О перечне сведений конфиденциального характера

Одним из основных документов в России в части определения информации, которая относится к конфиденциальной, в большинстве источников считается Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера".

В этой заметке приведу несколько аргументов против рассмотрения данного Указа как первоосновы для выделения конфиденциальной информации в организациях и отношениях между различными субъектами.

1. В соответствии с ч. 1 ст. 9 ФЗ-149 "Об информации..." от 27.07.2006 информация, к которой ограничивается доступ устанавливается федеральными законами:
   

   Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

   Таким образом, Указ не вписывается в картину ограничения доступа к информации в РФ с 2006 года.


2. Необходимо обратиться к самому тексту Указа, а именно преамбуле:

   В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти постановляю:
   Утвердить прилагаемый перечень сведений конфиденциального характера.

   Таким образом, цель Указа - совершенствовать порядок опубликования и вступления в силу различных актов. Цели установить некий перечень (исчерпывающий?) ограниченной к распространению информации в указе не заявлено.


3. Снова обратимся к ФЗ-149. Часть 2 ст. 5 ФЗ-149 определяет два типа информации: общедоступную и информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
   Термин "сведения конфиденциального характера" используется лишь в Указе, а режим работы с такими сведениями действующими нормативными актами не установлен. Ввиду отсутствия установленного режима, конфиденциальность "сведений конфиденциального характера" не определена.


4. В РФ действует иерархия нормативных актов:
   
   • Конституция РФ;
   • Федеральные конституционные законы;
   • Федеральные законы;
   • Указы Президента РФ.
   Данный порядок установлен Конституцией РФ, подробнее - п. 3 ст. 90:

   Указы и распоряжения Президента Российской Федерации не должны противоречить Конституции Российской Федерации и федеральным законам.

   Таким образом, в вопросе определения информации, доступ к которой может быть ограничен в соответствии с законодательством РФ, необходимо в первую очередь руководствоваться федеральными законами и лишь потом - указами Президента, которые должны быть не противоречивы.

Если спускаться на уровень предположений, то можно сказать, что Указ вероятнее всего подписывался с целью определить список конфиденциальной информации в отсутствие на тот момент какого-либо перечня или просто упоминания таких категорий в правовых актах РФ.

В настоящее время его следовало бы отменить или считать недействующим в силу противоречия с ФЗ-149 (хотя и не напрямую). Вместо этого, в Указ продолжают вноситься изменения другими указами. Я бы сказал, что это некорректный подход. Изменения вносятся в утверждаемые приказами/указами документы, но если в приказе/указе что-то неверно, то его отменяют и вводят новый. это был бы верный подход.

Страница авторизации для хотспота или Captive portal

Замечали ли вы когда-нибудь, что при подключении к беспроводной точке доступа Wi-Fi в общественном месте, иногда появляется сообщение от ОС, что необходима дополнительная регистрационная информация, или автоматически открывается страница браузера, которая открывает страничку для входа в Интернет?

Производители ОС, такие как Microsoft, Google и Apple предусмотрели возможности для владельцев хотспотов использовать т.н. captive portals, или как я называю - страницы авторизации.

Смысл заключается в том, что ОС при создании сетевого подключения начинает посылать тестовые запросы на свои тестовые домены (для Microsoft это msftncsi.com). Если эти тестовые запросы перенаправляются на какую-то страницу, то Windows считает, что присутствует captive portal, на который нужно перенаправить пользователя. При этом важно, чтобы все возможные запросы перенаправлялись на данный портал.

В случае, если часть запросов перенаправлена не будет, то возможны ошибки как обнаружения так и пропуска этого captive portal, соответственно владелец хотспота может не получить тот результат, которого он добивается.

Ниже привожу небольшой перевод части статьи Captive Portals:

Обработка подключения
Чтобы определить имеется ли подключение к Интернету и наличие портала авторизации при первичном подключении к сети, Windows производит серию тестов сети. Сайт назначения для таких тестов - msftncsi.com, который является зарезервированным доменом, используемым исключительно для тестирования подключения. После того, как портал авторизации обнаружен, эти тесты повторяются до тех пор, пока он не пропустит соединение.
Чтобы исключить «false positive» или «false negative» результаты теста, ваш портал авторизации не должен делать следующих вещей:

• Разрешать доступ к www.msftncsi.com, когда пользователь не имеет доступа в сеть Интернет.
• Изменять поведение портала авторизации, который отображается для пользователя. Например, не перенаправлять некоторые запросы и отбрасывать другие запросы; вам следует продолжать перенаправлять все запросы пока не пользователь не пройдет успешную аутентификацию.

