Оценка возможного вреда является определение уровня вреда субъекту персональных данных на основании учета причинённых убытков и морального вреда, нарушения безопасности персональных данных (конфиденциальности, целостности и доступности). Также под оценкой вреда субъекту персональных данных понимается оценка вреда, который
может быть причинен субъектам персональных
данных в случае нарушения Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных",
соотношение указанного вреда и принимаемых
оператором мер, направленных на обеспечение
выполнения обязанностей, предусмотренных
Федеральным законом "О персональных данных".
Исполнение Требований к защите персональных данных при их обработке в информационной системе персональных данных (ИСПДн), утвержденных постановлением Правительства РФ от 01.11.2012 №1119 (Требования), в полном объеме невозможно без проведения оценки вреда. Согласно п.7 Требований определение типа актуальных угроз безопасности персональных данных в ИСПДн производится оператором персональных данных с учетом оценки возможного вреда, проведенной во исполнение п.5 ч.1 ст.18.1 Федерального закона "О персональных данных". Для унификации оценки возможного вреда субъекту персональных данных в ИСПДн введем не предусмотренное федеральным законодательством понятие высокого, среднего и низкого уровней вреда.
Уровень вреда определяется в зависимости от наличия нарушения целостности, доступности и конфиденциальности персональных данных, а также в зависимости от того, причинили или не причинили эти нарушения убытки и моральный вред субъекту персональных данных. Если нарушение незначительно, как например нарушение целостности персональных данных (их неактуальность или неточность), но доступность их не нарушена (субъект персональных данных имеет возможность обратиться к оператору персональных данных с целью уточнения своих персональных данных), считается, что оснований для удовлетворения судом требований о возмещении убытков и вреда нет. Нарушение конфиденциальности персональных данных всегда представляет собой как минимум средний уровень вреда.
Понятия конфиденциальности, целостности и доступности составляют понятие безопасность (состояние защищенности) информации [данных], определенное Национальным стандартом Российской Федерации ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения".
Сами по себе нарушения целостности и доступности могут принести наименьший вред субъекту персональных данных, так как субъект персональных данных может и имеет право требовать восстановление целостности и доступности. Если такое правомочие субъекта персональных данных затруднено, считается, что имеется основание для судебного иска, поэтому нарушение целостности или доступности, повлекшие моральный вред или ущерб, отнесены к среднему уровню вреда. Нарушение конфиденциальности потенциально необратимо (ставшие публичными данные невозможно снова сделать конфиденциальными), поэтому даже не повлекшее морального вреда такое нарушение может быть отнесено к среднему уровню возможного вреда. Нарушения или нарушение конфиденциальности, которое повлекло моральный ущерб и убытки, являются наивысшим уровнем возможного вреда.
Оценку возможного вреда субъекту персональных данных в ИСПДн от нарушения безопасности персональных данных (конфиденциальности, целостности, доступности) можно представить в форме численных значений:
- Ii = 1, низкий уровень вреда при нарушении целостности персональных данных;
- Ia = 1, низкий уровень вреда при нарушении доступности персональных данных;
- Ic = 2, средний уровень вреда при нарушении конфиденциальности персональных данных.