ANALYSIS OF MODELS, METHODS AND SYSTEMS FOR ESTIMATING LOSSES FROM PERSONAL DATA LEAKAGE

Abstract

The rapid spread of digital technologies, the globalization of information flows and the increase in the number of cyber
threats have led to a significant increase in the risk of personal data leaks, which causes both financial losses and reputational
and legal consequences for organizations. Existing approaches to assessing the criticality of personal data leak incidents are
fragmented: some focus on financial losses, others on technical or socio-psychological aspects, which complicates the formation
of a comprehensive assessment. In order to eliminate the identified gaps, the article has carried out a comparative analysis of
modern models, methods and systems for assessing the negative consequences of personal data leaks, and has identified their
strengths and weaknesses. Particular attention is paid to the compliance of the considered approaches with the provisions of
international standards, in particular GDPR, as well as the possibilities of their practical application in information systems. The
scientific novelty of the results obtained lies in the formation of a theoretical basis for the development of improved models and
methods for comprehensive assessment of losses from personal data leakage, taking into account economic, legal and
reputational factors.
Keywords: personal data, loss assessment, incident criticality, confidentiality, GDPR, cybersecurity.

References
1. Cost-Effective Risk Management | Resources. Quantitative Information Risk Management | The FAIR
Institute. URL: https://www.fairinstitute.org/learn-fair
2. Fair Information Practice Principles (FIPPs). Home | FPC.gov. URL: https://www.fpc.gov/resources/fipps/
3. Introduction to FAIR. Medium. URL: https://medium.com/@enstructure/ introduction-to-fair-bc5e7da0e72c
4. NIST Technical Series Publications. URL: https://nvlpubs.nist.gov/nistpubs/ legacy/sp/ nistspecialpublication800-30r1.pdf.
5. NIST Risk Management Framework | CSRC. NIST Computer Security Resource Center | CSRC. URL:
https://csrc. nist.gov/Projects/risk-management/about-rmf.
6. Луцький М.Г., Іванченко Є.В., Казмірчук С.В., Охрименко А.А. Сучасні засоби управління
інформаційними ризиками. Захист інформації. 2011. Т.13. № 3 (52). С. 97-108.
7. Луцький М.Г., Корченко А.Г., Іванченко Є.В., Казмірчук С.В. Дослідження програмних засобів аналізу
та оцінки ризиків інформаційної безпеки. Захист інформації. 2011. Т. 13. № 2 (51). С. 86-94.
8. NIST Privacy Framework: NIST Technical Series Publications. URL: https://nvlpubs.nist.gov/nistpubs
/CSWP/ NIST.CSWP.01162020.pdf.
9. ДСТУ ISO/IEC 27005:2023 Інформаційна безпека, кібербезпека та захист конфіденційності. Настанова
керування ризиками інформаційної безпеки (ISO/IEC 27005:2022, IDT). БУДСТАНДАРТ Online - нормативні
документи будівельної галузі України. URL: https: // online.budstandart.com / ua /catalog/doc-page.html?id_doc=
104400.
10. ДСТУ ISO 31000:2018 Менеджмент ризиків. Принципи та настанови (ISO 31000:2018, IDT)
URL: https://zakon.isu.net.ua/sites/default/files/normdocs /dstu_iso_31000_2018.pdf.
11. OWASP Risk Rating Methodology | OWASP Foundation. OWASP Foundation, the Open Source Foundation
for Application Security | OWASP Foundation. URL: https: // owasp.org / www-community/OWASP_
Risk_Rating_Methodology
12. Data Protection Impact Assessment (DPIA) GDPR.eu. GDPR.eu. URL: https: // gdpr.eu / data-protectionimpact-assessment-template/.
13. О.Г. Корченко, С.В. Казмірчук, Б.Б. Ахметов, Прикладні системи оцінювання ризиків інформаційної
безпеки. Монографія, Київ, ЦП «Компринт», 2017, 435 с.
14. Applying OCTAVE: Practitioners Report. URL: https://kilthub.cmu.edu/ articles/report/Applying_OCTAVE_
Practiti oners_Report/6571985/1?file=12057020.
15. «Expression des Besoins et Identification des Objectifs de Sécurité EBIOS», Méthode de gestion des risques,
ANSSI/ACE/BAC, Paris, Version du 25 janvier 2010, 95 р.
16. Потій О. В., Лєншин А. В. Дослідження методів оцінки ризиків безпеці інформації та розробка
пропозицій з їх вдосконалення на основі системного підходу. Збірник наукових праць Харківського університету
Повітряних сил. 2010. Вип. 2. С. 85-91. URL: http://nbuv.gov.ua/UJRN/ZKhUPS_2010_2_21.
17. Security Studies | Ponemon Institute. Ponemon Institute. URL: https://www.ponemon.org/research/ponemonlibrary/security/?tag=5.
18. Cyber Value at Risk (CVaR): Measuring Worst-Case Scenarios - Horkan. URL: https://horkan.com/2025/04/
21 / cyber-value-at-risk-cvar-measuring-worst-case-scenarios # :~: text = *% 20Focus % 20on % 20Worst,from%20 -
ransomware%20 to%20insider%20attacks.
19. Algarni, A. M., Thayananthan, V., & Malaiya, Y. K. (2021). Quantitative Assessment of Cybersecurity Risks
for Mitigating Data Breaches in Business Systems. Applied Sciences, 11(8), 3678. URL: https://doi.org/ 10.3390/
app11083678.
20. Korchenko A., Dreis Yu., Roshchuk M., Romanenko O. Consequence evaluation model of leak the state secret
from cyberattack directing on critical information infrastructure of the state. Ukrainian Scientific Journal of Information
Security, 2018, vol. 24, issue 1, p. 29-35. https: // doi.org / 10.18372/2225-5036.24.12606.
21. Савченко В.А., Ахрамович В.М., Акулінічева М.В. Оцінювання параметрів безпеки персональних
даних у степеневих соціальних мережах на основі їх топології. Сучасний захист інформації, №3(43), 2020. С. 6-
13. URL: https://doi.org/10.31673/2409-7292.2020.030613.
22. Шапран О.О. Моделі підвищення захищеності персональних даних користувачів системи
дистанційного навчання Збройних Сил України. Телекомунікаційні та інформаційні технології, 2022, № 2 (79). С.
33-45. URL: https://doi.org/10.31673/2412-4338.2022.023345.
23. Бойченко О. С., Костерев Д. С., Маковський І. Ю., Грищук О.М. Математична модель розрахунку
цінності інформації установи. Проблеми створення, випробування, застосування та експлуатації складних
інформаційних систем, 2022, №22, C.30–40. https://doi.org/10.46972/2076-1546.2022.22.03.
24. Толбатов А., Лозова І., Котик О., Толбатова О. Автоматизована система вибору засобів оцінювання
збитків від втрати персональних даних. ІМА: 2024: Матеріали міжнародної наукової конференції молодих учених
«Інформатика, математика, автоматика», Суми–Астана, 22–26 квітня 2024 р. Суми, 2024. С.256.
URL: https://files.znu.edu.ua/files/Bibliobooks/Inshi79/0059494.pdf.
25. Лозова І., Біскупський А., Горожанова А. Засоби оцінювання шкоди від втрати інформації з обмеженим
доступом. Стан та удосконалення безпеки інформаційно-телекомунікаційних систем (SITS’ 2021): збірник тез
наукових доповідей, 23-26 червня 2021 р. Миколаїв, Коблево, 2021. С.58-62.