Privacy in Russia

Privacy in Russia: "This Blog about Privacy in Russia"

AD от слова АД?

Учитывая компетентность некоторых читателей блога, предлагаю обсудить вопрос Ильи Новикова, касательно практической задачи защиты персональных данных:

 «Коллеги, хочу к вам обратиться с такой нетривиальной задачей.

Наверное уже не осталось организаций, где не была бы развернута Active Directory. Фактически это один из основных механизмов любого безопасника, но с выходом пресловутого закона «О персональных данных» встает вопрос, а надо ли защищать сведения, что находятся в AD. Рассмотрим классическую структуру AD мы увидим  три основные категории: ресурсы, службы  и люди (учётные записи пользователей и групп пользователей). Больше интересует учетные записи людей. Зачастую в учетки попадают фамилия и имя пользователя, а также  масса другой информации, которая позволяет получить о пользователе некоторые дополнительные сведения. 

Фактически:

1)      если мы рассмотрим классическое определение персональных данных «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»

2)      цель механизма (AD) ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ и предоставление ему четко определенных ресурсов системы

3)      а также, что категорирование персональных данных производится по совокупности информации обрабатываемой в информационной системе.  

То из всего этого можно сделать вывод, что совокупность информации о пользователе, что указана в AD относятся ко ВТОРОЙ КАТЕГОРИИ персональных данных.  

Но если я прав в своих суждениях, то что тогда рассматривать в качестве информационной системы персональных данных? Всю сеть?»

Давайте отнесем к персональным данным все, или, причем тут власть

Мы уже обсуждали, что определение персональных данных в отечественном законодательстве оставляет желать лучшего. Очередное подтверждение этому я обнаружил в новостях. Смысл происшедшего в следующем:

Во Владимирской области на одном из форумов обсуждалась персона местного губернатора. По определенным причинам, губернатору это не понравилось, и он как в книжках про мушкетеров начал вызывать обидчика на дуэль (история умалчивает, чем они должны были сражаться при очной ставке). Хозяин Владимирской области обратился в отдел «К» с требованием выяснить личность клеветника. Сотрудники милиции вызывали владельца Интернет-ресурса на допрос, мол: «Выдай!», на что получили следующий ответ:

"Данные IP-адреса являются персональными данными, которые являются конфиденциальной информацией... Вместе с тем, я не выгораживаю владельца адреса и не имею намерений препятствовать законной деятельности правоохранителей... Я вынужден отказать предоставить Вам информацию, относящуюся к тайне переписки заинтересованного лица"

Есть ли среди нас те, кто согласен с отнесением IP-адреса к персданным? Очень хочется услышать аргументацию.

Голосование №2 Как думаете...

А вообще, нужно ли уведомлять РКН?

Задавался вопрос о необходимости уведомления РКН об обработке ПДн.

К сожалению, подавляющему большинству компаний нужно подавать уведомление. Рассмотрим подробнее:

Статья 22, п.2 ФЗ № 152:

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

(ту все понятно)

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

(этот пункт закрывает много головной боли, потому что позволяет обрабатывать ПДн в целях исполнения договора, например, договора перевозки, туристического договора и т.д.)

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

(копаться не будем тут все понятно)

4) являющихся общедоступными персональными данными;

( ПДн станут общедоступными только тогда, когда у вас будет письменное согласие субъекта на перевод его персональных данных в категорию общедоступных, причем выходить за перечень данных, указанных в согласии, вы не можете. Предоставить доказательство общедоступности необходимо самому оператору. )

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

(понятно)

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

(не забываем, что после выхода субъекта с территории, данные необходимо уничтожить)

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

(это касается различных баз сепаратистов и т.д.)

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

(этим пунктом очень любят прикрываться, когда декларируют неавтоматизированную обработку по ПП №687, про обоснованность и выполнимость я уже писал)

Вот мы и рассмотрели все случаи, когда можно обрабатывать ПДн без уведомления. Теперь вопрос – Что делать с CRM? Ведь практически в каждой компании есть клиентская база! Ни под один из пунктов, такие ПДн не подпадают.

Что делать? Формально получается, что с повинной в РКН нужно практически всем (чего вновь настоятельно не рекомендую).

Новый блог

Совершенно случайно наткнулся на блог Игоря Хайрова. Познакомились мы с ним на семинаре «Защита персональных данных. Реализация требований ФСБ на практике», который проводился 18 февраля 2009 года Академией Информационных Систем и компанией ЗАО "НПО "Эшелон".

Особо заинтересовал тот факт, что Игорь пишет по тематике персональных данных, что не может не радовать. Интересно так же, что дни рождения наших блогов совпадают (16 марта), полагаю, что это случайность.

Статьи, выкладываемые Игорем, очень интересны, всем рекомендую.

Хочется пожелать Игорю успехов в дальнейшей реализации проекта.

