Выбор единых критериев оценки защиты персональных данных

Романов Роман Николаевич

ГК ООО «Иннотех»

Менеджер проектов, MBA (Информационная безопасность, 2024 г., РАНХиГС)

Ключевые слова: защита персональных данных, информационная безопасность, критериальный подход

Процесс защиты персональных данных (ПДн), это комплекс мероприятий, включающий в себя как организационные, так и технические меры защиты информации в различных бизнес-процессах компании, направленных на достижение бизнес-целей, который не существует сам по себе. Бизнес-процесс защиты персональных данных не может существовать без заинтересованных сторон, которые мы выстроим в строгом порядке:
1. физического лица – Субъекта ПДн.
2. компании – Оператора ПДн;
3. государства, в лице регулятора и надзорных органов.
Данный порядок следует из того, что:
• физическое лицо, чьи ПДн мы собираем, обрабатываем и защищаем. Без него не может существовать сам бизнес-процесс;
• бизнес в лице компании, осуществляет сбор, обработку и хранение ПДн.
• государство, определяющее требования и правила сбора, обработки и хранения ПДн, закрепленных в государственных и нормативных актах, и является третьей стороной во взаимоотношениях между субъектом ПДн и компанией оператором ПДн.
Государственные контролирующие органы, как третья сторона взаимоотношений между компанией – Оператором ПДн и субъектом ПДн и как одна из заинтересованных сторон, должна быть на стороне субъекта ПДн в большей степени, так как именно субъект ПДн передавая свои ПДн бизнесу более всего незащищен и не может оказывать значительного влияния на процессы защиты и обработки ПДн в бизнесе.
Представим бизнес-процесс защиты ПДн в виде пирамиды (см. Рис.1):

Рис. 1 Пирамида бизнес-процесса защиты ПДн

• В основании пирамиды – уровень I представляет заинтересованные стороны (stakeholders), участвующие в данном процессе. Большую часть в основании пирамиды занимает государство, чуть меньшую компания – Оператор ПДн и самое минимальное – физическое лицо, то есть субъект ПДн.
• Уровень – II представляет каковы ожидания в достижении поставленной цели в БП у каждой заинтересованной стороны (способ достижения цели).
• Уровень – III представляет какое влияние на БП могут оказывать заинтересованные стороны, вовлеченные в БП (влияние на БП)
• Уровень – IV представляет какие ресурсы вносят в БП заинтересованные стороны (вклад в БП)
• Уровень – V это уровень, цели. Цель к чему стремится БП.
Две прямых линии (отсекающие линии), показывают каков вклад каждая заинтересованная сторона вносит, на каждом уровне пирамиды БП.
У БП защиты ПДн одна цель – защита ПДн, но способ достижения, различен и зависит от того, кто имеет большее влияние на данный БП.
Государство, в лице регулятора и надзорных органов оказывают весомое влияние на организацию БП защиты ПДн в компаниях – Операторах ПДн. Государство регламентирует требования к обработке и меры защиты ПДн.
Для государства, в лице регулятора и надзорных органов, цель – защита ПДн должны быть достигнута любой ценой.
Для компании – Оператора ПДн, важно, чтобы издержки при достижении цели в БП по защите ПДн были минимальны или были не столь значительными.
Для субъекта ПДн – данная цель просто должна быть достигнута по умолчанию.
Исходя их выше сказанного можно констатировать, что:
1. Компании – Операторы ПДн, обрабатывающие ПДн, обязаны выполнить требования государственного регулятора и надзорных органов (с учетом своих финансовых и человеческих ресурсов), не застрахованы от инцидентов информационной безопасности в форме утечек ПДн;
2. В настоящий момент процесс оценки защиты ПДн – основывается на полноте выполнения требований и мер по обеспечению безопасности ПДн, государственного регулятора и надзорных органов, компанией – Оператором ПДн.
3. Результат оценки защиты ПДн, проведенной в соответствии требованиям государственного регулятора и надзорных органов это критерий соответствия выполнения требований и мер по обеспечению безопасности ПДн.
4. В настоящее время не существует единых критериев оценки защиты ПДн, которые позволяют объективно оценить выстроенную защиту ПДн в компании – Операторе ПДн.
Критерии защиты ПДн могут отражать как качественные, так и количественные характеристики. В компании в качестве критериев оценки защиты ПДн могут быть приняты показатели и критерии оценки экономической безопасности с учетом специфики компании.
Сложность при формировании и выборе единых критериев заключается в том, что необходимо учитывать, множественность факторов. Среди которых можно выделить следующие факторы:
- степень взаимной интеграции информационных систем (ИС), в которых обрабатываются ПДн, между собой;
- распределенность ИСПДн;
- способы сбора и обработки ПДн в ИС;
- перечень обрабатываемых ПДн;
- цели и задачи обработки;
- уровень квалификации работников компании
и так далее.
Принятие единых критериев оценки БП защиты ПДн, достаточных для того, чтобы заинтересованные стороны, вовлеченные в БП были уверены в том, что обработка и защита собранных ПДн компанией – Оператором ПДн выполняются в соответствии с предъявляемыми к Оператору ПДн требованиями и с соблюдением интересов всех заинтересованных сторон. В этом случае единые критерии оценки защиты ПДн позволяют объективно оценить БП, устранив перекосы, существующие в настоящее время.
Какие методологии анализа информационной безопасности распространены в настоящее время? Можно выделить следующие:
- методология экспертной оценки;
- методология статистической оценки;
- методология факторного анализа.
Все вышеперечисленные методологии имеют одну крайне важную особенность. Результаты оценки зависят от квалификации экспертов. Следовательно методологии не лишены такого недостатка, как проблема интерпретации полученных результатов и субъективного фактора, с которыми приходится считаться.
Устранить проблему в интерпретации результатов оценки защиты ПДн, в том числе и субъективизм, позволяет критериальный подход (оценка на основе критериев). Критериальная оценка обладает рядом преимуществ перед другими, а именно:
1. позволяет сформировать четкие области оценки и возможность проведения сравнительного анализа, свести к минимуму или исключить полностью субъективность и предвзятость;
2. дает возможность воспроизвести данный процесс оценки в будущем на любом объекте;
3. провести оценку эффективности применяемых мер защиты количественно, используя бальную систему оценки.
Для формирования единых критериев оценки защиты ПДн наиболее подходящей будет применение экспертного многокритериального метода оценки/решений, который позволит выбрать среди множества возможных критериев оценки наиболее важные как для бизнеса, так и для заинтересованных сторон, вовлеченных в БП защиты ПДн.
На основе теории многокритериальной оценки принятия решений был разработан алгоритм, который позволил определить наиболее важные критерии защиты ПДн с учетом их ценности для каждой из заинтересованной стороны, подсчитать значение всех критериев, исключить критерии, которые имеют наименьшее значение для заинтересантов и проранжировать критерии оценки защиты ПДн (от максимального значения к минимальному).
В результате проделанной работы получен перечень оценочных критериев защиты ПДн:

