АНАЛІЗ МОДЕЛЕЙ, МЕТОДІВ ТА СИСТЕМ ОЦІНЮВАННЯ ВТРАТ ВІД ВИТОКУ ПЕРСОНАЛЬНИХ ДАНИХ
DOI: 10.31673/2409-7292.2025.031228
Анотація
Стрімке поширення цифрових технологій, глобалізація інформаційних потоків та зростання кількості
кіберзагроз призвели до значного підвищення ризику витоків персональних даних, що спричиняє як фінансові
втрати, так і репутаційні та правові наслідки для організацій. Існуючі підходи до оцінювання критичності
інцидентів витоку персональних даних мають фрагментарний характер: одні зосереджені на фінансових втратах,
інші – на технічних чи соціально-психологічних аспектах, що ускладнює формування комплексної оцінки. З
метою усунення виявлених прогалин у статті здійснено порівняльний аналіз сучасних моделей, методів та систем
оцінювання негативних наслідків від витоку персональних даних, визначено їх сильні та слабкі сторони.
Особливу увагу приділено відповідності розглянутих підходів положенням міжнародних стандартів, зокрема
GDPR, а також можливостям їх практичного застосування в інформаційних системах. Наукова новизна
отриманих результатів полягає у формуванні теоретичного підґрунтя для розробки вдосконалених моделей та
методів комплексного оцінювання втрат від витоку персональних даних з урахуванням економічних, правових і
репутаційних факторів.
Ключові слова: персональні дані, оцінювання втрат, критичність інцидентів, конфіденційність, GDPR,
кібербезпека.
Перелік посилань
1. Cost-Effective Risk Management | Resources. Quantitative Information Risk Management | The FAIR
Institute. URL: https://www.fairinstitute.org/learn-fair
2. Fair Information Practice Principles (FIPPs). Home | FPC.gov. URL: https://www.fpc.gov/resources/fipps/
3. Introduction to FAIR. Medium. URL: https://medium.com/@enstructure/ introduction-to-fair-bc5e7da0e72c
4. NIST Technical Series Publications. URL: https://nvlpubs.nist.gov/nistpubs/ legacy/sp/ nistspecialpublication800-30r1.pdf.
5. NIST Risk Management Framework | CSRC. NIST Computer Security Resource Center | CSRC. URL:
https://csrc. nist.gov/Projects/risk-management/about-rmf.
6. Луцький М.Г., Іванченко Є.В., Казмірчук С.В., Охрименко А.А. Сучасні засоби управління
інформаційними ризиками. Захист інформації. 2011. Т.13. № 3 (52). С. 97-108.
7. Луцький М.Г., Корченко А.Г., Іванченко Є.В., Казмірчук С.В. Дослідження програмних засобів аналізу
та оцінки ризиків інформаційної безпеки. Захист інформації. 2011. Т. 13. № 2 (51). С. 86-94.
8. NIST Privacy Framework: NIST Technical Series Publications. URL: https://nvlpubs.nist.gov/nistpubs
/CSWP/ NIST.CSWP.01162020.pdf.
9. ДСТУ ISO/IEC 27005:2023 Інформаційна безпека, кібербезпека та захист конфіденційності. Настанова
керування ризиками інформаційної безпеки (ISO/IEC 27005:2022, IDT). БУДСТАНДАРТ Online - нормативні
документи будівельної галузі України. URL: https: // online.budstandart.com / ua /catalog/doc-page.html?id_doc=
104400.
10. ДСТУ ISO 31000:2018 Менеджмент ризиків. Принципи та настанови (ISO 31000:2018, IDT)
URL: https://zakon.isu.net.ua/sites/default/files/normdocs /dstu_iso_31000_2018.pdf.
11. OWASP Risk Rating Methodology | OWASP Foundation. OWASP Foundation, the Open Source Foundation
for Application Security | OWASP Foundation. URL: https: // owasp.org / www-community/OWASP_
Risk_Rating_Methodology
12. Data Protection Impact Assessment (DPIA) GDPR.eu. GDPR.eu. URL: https: // gdpr.eu / data-protectionimpact-assessment-template/.