Проблемы утопающих - "дело рук" самих утопающих

Регулярно мониторю западные СМИ на тематику персональных данных и пришел к выводу, что все-таки на западе больше внимания уделяется реальной защите персональной информации, причем ведется разъяснительная работа с самими субъектами. Примером могут послужить результаты исследований, нескольких исследователей Кембриджского университета. Особо важен тот резонанс, который эти результаты получили, оно и понятно, потеря персональных данных для европейцев и американцев гораздо критичнее, чем для нас.

Смысл исследования сводился к построению математической модели обработки данных из социальной сети Facebook (папа вКонтакте.ру). Достаточно проанализировать данные 8 друзей, чтобы выявить закономерности и собрать дополнительную информация, которую субъект не желал раскрывать (переписка не анализировалась). Анализируются открытые данные, при чем, возможно закрытие большей части информации друзей.

Это исследование напоминает выводы ЦРУ, если помните, несколько лет назад очень активно муссировали в прессе признания агентов. Они утверждали, что для сбора сведений вполне достаточно информации кто с кем говорит, и не важно о чем.

Вывод прост, никто не защитит наши персональные данные лучше нас самих.

Старая запись из новостей

Среди новостей: Национальный проект «Здоровье»

Согласно новости на mail.ru, в скором времени может появиться документ, содержащий сведения о состоянии здоровья (хотя такие вещи уже существуют хоть и отрывочные, хранящиеся в разных базах и архивах). При этом хочу сказать, что появление паспорта не влечет за собой уничтожение информации в поликлиниках – это глупость, а именно такое впечатление складывается по прочтению новости.

Скажу со знанием дела, что на сегодняшний день результаты диспансеризации храниться в поликлиниках, где-то на электронных, а в основном на бумажных носителях, причем передача таких данных осуществляются по открытым каналам с целью «не проследить больного». Т.е. если по факту прохождения диспансеризации у вас обнаружилось заболевание, и вы сменили место жительства, то ваши данные беспрепятственно МОГУТ передаться в поликлинику по новому месту жительства. МОГУТ в смысле, это не всегда происходит. Для сравнения в США, такого рада информация хранится на электронных носителях в зашифрованном виде, и если вы не захотите, то никто ее не увидит. Исключением может быть экстренная ситуация, например, автокатастрофа.

Остается надеяться, что столь сложная и деликатная проблема найдет законное и взвешенное решение.

А легко ли выйти из реестра операторов ПДн?

Сегодня хотел остановиться на приказе Россвязьохранкультуры (ныне Роскомнадзор) №157 от 28 марта 2008г, а именно на той части, которая описывает процедуру вывода операторов из реестра.

Приведу 6-ю главу с комментариями:
-----------------------------------------------------------------------------------

18. Вопрос об исключении Оператора из Реестра рассматривается в следующих случаях:

- поступление в Службу или ее территориальные управления письменного заявления (обращения) от Оператора, включенного в Реестр, об исключении с приложением обоснований;

- принятие Службой или ее территориальными управлениями мер по приостановлению или прекращению Оператором обработки персональных данных, осуществляемой с нарушением требований Закона.

(Все понятно, инициатором может быть либо РКН, либо сам оператор)

19. Операторы исключаются из Реестра при наступлении одного из следующих условий:

- ликвидация Оператора;

- прекращение деятельности Оператора в результате его реорганизации, за исключением реорганизации в форме преобразования;

- аннулирование лицензии на осуществление лицензируемой деятельности Оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

- наступление срока или условия прекращения обработки персональных данных, указанных в Уведомлении;

(тут интересно, согласно приказу №08, в уведомлении «указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных».

Никаких дополнительных разъяснений нет, т.е. у вас есть полное право написать здесь список условий из нескольких абзацев и перечислить очень многое, например, «…отзыв субъектом персональных данных согласия на обработку персональных данных, прекращения срока, в течение которого действует согласие субъекта персональных данных на обработку персональных данных…». Пишите максимально много, чтобы иметь больше оснований выйти из реестра.

К сожалению, в некоторых территориальных управлениях (лично не сталкивался, хотя слышал), могут не принимать такие развернутые условия и вынуждают писать – «ликвидация юридического лица или аннулирование лицензии»)

- решение суда о прекращении оператором деятельности по обработке персональных данных;

(о практике не слышал и сомневаюсь, что она была, но видимо это будет единственным способом для большинства операторов выйти из реестра)

- иные, установленные законодательством Российской Федерации в области персональных данных.

(обожаю такие поправки)

20. Решение об исключении Оператора из Реестра оформляется приказом руководителя Службы или заместителя руководителя Службы.

(Этот пункт заставляет задуматься о всей сложности процедуры исключения)

На основании изданного приказа в Реестр вносятся сведения об исключении Оператора из Реестра. После исключения Оператора из Реестра регистрационный номер соответствующей записи в дальнейшем не используется.

21. Информация об исключении Оператора из Реестра должна быть опубликована на официальном сайте Службы в сети Интернет не позднее трех дней с даты подписания приказа.

