О перечне сведений конфиденциального характера

Одним из основных документов в России в части определения информации, которая относится к конфиденциальной, в большинстве источников считается Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера".

В этой заметке приведу несколько аргументов против рассмотрения данного Указа как первоосновы для выделения конфиденциальной информации в организациях и отношениях между различными субъектами.

1. В соответствии с ч. 1 ст. 9 ФЗ-149 "Об информации..." от 27.07.2006 информация, к которой ограничивается доступ устанавливается федеральными законами:
   

   Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

   Таким образом, Указ не вписывается в картину ограничения доступа к информации в РФ с 2006 года.


2. Необходимо обратиться к самому тексту Указа, а именно преамбуле:

   В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти постановляю:
   Утвердить прилагаемый перечень сведений конфиденциального характера.

   Таким образом, цель Указа - совершенствовать порядок опубликования и вступления в силу различных актов. Цели установить некий перечень (исчерпывающий?) ограниченной к распространению информации в указе не заявлено.


3. Снова обратимся к ФЗ-149. Часть 2 ст. 5 ФЗ-149 определяет два типа информации: общедоступную и информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
   Термин "сведения конфиденциального характера" используется лишь в Указе, а режим работы с такими сведениями действующими нормативными актами не установлен. Ввиду отсутствия установленного режима, конфиденциальность "сведений конфиденциального характера" не определена.


4. В РФ действует иерархия нормативных актов:
   
   • Конституция РФ;
   • Федеральные конституционные законы;
   • Федеральные законы;
   • Указы Президента РФ.
   Данный порядок установлен Конституцией РФ, подробнее - п. 3 ст. 90:

   Указы и распоряжения Президента Российской Федерации не должны противоречить Конституции Российской Федерации и федеральным законам.

   Таким образом, в вопросе определения информации, доступ к которой может быть ограничен в соответствии с законодательством РФ, необходимо в первую очередь руководствоваться федеральными законами и лишь потом - указами Президента, которые должны быть не противоречивы.

Если спускаться на уровень предположений, то можно сказать, что Указ вероятнее всего подписывался с целью определить список конфиденциальной информации в отсутствие на тот момент какого-либо перечня или просто упоминания таких категорий в правовых актах РФ.

В настоящее время его следовало бы отменить или считать недействующим в силу противоречия с ФЗ-149 (хотя и не напрямую). Вместо этого, в Указ продолжают вноситься изменения другими указами. Я бы сказал, что это некорректный подход. Изменения вносятся в утверждаемые приказами/указами документы, но если в приказе/указе что-то неверно, то его отменяют и вводят новый. это был бы верный подход.

Страница авторизации для хотспота или Captive portal

Замечали ли вы когда-нибудь, что при подключении к беспроводной точке доступа Wi-Fi в общественном месте, иногда появляется сообщение от ОС, что необходима дополнительная регистрационная информация, или автоматически открывается страница браузера, которая открывает страничку для входа в Интернет?

Производители ОС, такие как Microsoft, Google и Apple предусмотрели возможности для владельцев хотспотов использовать т.н. captive portals, или как я называю - страницы авторизации.

Смысл заключается в том, что ОС при создании сетевого подключения начинает посылать тестовые запросы на свои тестовые домены (для Microsoft это msftncsi.com). Если эти тестовые запросы перенаправляются на какую-то страницу, то Windows считает, что присутствует captive portal, на который нужно перенаправить пользователя. При этом важно, чтобы все возможные запросы перенаправлялись на данный портал.

В случае, если часть запросов перенаправлена не будет, то возможны ошибки как обнаружения так и пропуска этого captive portal, соответственно владелец хотспота может не получить тот результат, которого он добивается.

Ниже привожу небольшой перевод части статьи Captive Portals:

Обработка подключения
Чтобы определить имеется ли подключение к Интернету и наличие портала авторизации при первичном подключении к сети, Windows производит серию тестов сети. Сайт назначения для таких тестов - msftncsi.com, который является зарезервированным доменом, используемым исключительно для тестирования подключения. После того, как портал авторизации обнаружен, эти тесты повторяются до тех пор, пока он не пропустит соединение.
Чтобы исключить «false positive» или «false negative» результаты теста, ваш портал авторизации не должен делать следующих вещей:

• Разрешать доступ к www.msftncsi.com, когда пользователь не имеет доступа в сеть Интернет.
• Изменять поведение портала авторизации, который отображается для пользователя. Например, не перенаправлять некоторые запросы и отбрасывать другие запросы; вам следует продолжать перенаправлять все запросы пока не пользователь не пройдет успешную аутентификацию.

Для дополнительной информации - RFC 6585 по HTTP коду ответа 511: https://tools.ietf.org/html/rfc6585