Способы обеспечить конфиденциальность персональных данных

Этим постом хочу прокомментировать "способы обеспечения конфиденциальности" от Алексея Лукацкого (https://lukatsky.blogspot.ru/2014/10/blog-post_9.html).

1. Получение согласия субъекта на передачу ПДн в открытом виде.
   Начнем с того, что эти действия сами по себе не имеют отношения к обеспечению конфиденциальности данных, это очевидно.
   Оператор, предлагая субъекту подписать такое согласие:
   • потенциально нарушает права субъекта ПДн, призывая/заставляя субъекта отказаться от его права на конфиденциальность ПДн о нем. Это видно из следующего примера: пациенту в больнице предлагают подписать согласие на передачу сведений о нем и его диагнозе в открытом виде - одновременно с этим согласием забывается об обязанности соблюдать врачебную тайну.
   • снимает с себя обязательства об обеспечении конфиденциальности ПДн, которые предъявляются к оператору законом.


2. Сделать ПДн общедоступными.
   Раскроем: предложить субъекту сделать его ПДн общедоступными.
   Здесь опять же предлагается поразить субъекта в его правах, предлагается отказаться от права на защиту его данных. Да, субъект своей волей и в своем интересе распоряжается своими ПДн. Однако, учитывая повальную грамотность населения, законом обычно предусматриваются некоторые базовые гарантии (например, посмотрим в сторону прав потребителя: существует гарантированный законом срок возврата определенных товаров - и это уже не предмет дискуссии между продавцом и покупателем). Поэтому предложение оператора "общедоступить" ПДн субъекта при отсутствии достаточных на то оснований и целей должно рассматриваться как предложение отказаться субъекту от своих прав, а оператору - от выполнения требований закона. Фактически, оператор здесь предлагает обработку общедоступных ПДн с целью не обеспечивать конфиденциальность данных субъекта, именно такая цель и должна быть указана в согласии :)


3. Обеспечить контролируемую зону.
   Этот способ подходит: он включает и организационные, и технические мероприятия по недопущению раскрытия ПДн недопущенным к обработке лицам.
4. Использовать оптические каналы связи.
   Способ подходит, однако необходимо раскрыть: адекватность и достаточность такой меры защиты должна вытекать из модели нарушителя и актуальных угроз. Т.е. в некоторых случаях такой меры может быть недостаточно (где проходят эти каналы, какое оборудование задействовано и кто к нему имеет доступ?)


5. Использование механизмов защиты от НСД за исключением собственно шифрования.
   Этот способ также подходит.


6. Переложить задачу обеспечения конфиденциальности на оператора связи.
   Технически реализуемо - наверно.
   Юридически: обязанность обеспечения конфиденциальности данных лежит на операторе. Чтобы переложить эту обязанность на оператора связи нужно понимать, какие каналы контролирует оператор связи, а какие не контролирует. Если данные передаются из одного офиса в другой через канал сети Интернет без шифрования (например, протоколы на базе http), то оператор связи в данном случае контролирует распространение трафика только в своей сети, но не далее.


7. Передавать в канал связи обезличенные данные.
   Строго говоря, это не способ обеспечения конфиденциальности ПДн. Т.к. их здесь уже нет.
   Тут не будем брать в расчет некоторое некорректное понимание РКН о подходах к обезличиванию (это тема для отдельного поста), исхожу из того, что обезличенные данные - это не ПДн.


8. Использовать СКЗИ для защиты ПДн.
   Да, это так.

Перечень способов с 1 по 7 представляется его автором как перечень способов по легитимному отказу от использования СКЗИ для защиты ПДн.
По факту, некоторые из способов представляют собой балансирование на грани между добросовестной и недобросовестной обработкой ПДн (а между тем, работники оператора, как и автолюбители, выйдя из автомобиля становится пешеходами - субъектами, чьи права они пытаются своими действиями умалить). Другие способы могут являться таковыми только при корректном подходе к их применению, они не являются серебряной пулей.

Понятно, что всё это предлагается не от хорошей жизни. Но подход "все нарушают - и я буду" как-то не очень.

О перечне сведений конфиденциального характера

Одним из основных документов в России в части определения информации, которая относится к конфиденциальной, в большинстве источников считается Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера".

В этой заметке приведу несколько аргументов против рассмотрения данного Указа как первоосновы для выделения конфиденциальной информации в организациях и отношениях между различными субъектами.

1. В соответствии с ч. 1 ст. 9 ФЗ-149 "Об информации..." от 27.07.2006 информация, к которой ограничивается доступ устанавливается федеральными законами:
   

   Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

   Таким образом, Указ не вписывается в картину ограничения доступа к информации в РФ с 2006 года.


2. Необходимо обратиться к самому тексту Указа, а именно преамбуле:

   В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти постановляю:
   Утвердить прилагаемый перечень сведений конфиденциального характера.

   Таким образом, цель Указа - совершенствовать порядок опубликования и вступления в силу различных актов. Цели установить некий перечень (исчерпывающий?) ограниченной к распространению информации в указе не заявлено.


