Введение
CDO SwiftRide готовит первый реестр рисков к Q2 Board Risk Committee. CRO бросает вызов: «У тебя в реестре все риски отсортированы по risk_category — что это за список категорий? Я вижу confidentiality, availability, accuracy, ethics — это твоя личная таксономия или отраслевой стандарт?». Стандартизированная risk taxonomy критична для межорганизационного бенчмаркинга, regulatory mapping и осмысленной агрегации в portfolio view.
Этот урок — 6-осевая risk taxonomy для данных. После него вы сможете защитить классификацию каждого риска CDE против оси, связать ось с regulatory drivers и понимать, как обновлённая таксономия (CIA + privacy + ethics) заменяет более узкие классические модели.
Классическая CIA triad — происхождение
CIA triad — Confidentiality, Integrity, Availability — фундаментальная модель информационной безопасности. Происхождение — публикации NIST конца 1980-х; кодифицирована в NIST SP 800-12, framework ISO 27001. 3 оси:
- Confidentiality — предотвращение несанкционированного доступа. Шифрование, access controls, audit logs.
- Integrity — предотвращение несанкционированной модификации. Checksums, version control, change management.
- Availability — обеспечение авторизованного доступа при необходимости. Резервирование, DR/BCP, capacity management.
CIA triad — прочный фундамент, но недостаточен для современной risk taxonomy данных. Необходимы три дополнения.
Почему CIA недостаточно — три пробела
Пробел 1: «accuracy» отличается от «integrity». Integrity покрывает несанкционированную модификацию; accuracy покрывает «корректны ли данные изначально». Проблемы качества исходных данных, ошибки расчётов, model drift — всё это accuracy-issues, а не нарушения integrity.
Пример SwiftRide: SwiftPay rounding incident 2024 — commission calculation engine выдавал систематически неверные значения. Не нарушение integrity (нет несанкционированной модификации — система работала как спроектировано); accuracy-issue (дизайн неверен).
Пробел 2: privacy отличается от confidentiality. Confidentiality — контроль доступа. Privacy — шире: data subject rights, purpose limitation, retention, lawful basis, международные передачи. Нарушения GDPR возможны при идеальной confidentiality (зашифрованные данные, контролируемый доступ), если обработка незаконна.
Пример: SwiftRide обрабатывает данные о геолокации райдеров «для улучшения сервиса» без конкретного согласия. Confidentiality нетронута (данные зашифрованы, доступ ограничен); нарушение privacy (lawful basis недостаточен по GDPR Art. 6).
Пробел 3: ethics + algorithmic fairness отличается от всех осей CIA. Pricing algorithm дискриминирует защищённые классы — нет нарушения confidentiality / integrity / availability / accuracy (алгоритм может работать точно как спроектирован). Нарушение ethics — дискриминация, манипуляция, несправедливое обращение.
Пример: SwiftRide pricing engine назначает разные цены разным демографическим группам на тот же маршрут. Алгоритм точный (корректно выдаёт результат по обучению); конфиденциален (ограниченный доступ); integrity нетронута (нет подмены); доступен (работает нормально) — но исходы дискриминационные.
6-осевая risk taxonomy (современная)
| # | Ось | Что охватывает | Основные regulatory drivers |
|---|---|---|---|
| 1 | Accuracy | Корректность данных — значения соответствуют реальности; расчёты выдают ожидаемые результаты; модели работают как спроектировано | SOX (точность financial reporting); BCBS 239 Principle 3 (точность + целостность risk data); IFRS 9 (точность расчёта ECL) |
| 2 | Availability | Данные доступны при необходимости; пайплайны операционны; SLA выполнен | DORA (операционная устойчивость); SOC 2 availability TSC; BCBS 239 Principle 5 (своевременность) |
| 3 | Confidentiality | Несанкционированный доступ предотвращён; шифрование, access controls, аудит | GDPR Art. 32 (безопасность обработки); PCI-DSS (конфиденциальность данных держателя карты); SOX ITGC управление доступом |
| 4 | Integrity | Несанкционированная модификация предотвращена; данные tamper-evident; lineage authoritative | BCBS 239 Principle 3 (целостность); SOX ITGC change management; AS 1105 IPE controls |
| 5 | Privacy | Права субъекта данных соблюдены; purpose limitation; retention; lawful basis | GDPR; CPRA; LGPD; UK GDPR; DPDP India |
| 6 | Ethics | Справедливое обращение; недискриминация; прозрачность; алгоритмическая подотчётность | EU AI Act; DSA recommender transparency; антимонопольное; защита потребителей |
Каждая ось — отдельная категория риска, требует отдельных контролей. Тултипы показывают примеры + regulatory drivers.
