надо будет в любых ситуациях и когда была нарушена конфиденциальность, и целостность и доступность (что гораздо "круче" чем на западе, где оповещают только в случае нарушения конфиденциальности).
Ну почему спорно — это логично и соответствует мировой практике. Да и в Штатах уведомление идет тоже по факту инцидента, а не только по факту нарушения конфиденциальности. Просто самыми распространенными бывают именно утечки.