UBS | Публикации | Сколько на самом деле стоит защита персональных данных?

Сколько на самом деле стоит защита персональных данных?

© 2016 UBS


Вопрос «зачем (защищать персональные данные)?» не нов, и, к счастью, можно с уверенностью говорить, что ответ на него у абсолютного большинства руководителей уже не вызывает трудностей.
Намного более волнительным оказывается следующий традиционный вопрос - «сколько (стоит защитить персональные данные)?». Для руководителя «не в теме», то есть далёкого от ИТ/ИБ-консалтинга, количественные ориентиры стоимости проекта по созданию системы защиты персональных данных крайне размыты. Однако, если у руководителя нет подозрений о скорой проверке его организации контролирующими органами, его логика обычно формируется довольно простыми правилами: «авось пронесёт» и «чем дешевле – тем лучше».
Тут и консультанты-системные интеграторы не дают сосредоточиться: в пылу борьбы за очередной проект кто предлагает «стандартный комплект документов» за 15 тыс. руб, а кто только за документ с непонятным названием «модель угроз» просит полмиллиона. Разброс цен настолько велик, а пресловутое «качество» консалтинга настолько неосязаемо, что желание получить результаты, с которыми не страшна любая проверка, и при этом избежать ощущений, схожих с ощущениями выдоенной коровы, становится краеугольным.

Итак, как оценить сколько на самом деле может стоить комплексный проект по защите персональных данных?

Во-первых, следует оценить потери, которые имели бы место, если вообще ничего не делать, т. е. не защищать персональные данные и, как следствие, не исполнять требования законодательства РФ. Что может грозить организации и её руководству в случае неисполнения требований законодательства в области персональных данных? Приведём краткую сводку данных о санкциях, предусмотренных действующим законодательством РФ.

Законодательный акт Наименование статьи Санкции
Уголовный кодекс РФ, ст. 137 Нарушение неприкосновенности частной жизни Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации:
- Штраф до 200 000 руб
- Штраф в размере ЗП или иного дохода осуждённого за период до 18 мес
- Штраф до 200 000 руб
- Штраф в размере ЗП или иного дохода осуждённого за период до 18 мес
- Обязательные работы на срок до 360 ч
- Исправительные работы на срок до 1 года
- Принудительные работы на срок до 2 лет
- Принудительные работы на срок до 2 лет с лишением права занимать определенные должности на срок до 3 лет
- Принудительные работы на срок до 2 лет с лишением права заниматься определенной деятельностью на срок до 3 лет
- Арест на срок до 4 мес
- Лишение свободы на срок до 2 лет с лишением права занимать определенные должности на срок до 3 лет
- Лишение свободы на срок до 2 лет с лишением права заниматься определенной деятельностью на срок до 3 лет

То же деяние, но с использованием своего служебного положения:
- Штраф от 100 000 до 300 000 руб
- Штраф в размере ЗП или иного дохода осужденного за период от 1 до 2 лет
- Лишение права занимать определенные должности на срок от 2 до 5 лет
- Лишение права заниматься определенной деятельностью на срок от 2 до 5 лет
- Принудительные работы на срок до 4 лет
- Принудительные работы на срок до 4 лет с лишением права занимать определенные должности на срок до 5 лет
- Принудительные работы на срок до 4 лет с лишением права заниматься определенной деятельностью на срок до 5 лет
- Арест на срок до 6 мес
- Лишение свободы на срок до 4 лет с лишением права занимать определенные должности на срок до 5 лет
- Лишение свободы на срок до 4 лет с лишением права заниматься определенной деятельностью на срок до 5 лет
Уголовный кодекс РФ, ст. 140 Отказ в предоставлении гражданину информации Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан:
- Штраф в размере до 200 000 руб.
- Штраф в размере ЗП или иного дохода осужденного за период до 18 мес.
- Лишение права занимать определенные должности на срок от 2 до 5 лет
- Лишение права заниматься определенной деятельностью на срок от 2 до 5 лет
Уголовный кодекс РФ, ст. 171 Незаконное предпринимательство Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере:
- Штраф до 300 000 руб.
- Штраф в размере ЗП или иного дохода осужденного за период до 2 лет
- Обязательные работы на срок до 480 часов
- Арест на срок до 6 мес

То же деяние, но совершенное организованной группой и/или сопряженное с извлечением дохода в особо крупном размере:
- Штраф от 100 000 до 500 000 руб.
- Штраф в размере ЗП или иного дохода осужденного за период от 1 до 3 лет
- Принудительные работы на срок до 5 лет
- Лишение свободы на срок до 5 лет
- Лишение свободы на срок до 5 лет со штрафом в размере до 80 000 руб
- Лишение свободы на срок до 5 лет со штрафом в размере ЗП или иного дохода осужденного за период до 6 мес
Кодекс об административных правонарушениях РФ, ст. 5.27 Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права:
- Предупреждение
- Штраф на должностных лиц в размере от 1 000 до 5 000 руб
- Штраф на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от 1 000 до 5 000 руб
- Штраф на юридических лиц в размере от 30 000 до 50 000 руб
Кодекс об административных правонарушениях РФ, ст. 13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - Предупреждение
- Штраф на граждан в размере от 300 до 500 руб.
- Штраф на должностных лиц в размере от 500 до 1 000 руб.
- Штраф на юридических лиц в размере от 5 000 до 10 000 руб
Кодекс об административных правонарушениях РФ, ст. 13.12 Нарушение правил защиты информации Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации:
- Штраф на граждан в размере от 1 000 до 1 500 руб
- Штраф на должностных лиц в размере от 1500 до 2 500 руб
- Штраф на юридических лиц в размере от 15 000 до 20 000 руб