3. Снова обратимся к ФЗ-149. Часть 2 ст. 5 ФЗ-149 определяет два типа информации: общедоступную и информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
   Термин "сведения конфиденциального характера" используется лишь в Указе, а режим работы с такими сведениями действующими нормативными актами не установлен. Ввиду отсутствия установленного режима, конфиденциальность "сведений конфиденциального характера" не определена.


4. В РФ действует иерархия нормативных актов:
   
   • Конституция РФ;
   • Федеральные конституционные законы;
   • Федеральные законы;
   • Указы Президента РФ.
   Данный порядок установлен Конституцией РФ, подробнее - п. 3 ст. 90:

   Указы и распоряжения Президента Российской Федерации не должны противоречить Конституции Российской Федерации и федеральным законам.

   Таким образом, в вопросе определения информации, доступ к которой может быть ограничен в соответствии с законодательством РФ, необходимо в первую очередь руководствоваться федеральными законами и лишь потом - указами Президента, которые должны быть не противоречивы.

Если спускаться на уровень предположений, то можно сказать, что Указ вероятнее всего подписывался с целью определить список конфиденциальной информации в отсутствие на тот момент какого-либо перечня или просто упоминания таких категорий в правовых актах РФ.

В настоящее время его следовало бы отменить или считать недействующим в силу противоречия с ФЗ-149 (хотя и не напрямую). Вместо этого, в Указ продолжают вноситься изменения другими указами. Я бы сказал, что это некорректный подход. Изменения вносятся в утверждаемые приказами/указами документы, но если в приказе/указе что-то неверно, то его отменяют и вводят новый. это был бы верный подход.

Страница авторизации для хотспота или Captive portal

Замечали ли вы когда-нибудь, что при подключении к беспроводной точке доступа Wi-Fi в общественном месте, иногда появляется сообщение от ОС, что необходима дополнительная регистрационная информация, или автоматически открывается страница браузера, которая открывает страничку для входа в Интернет?

Производители ОС, такие как Microsoft, Google и Apple предусмотрели возможности для владельцев хотспотов использовать т.н. captive portals, или как я называю - страницы авторизации.

Смысл заключается в том, что ОС при создании сетевого подключения начинает посылать тестовые запросы на свои тестовые домены (для Microsoft это msftncsi.com). Если эти тестовые запросы перенаправляются на какую-то страницу, то Windows считает, что присутствует captive portal, на который нужно перенаправить пользователя. При этом важно, чтобы все возможные запросы перенаправлялись на данный портал.

В случае, если часть запросов перенаправлена не будет, то возможны ошибки как обнаружения так и пропуска этого captive portal, соответственно владелец хотспота может не получить тот результат, которого он добивается.

Ниже привожу небольшой перевод части статьи Captive Portals:

Обработка подключения
Чтобы определить имеется ли подключение к Интернету и наличие портала авторизации при первичном подключении к сети, Windows производит серию тестов сети. Сайт назначения для таких тестов - msftncsi.com, который является зарезервированным доменом, используемым исключительно для тестирования подключения. После того, как портал авторизации обнаружен, эти тесты повторяются до тех пор, пока он не пропустит соединение.
Чтобы исключить «false positive» или «false negative» результаты теста, ваш портал авторизации не должен делать следующих вещей:

• Разрешать доступ к www.msftncsi.com, когда пользователь не имеет доступа в сеть Интернет.
• Изменять поведение портала авторизации, который отображается для пользователя. Например, не перенаправлять некоторые запросы и отбрасывать другие запросы; вам следует продолжать перенаправлять все запросы пока не пользователь не пройдет успешную аутентификацию.

Для дополнительной информации - RFC 6585 по HTTP коду ответа 511: https://tools.ietf.org/html/rfc6585

Конфиденциальные договоры

Довольно-таки часто приходится изучать договоры на наличие в них положений о конфиденциальности данных, передаваемых между сторонами.

И в большинстве случаев, даже если одной из сторон является компания-интегратор ИБ (в штате которой не мало специалистов с сертификатами), видишь скудные положения о конфиденциальности неких данных.

Обычно в шаблонных разделах о конфиденциальности к таким данным относят:

• факт существования договора (интересно, и от налоговых органов тоже скрываем?)
• условия договора
• любая информация о договоре (что это?)

Считаю, что такая неразвитость условий сохранения конфиденциальности в договорах обусловлена отсутствием судебной практики, малым количеством известных инцидентов утечки информации и отсутствием реального/понятного ущерба от таких утечек.