SOX, BCBS 239 P3, IFRS 9Accuracy. Данные корректны изначально. Отличается от Integrity (несанкционированная модификация). SwiftPay 2024 rounding = accuracy-issue. Регуляторы: SOX, BCBS 239 P3, IFRS 9. Типичные контроли: DQ-правила, reconciliation, калибровка.
DORA, SOC 2Availability. Данные доступны при необходимости. SLA, RTO/RPO. Регуляторы: DORA, SOC 2, BCBS 239 P5. Типичные контроли: резервирование, DR/BCP, capacity, мониторинг.
GDPR, PCI-DSSConfidentiality. Несанкционированный доступ предотвращён. Шифрование, access controls. Регуляторы: GDPR Art. 32, PCI-DSS, SOX ITGC. Типичные контроли: IAM, шифрование at-rest/transit, audit logs.
BCBS 239 P3, AS 1105Integrity. Несанкционированная модификация предотвращена. Отличается от Accuracy. Регуляторы: BCBS 239 P3, SOX ITGC, AS 1105. Типичные контроли: change management, checksums, неизменяемое хранение.
GDPR, CPRA, DPDPPrivacy. Права субъекта данных, purpose limitation, lawful basis. Отличается от Confidentiality. Регуляторы: GDPR, CPRA, LGPD, DPDP. Типичные контроли: consent management, retention, DSAR workflows.
EU AI Act, DSAEthics. Справедливое обращение, недискриминация, прозрачность. Регуляторы: EU AI Act, DSA, антимонопольное. Типичные контроли: fairness audits, transparency reports, fundamental rights impact assessments.
Каждая ось — детально
1. Accuracy
Данные корректны изначально. Отличается от integrity (покрывающего несанкционированную модификацию).
Примеры SwiftRide:
driver_earnings_ledger— расчёт комиссии должен равняться(trip_amount × commission_rate) − refunds. Accuracy ломается, если формула неверна или входы устарели.swiftcapital_loan_portfolio— расчёт ECL должен следовать логике staging IFRS 9. Accuracy ломается, если логика триггера staging некорректна.pricing_engine_outputs— surge multiplier должен отражать актуальное соотношение demand/supply. Accuracy ломается, если обучающие данные устарели.
Типичные контроли: dbt-тесты (not-null, range, freshness); Great Expectations expectations; правила reconciliation; калибровка через back-testing; мониторинг model performance (PSI, AUC, KS).
Regulatory drivers: SOX 404 (financial reporting должен быть точным); BCBS 239 Principle 3 (accuracy + integrity bundled); IFRS 9 (точность ECL-модели); PCAOB AS 1105 (информация, произведённая компанией — полнота + точность).
2. Availability
Данные доступны при необходимости. Пайплайны операционны; SLA выполнены; восстановление после outage в пределах RTO.
Примеры SwiftRide:
trip_records— real-time для приложения водителя и matching engine; tier-1 RTO < 30 минут; target доступности 99.9%.revenue_gmv_aggregates— daily T+1 для финансового закрытия; tier-2 RTO < 4 часа.kyc_profile— real-time для compliance-проверок; tier-1 RTO < 30 минут.
Типичные контроли: multi-region replication; автоматический failover; тестирование DR/BCP (ежеквартально); планирование capacity; мониторинг и алертинг пайплайнов; SLA-дашборды.
Regulatory drivers: DORA DORA Art. 8 (операционная устойчивость); SOC 2 availability trust services criterion; BCBS 239 Principle 5 (своевременность — risk data произведена в сроки, соответствующие волатильности); обязательства availability CCPA / GDPR для response на DSAR.
3. Confidentiality
Несанкционированный доступ предотвращён. Шифрование, access controls, аудит.
Примеры SwiftRide:
kyc_profile— классификация Restricted; шифрование at-rest обязательно; доступ только по approved-list; ежеквартальный обзор доступа.card_data_tokens— scope PCI-DSS; шифрование + токенизация; HSM key management; сегрегированная сетевая зона.pii_directory— классификация Restricted; row-level security; маскирование данных в non-prod-средах.
Типичные контроли: IAM (Okta + role-based provisioning); шифрование at-rest (KMS); шифрование in-transit (TLS 1.3); маскирование данных; audit logs; ежеквартальные обзоры доступа; применение SoD.
Regulatory drivers: GDPR Art. 32 (безопасность обработки); PCI-DSS v4.0.1 (защита данных держателя карты); SOX ITGC домен управления доступом; HIPAA (если применимо).
4. Integrity
Несанкционированная модификация предотвращена. Данные tamper-evident; lineage authoritative.
Примеры SwiftRide:
revenue_gmv_aggregates— должны быть выведены из authoritative-источника через задокументированный lineage; никакой ручной override невозможен без dual-approval + audit log.aml_alerts_dispositions— решения по dispositions алертов должны быть tamper-evident; chain-of-custody для SAR-related решений.loan_portfolio_ecl_stages— стадии ECL не могут быть изменены после закрытия цикла без формальной процедуры restatement.
