2.2. Расчет затрат на создание и поддержку сзпДн
Данные по временным и денежным затратам на создание СЗПДн на 100 ЭВМ, обрабатывающих ПДн, в разрезе этапов работ представлены таблице 1 (стоимость определялась на основе анализа цен услуг группы крупнейших системных интеграторов в области защиты информации).
Суммарные затраты на ежегодную замену оборудования по причине выхода из строя согласно формуле (1) составят:
Средняя заработная плата специалиста по защите информации с необходимым уровнем квалификации составляет 300 000 рублей в год.
Затраты на заработную плату специалиста по защите информации в штате оператора ПДн согласно формуле (2) составят:
Суммарные затраты на страховые взносы в Пенсионный фонд России, Фонд социального страхования России, Фонды обязательного медицинского страхования в год согласно формуле (3) составят:
Таблица 1.Затраты на создание СЗПДн
Наименование этапа |
Трудоемкость, дни |
Сумма, рубли |
Информационное и техническое обследование |
5 |
35 000,00 |
Разработка модели угроз и нарушителей безопасности ПДн |
3 |
35 000,00 |
Классификация ИСПДн |
1 |
5 000,00 |
Разработка Технического задания на создание системы защиты ПДн |
3 |
25 000,00 |
Разработка технического проекта СЗПДн |
3 |
50 000,00 |
Разработка комплекта корпоративных документов по защите ПДн |
5 |
50 000,00 |
Согласование разработанной системы защиты ПДн в ИСПДн |
2 |
0,00 |
Поставка СЗИ |
22 |
1 430 000,00 |
Проведение пуско-наладочных работ |
20 |
300 000,00 |
Итого: |
64 |
1 930 000,00 |
Данные по временным и денежным затратам на поддержку СЗПДн приведены в таблице 2.
Таблица 2. Затраты на поддержку СЗПДн
Наименование |
Стоимость, руб. |
Затраты на замену оборудования по причине выхода из строя |
60 000,00 |
Расходы на оплату труда специалисту в штате организации |
330 000,00 |
Затраты на страховые взносы |
112 200,00 |
Стоимость поддержки СЗПДн в течении года |
502 200 |
Затраты на реализацию СЗПДн и на её поддержку в течении 3 лет составляют:
Глава 3. Оценка регуляторных рисков и расчет экономической эффективности проекта сзпДн
Основой для оценки рисков в отношении оператора ПДн являются нормы законодательства, представленные в таблице 3.
Таким образом, несоблюдение требований регулирующих органов в области защиты ПДн может повлечь наложение на оператора ПДн штрафа до 145 000 рублей единовременно, а так же может быть возложена обязанность денежной компенсации вреда субъекту ПДн, последовать конфискация несертифицированных средств защиты, приостановление или прекращение обработки персональных данных.
После выявление нарушений оператору ПДн будет выписано предписание с указанием сроков и необходимых мер по их устранению. По наступлению указанных в предписании сроков по выполнению требований, будет произведена проверка на их исполнение. В случае отрицательного результата, будут повторно применены санкции к оператору ПДн и выписано очередное предписание.
В таком случае, потенциальные финансовые потери за период 3 лет будут составлять:
,
(6)
где П – потенциальные финансовые потери за счет регуляторных рисков за период 3 года;
I – размер возможного штрафа со стороны регулирующих органов в год, в случае отсутствия СЗПДн;
M – размер денежной компенсации субъекту ПДн в год, учитывая наличие в базах данных оператора ПДн 100 000 субъектов ПДн;
K – финансовые потери в случае конфискации несертифицированных средств защиты информации в год.
Таблица 3. Оценка регуляторных рисков в отношении оператора ПДн
Источник |
Номер статьи |
Содержание статьи |
Ожидаемая величина ущерба |
ФЗ №152-ФЗ |
23 |
Уполномоченный орган по защите прав субъектов персональных данных имеет право: 4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона. |
Недополученный доход от бизнес процессов, связанных с работой ИСПДн. Ущерб репутации |
ТК РФ |
237 |
Моральный вред, причиненный работнику неправомерными действиями или бездействием работодателя, возмещается работнику в денежной форме в размерах, определяемых соглашением сторон трудового договора. В случае возникновения спора факт причинения работнику морального вреда и размеры его возмещения определяются судом независимо от подлежащего возмещению имущественного ущерба. |
Сумма возмещения морального ущерба |
ГК РФ |
151 |
Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. При определении размеров компенсации морального вреда суд принимает во внимание степень вины нарушителя и иные заслуживающие внимания обстоятельства. Суд должен также учитывать степень физических и нравственных страданий, связанных с индивидуальными особенностями лица, которому причинен вред. |
Сумма возмещения морального ущерба |
ГК РФ |
152.1 |
Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии – с согласия родителей. Такое согласие не требуется в случаях, когда: 1) использование изображения осуществляется в государственных, общественных или иных публичных интересах; 2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования; 3) гражданин позировал за плату. |
|
КоАП РФ |
5.27 |
Нарушение законодательства о труде и об охране труда влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, – от одной тысячи до пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц – от тридцати тысяч до пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток. |
50 тыс. руб. |
КоАП РФ |
13.11 |
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от пятисот до одной тысячи рублей; на юридических лиц – от пяти тысяч до десяти тысяч рублей. |
10 тыс.руб. |
КоАП РФ |
13.12 |
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), – влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от одной тысячи до двух тысяч рублей; на юридических лиц – от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. |
20 тыс.руб. |
КоАП РФ |
13.13 |
Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), – влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц – от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц – от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой. |
20 тыс.руб. |
КоАП РФ |
19.5 |
Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства – влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц – от десяти тысяч до двадцати тысяч рублей. |
20 тыс.руб. |
КоАП РФ |
19.7 |
Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьями 19.7.1, 19.7.2, 19.7.3, 19.7.4, 19.8, 19.19 настоящего Кодекса, – влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц – от трехсот до пятисот рублей; на юридических лиц – от трех тысяч до пяти тысяч рублей. |
5 тыс.руб. |
КоАП РФ |
19.20 |
Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна), – влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц – от одной тысячи до двух тысяч рублей; на юридических лиц – от десяти тысяч до двадцати тысяч рублей. |
20 тыс.руб. |
Размер возможного штрафа со стороны регулирующих органов в год с учетом наличия трёх проверок в год (одна плановая, последующие – контроль выполнения предписаний) в случае отсутствия СЗПДн будет равен:
рублей
Исходя из опыта судебного делопроизводства размер возмещения ущерба субъекту ПДн обычно не превышает 2500 рублей. Взяв в расчёт, что в базах данных оператора ИСПДн обрабатываются ПДн 100 000 субъектов ПДн, средний размер возмещения ущерба равным 1 500 рублей, процент утечки ПДн из базы данных оператора 30% в год и 25% субъектов, потенциально подающих заявление на возмещение материального ущерба, размер необходимых выплат оператором субъектам ПДн в год будет составлять:
рублей
Финансовые потери в случае конфискации несертифицированных средств защиты информации, с учетом используемых в ИСПДн СЗИ, будут составлять 100 000 рублей в год.
Потенциальные финансовые потери за период 3 года за счет регуляторных рисков согласно формуле 6 будут составлять:
рублей
Необходимо подчеркнуть, что меры регулирующих органов по приостановлению или прекращению обработки персональных данных могут привести к остановке деятельности, но убытки вследствие этого мы не рассматриваем.