Для дополнительной информации - RFC 6585 по HTTP коду ответа 511: https://tools.ietf.org/html/rfc6585

Конфиденциальные договоры

Довольно-таки часто приходится изучать договоры на наличие в них положений о конфиденциальности данных, передаваемых между сторонами.

И в большинстве случаев, даже если одной из сторон является компания-интегратор ИБ (в штате которой не мало специалистов с сертификатами), видишь скудные положения о конфиденциальности неких данных.

Обычно в шаблонных разделах о конфиденциальности к таким данным относят:

• факт существования договора (интересно, и от налоговых органов тоже скрываем?)
• условия договора
• любая информация о договоре (что это?)

Считаю, что такая неразвитость условий сохранения конфиденциальности в договорах обусловлена отсутствием судебной практики, малым количеством известных инцидентов утечки информации и отсутствием реального/понятного ущерба от таких утечек.

К типовым недоработкам разделов "О конфиденциальности" в договорах я бы отнес:

1. Отсутствие четкого определения, в отношении какой информации устанавливается режим конфиденциальности.
2. Недостаточная проработка возможных исключений (например, передача информации в различные госорганы в соответствии с законодательством). Здесь, конечно, можно возразить, что в случае, если пункт договора противоречит законодательству, то данный пункт является ничтожным, т.е. по умолчанию, передача в госорганы возможна.
3. Недостаточная проработка порядка передачи и доступа к конфиденциальной информации сторон договора (обычно договор указывает, что передающая сторона неким образом обозначает конфиденциальность передаваемых сведений принимающей стороне - такой порядок желательно детализировать в договоре).
4. Отсутствие указания контактных лиц, сроков и каналов информирования сторон в случае разглашения конфиденциальной информации.
5. Отсутствие условий, которые можно было бы предъявить к принимающей стороне, как то: подписание с работниками соглашений о конфиденциальности информации, защищаемой по данному договору; в случае, если привлекается субисполнитель, то требования к договорным условиям с субисполнителем.
6. Отсутствие или недостаточная детализация условий уничтожения конфиденциальной информации по окончанию действия договора или по требованию стороны-обладателя информации (желательно предусмотреть возможность уничтожения информации по запросу обладателя, а также возможность запроса подтверждения уничтожения информации, например, в виде акта). Часто встречаю условия в духе "вернуть все копии по окончанию договора": стоит задаться вопросом, каким образом они могут быть возвращены, если размещены на сервере исполнителя?

И самое основное, что нужно знать и четко для себя определить: а относится ли конфиденциальная информация к предмету договора. Так, например, договор на хостинг может включать в себя положения о конфиденциальности "передаваемой сторонами информации". А что это за информация, по каким каналам она передается и как доказать факт такой передачи?

Если вы не можете доказать, что информация была передана вами и получена другой стороной, а потом каким-то образом оказалась у третьих лиц, то никакие условия конфиденциальности вас не спасут.

Порочная практика

Запоздало, но всё же напишу.

Еще одна характеристика того, как работает Роскомнадзор.

В сентябре 2015 года, когда положения о размещении баз данных ПДн на территории РФ вступили в силу, Роскомнадзор на проверках стал требовать указания расположения баз данных в уведомлении.

И это при том, что на тот момент, ни форма уведомления (введенная адм.регламентом РКН), ни сайт РКН не предполагали указания таких данных.

Понятно, что от рядовых сотрудников РКН этого требовал "центр" (или "штаб").

В итоге получился интересный разговор:

- Укажите расположение БД в уведомлении.

- Как его вам указать?

- Да просто напишите Изменение в уведомление.

- Так там же нет таких полей. Вы его нам же и завернете обратно, как не соответствующее утвержденной форме.

- Нет, присылайте как хотите, но расположение укажите.

Интересно, когда это прекратится.