Типичные контроли: version control (git для кода); workflow change management (4-eyes для prod data changes); неизменяемое хранение (S3 object lock для evidence); криптографические checksums; lineage tracking (OpenLineage); SoD между data engineer и data approver.
Regulatory drivers: BCBS 239 Principle 3 (integrity); SOX ITGC домен change management; PCAOB AS 1105 IPE; DORA Art. 9 (ICT change management).
5. Privacy
Права субъекта данных соблюдены; purpose limitation; retention; lawful basis. Шире, чем confidentiality.
Примеры SwiftRide:
pii_directory— должен иметь lawful basis по GDPR Art. 6; purpose limitation в privacy policy; DSAR workflow операционен; retention schedule применяется (удаление после периода юридического retention).geolocation_data— требуется DPIA по GDPR Art. 35; согласие пользователя для маркетингового использования отдельно от service operation; право на erasure под Art. 17 enforceable.kyc_profile— биометрические данные — особая категория под GDPR Art. 9; требуется явное согласие или другая основа Art. 9(2); международная передача требует SCC 2021 + TIA.
Типичные контроли: consent management platform; реестр lawful basis; workflows DSAR fulfillment (GDPR Art. 12-22); применение retention; артефакты DPIA + LIA; ROPA (GDPR Art. 30).
Regulatory drivers: GDPR; UK GDPR; CCPA / CPRA; LGPD (Бразилия); DPDP India Act 2023 + Rules 2025; UAE PDPL.
6. Ethics
Справедливое обращение; недискриминация; прозрачность; алгоритмическая подотчётность.
Примеры SwiftRide:
pricing_engine_outputs— EU AI Act EU AI Act Art. 10 high-risk classification вероятна; bias audit ежеквартально; PSI-мониторинг по демографическим группам; требуется fundamental rights impact assessment.swiftcapital_loan_portfolio— запрет дискриминации credit scoring (раса, гендер, защищённые классы); обоснование негативного решения объяснимо по Art. 86 EU AI Act; механизмы апелляции операционны.aml_alerts_dispositions— генерация алертов должна быть непредвзятой по демографическим группам (равенство false-positive rate); требуется человеческий override для low-confidence-алертов.
Типичные контроли: bias audits (статистические fairness metrics — disparate impact, equality of opportunity, predictive parity); transparency reports; fundamental rights impact assessments; algorithmic accountability board; human-in-the-loop overrides; фреймворки объяснимости (SHAP, LIME).
Regulatory drivers: EU AI Act (high-risk AI системы); DSA recommender transparency (Art. 27); антимонопольное (Sherman Act, EU competition law); защита потребителей (FTC, CMA).
Cross-mapping оси рисков ↔ регуляции
| Регуляция | Accuracy | Availability | Confidentiality | Integrity | Privacy | Ethics |
|---|---|---|---|---|---|---|
| SOX 404 / ICFR | ●●● | ● | ●● | ●●● | — | — |
| BCBS 239 | ●●● | ●● | ● | ●●● | — | — |
| DORA | ● | ●●● | ●● | ●● | — | — |
| GDPR | ● | ● | ●●● | ●● | ●●● | ● |
| CCPA / CPRA | — | — | ●● | ● | ●●● | ●● |
| DPDP India | — | — | ●● | ● | ●●● | — |
| PCI-DSS v4.0.1 | ● | ●● | ●●● | ●● | ● | — |
| EU AI Act | ●● | ● | ● | ●● | ●● | ●●● |
| DSA | — | — | — | ● | ● | ●●● |
| AMLR / AMLD6 | ●●● | ●● | ●● | ●●● | ● | ●● |
| IFRS 9 | ●●● | — | — | ●● | — | — |
Легенда: ●●● основной driver; ●● значимый; ● второстепенный; — не применимо.
Инсайты из матрицы:
- Ни одна регуляция не покрывает все 6 осей — risk taxonomy должна агрегировать по регуляциям.
- Accuracy + Integrity — SOX-relevant data концентрирует тяжесть (большинство ●●●).
- Privacy — кластер GDPR/CCPA/DPDP; никакая другая ось не покрыта сравнимо.
- Ethics — emerging-ось (EU AI Act, DSA); исторически недорегулирована.
- Confidentiality — широко покрыта; PCI-DSS острее всех (данные держателя карты).
