Метрики процесса защиты ПДн

Решил написать юмористический пост про метрики, которыми можно измерять «эффективность» процесса защиты ПДн по-русски.

ТОП-10 метрик ИБ для процесса защиты ПДн :-)

1. Количество и % от их общего количества защищенных ПДн.
2. Количество и % от их общего количества защищенных сертифицированными средствами ПДн.
3. Количество и % от их общего количества ПДн, которые утекли из организации за отчетный период.
4. Ущерб, который нанесли утечки ПДн за отчетный период.
5. Стоимость утечки одной ПДн (рассчитывается как отношение Пункта 4 и Пункта 3).
6. Количество предотвращенных утечек ПДн за отчетный период.
7. Количество ПДн, утечки которых предотвращены.
8. Стоимость предотвращения утечки одной ПДн (рассчитывается как произведение стоимости часа зарплаты офицера безопасности на время, потраченное на выявление утечки и деленное на количество ПДн).
9. КПД офицера безопасности по теме ПДн (рассчитывается как отношение времени, затраченного на выявление утечки ПДн и общего времени работы по теме ПДн умноженное на 100%).
10. Эффективность защитных мер (рассчитывается как отношение Пункт 5 и Пункт 8).

Проверяем всё на примере. Допустим, есть организация, в которой обрабатывается 1 000 000 ПДн.

1. Всего защищено 500 000 ПДн, т.е. 50%.
2. Защищено сертифицированными средствами 100 000 ПДн, т.е. 10%.
3. За год утекло 1 000 ПДн, т.е. 0,1%.
4. Был судебный иск, по которому выплачено 100 000 руб.
5. Цена утечки 1 ПДн равна 100 руб.
6. За год предотвращена 1 попытка утечки ПДн.
7. За год предотвращено утечек в количестве 500 ПДн
8. Стоимость предотвращения утечки одной ПДн равна 2 руб. 50 коп. (допустим зарплата офицера ИБ равна 100 000 руб., значит час его рабочего времени стоит 625 руб., а потратил он на расследование 2 часа).
9.  КПД офицера безопасности по теме ПДн равен 0,8% (офицер безопасности ежедневно тратит 1 час по тематике ПДн, а в 2011 году было 248 рабочих дней).
10. Эффективность защитных мер равна 40 попугаев (или удавов).

Представим, что в 2010 году, т.е. до внедрения защитных мер, был такой же судебный иск на сумму 100 000 руб. А значит уже можно рисовать график «эффективности» процесса защиты ПДн. :-)