К типовым недоработкам разделов "О конфиденциальности" в договорах я бы отнес:

1. Отсутствие четкого определения, в отношении какой информации устанавливается режим конфиденциальности.
2. Недостаточная проработка возможных исключений (например, передача информации в различные госорганы в соответствии с законодательством). Здесь, конечно, можно возразить, что в случае, если пункт договора противоречит законодательству, то данный пункт является ничтожным, т.е. по умолчанию, передача в госорганы возможна.
3. Недостаточная проработка порядка передачи и доступа к конфиденциальной информации сторон договора (обычно договор указывает, что передающая сторона неким образом обозначает конфиденциальность передаваемых сведений принимающей стороне - такой порядок желательно детализировать в договоре).
4. Отсутствие указания контактных лиц, сроков и каналов информирования сторон в случае разглашения конфиденциальной информации.
5. Отсутствие условий, которые можно было бы предъявить к принимающей стороне, как то: подписание с работниками соглашений о конфиденциальности информации, защищаемой по данному договору; в случае, если привлекается субисполнитель, то требования к договорным условиям с субисполнителем.
6. Отсутствие или недостаточная детализация условий уничтожения конфиденциальной информации по окончанию действия договора или по требованию стороны-обладателя информации (желательно предусмотреть возможность уничтожения информации по запросу обладателя, а также возможность запроса подтверждения уничтожения информации, например, в виде акта). Часто встречаю условия в духе "вернуть все копии по окончанию договора": стоит задаться вопросом, каким образом они могут быть возвращены, если размещены на сервере исполнителя?

И самое основное, что нужно знать и четко для себя определить: а относится ли конфиденциальная информация к предмету договора. Так, например, договор на хостинг может включать в себя положения о конфиденциальности "передаваемой сторонами информации". А что это за информация, по каким каналам она передается и как доказать факт такой передачи?

Если вы не можете доказать, что информация была передана вами и получена другой стороной, а потом каким-то образом оказалась у третьих лиц, то никакие условия конфиденциальности вас не спасут.

Порочная практика

Запоздало, но всё же напишу.

Еще одна характеристика того, как работает Роскомнадзор.

В сентябре 2015 года, когда положения о размещении баз данных ПДн на территории РФ вступили в силу, Роскомнадзор на проверках стал требовать указания расположения баз данных в уведомлении.

И это при том, что на тот момент, ни форма уведомления (введенная адм.регламентом РКН), ни сайт РКН не предполагали указания таких данных.

Понятно, что от рядовых сотрудников РКН этого требовал "центр" (или "штаб").

В итоге получился интересный разговор:

- Укажите расположение БД в уведомлении.

- Как его вам указать?

- Да просто напишите Изменение в уведомление.

- Так там же нет таких полей. Вы его нам же и завернете обратно, как не соответствующее утвержденной форме.

- Нет, присылайте как хотите, но расположение укажите.

Интересно, когда это прекратится.

Обновляем статус документов от 4 июня

Богом забытый пост от 4 июня про статус совсем некоторых документов по ИБ должен быть актуализирован.

Итак:
1. О повышении штрафов за нарушения при обработке ПДн:
Всё так же плохо. У депутатов в приоритете исполнение желаний администрации президента.

2. Положение о контроле за обработкой ПДн:
Идет антикоррупционная экспертиза.

3. Защита ПДн нотариусами:
Где-то на утверждении в ФМС.

4. Методика определения угроз безопасности информации в информационных системах:
Где-то в "подвалах" ФСТЭК, видимо замечания приняты и обрабатываются.

За то, за это время РКН успел:

• разродиться постатейным комментарием закона о персданных: http://rkn.gov.ru/news/rsoc/news33050.htm
  теперь мы знаем, что они проверяют в ходе своих проверок, однако видимо не все в РКН еще в курсе, что они уже достаточно всех дезинформировали своими противоречивыми комментариями к многострадальному ФЗ-152
• поддержать некий ПД-Инфо - портал о ФЗ-242 по поводу переноса персданных в Россию, который со своей колокольни опять-таки "разъясняет" как применять закон, к которому авторы ресурса никакого отношения не имеют

Ну и в окончание всех этих "разъяснений", видимо устав от всеобщего негодования, "комментарии" протолкнули в Минкомсвязь

Статус законопроектов и других документов по ИБ

Отмечу текущий статус некоторых документов по защите информации, которые сейчас находятся где-то на пути утверждения/согласования/рассмотрения и т.п.

1. О повышении штрафов за нарушения при обработке ПДн (Законопроект "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных)").

До сих пор гуляет где-то между первым и вторым чтением в ГД РФ. Еще 24.02.2015 законопроект прошел первое чтение, и в 30-тидневный срок должны были быть представлены поправки к нему. Пока информации о них не было.

2. Положение о контроле за обработкой ПДн (Проект ПП РФ "Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации").

Публичное обсуждение до 07.06.2015

3. О, в том числе, защите ПДн нотариусами (Проект приказа ФМС России "Об утверждении Требований к специальным техническим и программно-техническим средствам, используемым нотариусом при совершении нотариальных действий и позволяющим удостовериться в подлинности представленных гражданином документов").

Публичное обсуждение до 09.06.2015

4. Методика определения угроз безопасности информации в информационных системах (Проект документа ФСТЭК России).

Прием предложений и замечаний до 10.06.2015

Это наверняка не все документы, касаемо области ЗИ, но интересные.