DAMA Data Risk axes — согласование с DCAM v3
DAMA-DMBOK2 глава Data Quality идентифицирует измерения качества (отличные от осей рисков, но пересекающиеся): accuracy, completeness, consistency, timeliness, uniqueness, validity. Согласование осей рисков DCAM v3 через расширение Data Control Environment (incl. risk/security/audit) и компонент Business Data Knowledge — рекомендуется явный mapping:
| Scoring DCAM v3 Data Control Environment | Мэппинг на оси рисков |
|---|---|
| Risk-aligned контроли | Все 6 осей |
| Security-контроли | Confidentiality, Integrity |
| Audit-контроли | Accuracy, Integrity |
| Privacy-контроли | Privacy, Confidentiality |
| AI/ML-контроли | Accuracy, Ethics |
Risk taxonomy ↔ измерения критичности CDE (M1) — связь
Важно: оси рисков (M2.5) отличаются от измерений критичности CDE (M1.3) — разные цели.
| Концепт | Цель | Шкала |
|---|---|---|
| Измерения критичности CDE (4 оси — финансовая, регуляторная, операционная, репутационная) | Скорить датасеты для решения о включении в CDE | 1-5 на измерение, взвешенный агрегат |
| Оси рисков (6 осей — accuracy, availability, confidentiality, integrity, privacy, ethics) | Категоризировать индивидуальные риски в реестре рисков | Классификация риск-за-риском |
Связь: у каждого CDE есть риски; риски классифицируются по осям. Критичность CDE = агрегатный score, определяющий «должно ли это быть CDE». Оси рисков = таксономия для текущего risk management.
Пример driver_earnings_ledger:
- Критичность CDE: D1 (финансовая)=5, D2 (регуляторная)=4, D3 (операционная)=5, D4 (репутационная)=4; агрегат 4.5 → CDE подтверждён.
- Риски в реестре: accuracy (паттерн ошибок округления), confidentiality (экспозиция PII при breach), integrity (возможность ручного override), availability (impact задержки payout). 4 различных риска, каждый классифицирован по оси.
Anti-patterns
1. Таксономия только CIA. Реестр рисков категоризирует только confidentiality/integrity/availability. Результат: accuracy-issues не классифицированы (или ошибочно классифицированы как «integrity»); privacy-issues потеряны; ethics не адресован. Лекарство: 6-осевая taxonomy с самого начала.
2. Смешение accuracy + integrity. Оба трактуются как «данные корректны»; не разделены. Результат: ITGC-контроли (change management для integrity) используются для ремедиации accuracy-issues (DQ-правила); неподходящие контроли. Лекарство: явные определения осей в политике; controls catalog по оси.
3. Смешение confidentiality + privacy. «У нас есть шифрование + access controls, поэтому мы privacy-compliant». Результат: нарушения GDPR возможны (неправомерная основа, нарушение purpose limitation) при идеальной confidentiality. Лекарство: ось privacy отдельна; контроли lawful basis + DPIA + DSAR + retention отдельны.
4. Отсутствует ось ethics. Реестр рисков не включает ось ethics. Результат: алгоритмический bias, fairness-issues не мониторятся; экспозиция EU AI Act невидима до enforcement. Лекарство: ось ethics обязательна для AI/ML-based CDE; bias audits — рутина.
5. Single-axis-классификация multi-axis-риска. Сложный риск (алгоритмическая дискриминация) классифицирован только под одной осью (например, accuracy). Результат: under-controlled; частичная митигация. Лекарство: multi-axis-классификация разрешена; основная + второстепенные оси задокументированы.
6. Risk taxonomy без regulatory mapping. Оси определены, но не связаны с конкретными регуляциями. Результат: при regulatory change невозможно отфильтровать затронутые риски. Лекарство: cross-mapping матрица поддерживается; в реестре рисков есть поле regulatory_drivers, связывающее оси с регуляциями.
Итоги
- CIA triad (Confidentiality, Integrity, Availability) — исторический фундамент; недостаточно для современного data risk.
- 6-осевая современная taxonomy: Accuracy (отличается от Integrity), Availability, Confidentiality, Integrity, Privacy (отличается от Confidentiality), Ethics (алгоритмическая справедливость).
- Каждая ось — отдельные примеры, regulatory drivers, типичные контроли.
- Cross-mapping матрица — оси рисков ↔ регуляции показывает: ни одна регуляция не покрывает все 6 осей; требуется агрегация по регуляциям.
- Оси рисков отличаются от измерений критичности CDE — разные цели. Критичность = решение о включении; оси = классификация рисков.
- Multi-axis-классификация разрешена + поощряется для сложных рисков (algorithmic bias = ethics основная + accuracy + privacy второстепенные).
- Шесть anti-patterns: только CIA, смешение accuracy/integrity, смешение confidentiality/privacy, отсутствует ethics, single-axis multi-axis риск, нет regulatory mapping.
- Согласование DAMA / DCAM — DCAM v3 расширенный scope Data Control Environment (risk + security + audit) поддерживает 6-осевую taxonomy.
- Далее (урок 6) — Risk-control matrix: переводить риск в конкретный control objective + activity.