13. О.Г. Корченко, С.В. Казмірчук, Б.Б. Ахметов, Прикладні системи оцінювання ризиків інформаційної
безпеки. Монографія, Київ, ЦП «Компринт», 2017, 435 с.
14. Applying OCTAVE: Practitioners Report. URL: https://kilthub.cmu.edu/ articles/report/Applying_OCTAVE_
Practiti oners_Report/6571985/1?file=12057020.
15. «Expression des Besoins et Identification des Objectifs de Sécurité EBIOS», Méthode de gestion des risques,
ANSSI/ACE/BAC, Paris, Version du 25 janvier 2010, 95 р.
16. Потій О. В., Лєншин А. В. Дослідження методів оцінки ризиків безпеці інформації та розробка
пропозицій з їх вдосконалення на основі системного підходу. Збірник наукових праць Харківського університету
Повітряних сил. 2010. Вип. 2. С. 85-91. URL: http://nbuv.gov.ua/UJRN/ZKhUPS_2010_2_21.
17. Security Studies | Ponemon Institute. Ponemon Institute. URL: https://www.ponemon.org/research/ponemonlibrary/security/?tag=5.
18. Cyber Value at Risk (CVaR): Measuring Worst-Case Scenarios - Horkan. URL: https://horkan.com/2025/04/
21 / cyber-value-at-risk-cvar-measuring-worst-case-scenarios # :~: text = *% 20Focus % 20on % 20Worst,from%20 -
ransomware%20 to%20insider%20attacks.
19. Algarni, A. M., Thayananthan, V., & Malaiya, Y. K. (2021). Quantitative Assessment of Cybersecurity Risks
for Mitigating Data Breaches in Business Systems. Applied Sciences, 11(8), 3678. URL: https://doi.org/ 10.3390/
app11083678.
20. Korchenko A., Dreis Yu., Roshchuk M., Romanenko O. Consequence evaluation model of leak the state secret
from cyberattack directing on critical information infrastructure of the state. Ukrainian Scientific Journal of Information
Security, 2018, vol. 24, issue 1, p. 29-35. https: // doi.org / 10.18372/2225-5036.24.12606.
21. Савченко В.А., Ахрамович В.М., Акулінічева М.В. Оцінювання параметрів безпеки персональних
даних у степеневих соціальних мережах на основі їх топології. Сучасний захист інформації, №3(43), 2020. С. 6-
13. URL: https://doi.org/10.31673/2409-7292.2020.030613.
22. Шапран О.О. Моделі підвищення захищеності персональних даних користувачів системи
дистанційного навчання Збройних Сил України. Телекомунікаційні та інформаційні технології, 2022, № 2 (79). С.
33-45. URL: https://doi.org/10.31673/2412-4338.2022.023345.
23. Бойченко О. С., Костерев Д. С., Маковський І. Ю., Грищук О.М. Математична модель розрахунку
цінності інформації установи. Проблеми створення, випробування, застосування та експлуатації складних
інформаційних систем, 2022, №22, C.30–40. https://doi.org/10.46972/2076-1546.2022.22.03.
24. Толбатов А., Лозова І., Котик О., Толбатова О. Автоматизована система вибору засобів оцінювання
збитків від втрати персональних даних. ІМА: 2024: Матеріали міжнародної наукової конференції молодих учених
«Інформатика, математика, автоматика», Суми–Астана, 22–26 квітня 2024 р. Суми, 2024. С.256.
URL: https://files.znu.edu.ua/files/Bibliobooks/Inshi79/0059494.pdf.
25. Лозова І., Біскупський А., Горожанова А. Засоби оцінювання шкоди від втрати інформації з обмеженим
доступом. Стан та удосконалення безпеки інформаційно-телекомунікаційних систем (SITS’ 2021): збірник тез
наукових доповідей, 23-26 червня 2021 р. Миколаїв, Коблево, 2021. С.58-62.