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации:
- Штраф на граждан в размере от 1 500 до 2 500 руб.
- Штраф на граждан в размере от 1 500 до 2 500 руб. с конфискацией несертифицированных средств защиты информации
- Штраф на должностных лиц в размере от 2 500 до 3 000 руб.
- Штраф на юридических лиц в размере от 20 000 до 25 000 руб.
- Штраф на юридических лиц в размере от 20 000 до 25 000 руб. с конфискацией несертифицированных средств защиты информации

Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации:
- Штраф на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от 2 000 до 3 000 руб
- Административное приостановление деятельности лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, на срок до 90 суток
- Штраф на должностных лиц в размере от 2 000 до 3 000 руб
- Штраф на юридических лиц в размере от 20 000 до 25 000 руб
- Административное приостановление деятельности юридических лиц на срок до 90 суток

Нарушение требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением вышеперечисленных случаев:
- Штраф на граждан в размере от 500 до 1 000 руб
- Штраф на должностных лиц в размере от 1 000 до 2 000 руб
- Штраф на юридических лиц в размере от 10 000 до 15 000 руб
Кодекс об административных правонарушениях РФ, ст. 19.5 Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства:
- Штраф на граждан в размере от 300 до 500 руб
- Штраф на должностных лиц в размере от 1 000 до 2 000 руб
- Дисквалификация должностного лица на срок до 3 лет
- Штраф на юридических лиц в размере от 10 000 до 20 000 руб

Невыполнение в установленный срок законного предписания, решения органа уполномоченного в области экспертного контроля, его территориального органа:
- Штраф на должностных лиц в размере от 5 000 до 10 000 руб
- Дисквалификация должностного лица на срок до 3 лет
- Штраф на юридических лиц в размере от 200 000 до 500 000 руб
Кодекс об административных правонарушениях РФ, ст. 19.20 Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии) Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии), если такое разрешение (лицензия) обязательно (обязательна):
- Предупреждение
- Штраф на граждан в размере от 500 до 1 000 руб
- Штраф на должностных лиц в размере от 30 000 до 50 000 руб
- Дисквалификация должностного лица на срок от 1 до 3 лет
- Штраф на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от 30 000 до 40 000 руб
- Административное приостановление деятельности лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, на срок до 90 суток
- Штраф на юридических лиц в размере от 170 000 до 250 000 руб
- Административное приостановление деятельности юридического лица на срок до 90 суток

Осуществление деятельности, не связанной с извлечением прибыли, с нарушением требований и условий, предусмотренных специальным разрешением (лицензией), если такое разрешение (лицензия) обязательно (обязательна):
- Предупреждение
- Штраф на граждан в размере от 300 до 500 руб
- Штраф на должностных лиц в размере от 15 000 до 25 000 руб
- Штраф на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от 5 000 до 10 000 руб
- Штраф на юридических лиц в размере от 100 000 до 150 000 руб

Осуществление деятельности, не связанной с извлечением прибыли, с грубым нарушением требований и условий, предусмотренных специальным разрешением (лицензией), если специальное разрешение (лицензия) обязательно (обязательна):
- Штраф на должностных лиц в размере от 20 000 до 30 000 руб
- Штраф на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от 10 000 до 20 000 руб
- Административное приостановление деятельности лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, на срок до 90 суток
- Штраф на юридических лиц в размере от 150 000 до 250 000 руб
- Административное приостановление деятельности юридического лица на срок до 90 суток

Таблица 1: Санкции за нарушение законодательства в области персональных данных

Понятно, что санкции могут суммироваться по совокупности нарушений.
Таким образом, сумма прямых (штрафы) и косвенных (упущенная выгода от дисквалификации, ареста или административного приостановления деятельности) финансовых потерь даст оценку существенной части стоимости проекта по защите персональных данных. Конечно, есть неопределённость в отношении того, какие именно нарушения «выпишут» проверяющие и какие именно санкции назначат, но это лишь должно добавлять азарта для решения задачи.
Вторым компонентом оценки стоимости является стоимость репутационных (имиджевых) потерь. Строго говоря, данный компонент значим лишь для публичных компаний, активно работающих на открытом рынке, у которых высока стоимость гудвилла (стоимостное выражение деловой репутации, равное разнице между покупной стоимостью компании и балансовой стоимостью её активов и пассивов). Для таких компаний огласка фактов несоблюдения законодательства страны ведения бизнеса может нанести значительный финансовый ущерб в виде упущенной выгоды при отказе их клиентов и партнёров от сделок и инвестиций. Количественная оценка таких потерь может представлять трудности, но выполнима с приемлемой погрешностью.
Третьим компонентом является стоимость устранения нарушений. Она складывается из прямых затрат на выполнение работ по устранению нарушений (которые можно выполнять собственными силами с труднопрогнозируемым результатом, а можно нанять тех же консультантов, некоторые из которых вполне уверенно ответят на запросы проверяющих) и косвенных затрат, связанных с отрывом трудовых ресурсов заказчика от свойственной им обычной высокопроизводительной деятельности, в которую, разумеется, не входит общение с проверяющими из Роскомнадзора, ФСТЭК или ФСБ.



Комментарии к статье принимаются по адресу info@ubs.ru.

Вопросы? Ответим в течение часа.