Таблица 1
Итоговый список критериев оценки защиты ПДн
Данный перечень критериев, может быть принят всеми заинтересованными сторонами, отражает и дает представление на каком уровне находится процесс защиты ПДн в компании – Операторе ПДн.
Критерии можно назвать – едиными критериями оценки защиты ПДн. Данный перечень критериев можно разделить на две половины, которые в свою очередь будут состоять из групп критериев: организационно-правовой, нормативно-законодательной, карательно-правовой, общественное мнение и нарушения ИБ.
В первую половину входят критерии наиболее значимые для заинтересованных сторон (см. Таблицу 1, порядковые с 1 по 4) , во вторую половину вошли критерии, менее значимые (см. Таблицу 1, порядковые с 5 по 8).
Первая половина значимых критериев состоит из трех групп:
• 1 группа – организационно-правовая. К данной группе можно отнести следующие критерия как:
- соблюдение договорных взаимоотношений;
- права субъекта ПДн.
• 2 группа – нормативно-законодательная, состоящая из одного критерия;
- эффективность защиты ПДн (соблюдение требований Роскомнадзора, ФСТЭК России и ФСБ).
• 3 группа – карательно-правовая, состоящая из одного критерия:
- штрафы и возмещения вреда субъектам ПДн.
Критерии второй половины состоит из двух групп:
• 1 группа – общественное мнение, состоящая из трех критериев:
- репутация и доверие;
- политики конфиденциальности;
- ответственность и прозрачность.
• 2 группа – нарушения ИБ, состоящая только из одного критерия:
- количество утечек ПДн.
Взяв за основу полученные единые (оценочные) критерии защиты ПДн и проведя дополнительный анализ, был разработан алгоритм формирования комплексного интегрированного критерия оценки защиты ПДн. Комплексный интегрированный критерий получил наименование Рейтинг Процесса Защиты ПДн компании или РПЗ-ПДн.

Таблица 2
Подсчет рейтинга процесса защиты ПДн (РПЗ-ПДн) в компании – Операторе ПДн

В Таблице 2 представлен результат проведенного расчета максимального значения величины критерия РПЗ-ПДн. Значение критерия РПЗ-ПДн равному 14 баллам, соответствует взвешенной оценки равной 34.51 означает, что в компании – Операторе ПДн бизнес-процесс защиты ПДн выстроен и находится на самом высоком уровне.
Данный критерий, в свою очередь, позволяет провести сравнительную оценку бизнес-процесса защиты ПДн в различных компаниях (например, в компаниях одного холдинга), а также визуализировать полученные результаты, то есть сделать процесс проведенной оценки наглядным.
Например, мы можем представить какой % составляет тот или иной критерий в бизнес-процессе защиты ПДн, следовательно мы имеем представление, где компании – Оператору ПДн необходимо приложить усилия, для достижения наилучшего результата (см. Рис. 2). На рисунке 2 представлено оптимальное значение вклада всех критериев в значение комплексного интегрального критерия РПЗ-ПДн.

Рис. 2 Распределение значений критериев оценки защиты ПДн входящих в РПЗ-ПДн

Таким образом, предлагаемые единые критерии оценки защиты ПДн, позволяют нам получить объективную оценку бизнес-процесса защиты ПДн, с учетом требований всех заинтересованных сторон в достижении поставленной бизнес-цели.