Оценка вреда - Форум по вопросам информационной безопасности

Уважаемые форумчане,Здравствуйте! обращение к людям с опытом...как вы понимали градацию оценки вреда субъектов персональных данных...т.е что значит низкий, средний, высокий.....высокий - ясно..там может угроза жизни или финансовые потери...я так понимаю...а низкий и средний чем регулируются....уже на многих форумах читал про данный вопрос - но там так и не пришли к единому мнению....так чем же измерять этот уровень вреда (возможного к тому-же)....
P/S. спасибо за вашу помощь и отзывчивость!!!

Оценить вред можно на основании мнения экспертов.
Соберите таких людей, пусть они прозасидают, примут решенгие, которое оформят в виде протокола/заключения.

А так, всё относительно.
Например, в случае какой-нибудь бытовой кражи (украли санки из общего коридора) следователь будет спрашивать, как Вы оцениваете нанесенный ущерб, значительный, незначительный и т.п.

to Влад:

Это я понимаю.Ну вот соберу людей (уже готов) - сядут они и задам вопрос: Господа, давайте подумаем какой возможный вред нанесет нарушение конфиденциальности/целостности/доступности ПДн ваших субъектов....и молчание))) это знаете как тяжкие и особо тяжкие телесные повреждения можно оценить (исходя из состояния здоровья после увечий) а в случае с этим...неясно какими именно факторами регулироваться...первый вопрос который зададут на заседании - а какими методами мы оцениваем этот ущерб? нигде не написано или я что-то пропустил...я то могу и сам сказать - будет у нас низкий уровень вреда...а проверка придет и спросит все равно а чем вы регулировались при принятии решения?)

Так и отвечайте - экспертным мнением!
Никакой методики нет по оценке вреда. В законе сказано - надо оценить, вы и оценили, а как - это уже никого не должно волновать.
p.s. Конечно, это не значит, что надо везде поставить низкую оценку вреда)

Опять проблемы на пустом месте. Находите самую "вредную" часть ущерба для своей ИС. Например, раскрытие в общем доступа бдсм-наклонностей руководителя (если "ИСПДн сотрудников) или 100500кк-иск от особо ретивой группы населения (если "ИСПДн не сотрудников"). Принимаете ее за 100%. Остальные рассматриваете по аналогии, ввода собственную шкалу показателей. Итого, к примеру: 0 - вообще ущерба нет (такого не бывает, ага), 1 - 40 - низкая степень, 41 - 70 - средняя, остальное - высокая. Оформляете (и введенную шкалу, и результаты) отдельным протоколом или приложением к ЧМУ - profit!

ЗЫ А потом понимаете, насколько это все субъективно и, грубо говоря, вилами по воде. Также понимаете, почему ФСТЭК обычно просто "спрашивает" ЧМУ, а не читает ее выводы (желательно, чтобы с кучей подписей, потому что миллионы мух... и далее по тексту). В конце понимаете, что все это профанация (как обычно) и, либо уходите из сей стези, либо начинаете формировать собственные методы и методики, основываясь на опыте и нормальной литературе, ага...

ЗЗЫ И через пару лет мучительных поисков оптимальной методики вновь перечитываете Методдокумент ФСТЭК 2008 (его, чувствую, никогда не отменят и не переиздадут) и с ужасом понимаете, что в нем речь шла не об "оценке вреда субъекту ПДн", а об "опасности реализации УБИ", что суть разные вещи. Достаете табельное (чужое) и стреляетесь в темной комнате без свидетелей, оставив посмертную записку в стиле "в моей смерти прошу винить ФЗ-152". Чтобы потомки на этой основе родили новый документ уже с "оценкой вреда", приняв ваши действия за означенные выше 100%...

to oko:

В том то и дело...сталкиваясь с нашим законотворчеством иногда спрыгнуть с окна хочется.....пишут одно - а как реализовать....гадайте...спасибо Вам большое! не подумайте плохо, просто в этом направлении недавно. и иногда возникает ситуация - куда идти знаю, а дороги не вижу) поэтому прошу тут советов у Вас) еще раз спасибо за Вашу помощь не в первый и надеюсь не в последний раз))

Анекдот в тему:
— Я — свободный художник! Я так вижу! Я создаю абстракции. Асимметричные фигуры, понятные только моему творческому видению. — Простите, а вы точно "Законодательный орган"?..)))))

Artem:

да-да)))) вот именно)

Коллеги, а если на АРМ допустим хранятся сведения по присяжным, участвующим в судебных делах (особо тяжких в том числе) я так понимаю там уже должен быть высокий уровень вреда, т.к утечка (нарушение конфиденциальности) может повлечь физический вред субъектам ПДн, я правильно понимаю?

to monk1818
Не люблю цитировать сам себя, но, черт побери: <...перечитываете Методдокумент ФСТЭК 2008 ... и с ужасом понимаете, что в нем речь шла не об "оценке вреда субъекту ПДн", а об "опасности реализации УБИ", что суть разные вещи>...
Это в Проекте Методики 2015 есть понятие "оценки вреда" (и то в контексте морального и социального вреда, т.е. не всегда и не всем, ага). А для ИСПДн Проект 2015 не указ, пользоваться де юре надо 2008 Методикой. Вот если у вас ГИС/иная ИС, тогда... и то, не 100%, потому что "ПРОЕКТ"...