 ---------------------------------------------------------------------------

Одним словом, попасть в реестр значительно проще, чем из него выйти. Поэтому, повторюсь, озадачивайтесь отправкой уведомления в самую последнюю очередь, даже если Вы - гос.структура. Более того, можете написать официальное письмо в РКН, что вы не являетесь оператором ПДн до тех пор, пока РКН не докажет обратное, а доказать это можно только через суд.

Проведена проверка ФСТЭК на соответствие федеральному закону №152 «О персональных данных».

Роскомнадзор совместно с Министерством связи РФ провели проверку Федеральной службы по техническому и экспортному контролю в рамках государственной программы «Защита персональных данных граждан», как сообщил пресс-секретарь Минсвязи:

«Проверка на соответствие федеральному законодательству была инициирована по жалобе субъекта ПДн (бывшего сотрудника ФСТЭК), предметом жалобы являлась передача его ПДн третьим лицам без соответствующего согласия. Было принято решение о проведении комплексной проверки на соответствие ФЗ №152, РД ФСТЭК, РД ФСБ. В результате, были выявлены следующие нарушения:

1) Отсутствие отправленного уведомления в уполномоченный орган по защите ПДн, ст.22 ФЗ №152

2) Использование не сертифицированных средств защиты

        3) Защита от ПЭМИН в бухгалтерии не соответствует требованиям РД

…

        1685) Заниженный класс ИСПДн в отделе кадров

        1686) Использование неактуальной модели угроз

        1687) Отсутствие согласия субъектов на обработку ПДн, ст. 9 ФЗ №152

В выданном предписании предусмотрен 10-дневный срок устранения выявленных нарушений. С нашей точки зрения, указанного срока достаточно для устранения всех 1687 нарушений. Так же хотим предупредить, что в случае невыполнения или частичного выполнения данного предписания, будет рассматриваться вопрос о привлечении руководства ФСТЭК к административной и уголовной ответственности, а также приостановлении деятельности на срок до 90 суток».

Слух №3 За что купил, за то и продаю!

Долго думал писать или нет ту информацию, которую сегодня услышал. Назвать ее спорной – это никак не назвать. Решил написать под заголовком: «За что купил, за то и продаю», снимая все возражения в свой адрес.

Итак, не секрет что недавно проходил координационный совет с участием ФСТЭК и интеграторов, ну это не секрет, все знают. Также известно, что на нем обсуждался факт внесения минимальных изменений в Четворокнижие 2.0.

И вот сегодня, от одного из сотрудников крупного отечественного интегратора, услышал о результатах данного совета. Честно признаться, был слегка шокирован, хотя и говорил неоднократно, что в области ПДн уже ничему не удивляюсь.

Постараюсь донести суть услышанного:

«Итак, на совете поднимался вопрос о том, что большинство государственных операторов обрабатывают персональные данные 1 категории, и что защитить их все по требованиям ФСТЭК нереально. Поэтому принято волевое решение не менять Четверокнижие, при этом спрашивать с государственных операторов как по К3! И оставить К1 только у администраций и операторов обрабатывающих сведения о состоянии здоровья!»

Жуть-то какая… Звучит как полная ерунда!

Простите коллеги, но если эта информация подтвердиться, то мы с вами лишний раз убедимся, что у регуляторов есть свои, неизвестные нам с вами причины, сохранять документы в их первозданном виде. Более того, нарушаются основные принципы права (беспристрастность и равенство перед законом).

Будем надеяться, что тут есть ошибка, оговорка или недопонимание, а лучше все вместе.

Нужно ли вносить изменения в устав при обработке ПДн?

Этот вопрос неоднократно поднимался, неоднократно объяснялся, но разговоры не утихают. Итак...
ФЗ  208 "Об акционерных обществах" в ст.2. п.4 говорит "Общество имеет гражданские права и несет обязанности, необходимые для осуществления любых видов деятельности, не запрещенных федеральными законами", ниже идет добавление "Отдельными видами деятельности, перечень которых определяется федеральными законами, общество может заниматься только на основании специального разрешения (лицензии). Если условиями предоставления специального разрешения (лицензии) на занятие определенным видом деятельности предусмотрено требование о занятии такой деятельностью как исключительной, то общество в течение срока действия специального разрешения (лицензии) не вправе осуществлять иные виды деятельности, за исключением видов деятельности, предусмотренных специальным разрешением (лицензией) и им сопутствующих". Ни слова о внесении изменений в устав в случае инициации нового вида деятельности. В ст.11 мы также ничего не обнаруживаем.
Идем дальше...
ФЗ  14 "Об обществах с ограниченной ответственностью" в п.2 ст.2 "Общество может иметь гражданские права и нести гражданские обязанности, необходимые для осуществления любых видов деятельности, не запрещенных федеральными законами, если это не противоречит предмету и целям деятельности, определенно ограниченным уставом общества". А теперь заглядываем в устав, как правило, после перечня видов деятельности написано что-то вроде "и иные виды деятельности, не запрещенные законодательством РФ", если такие слова есть, то организация имеет права заниматься любым законным видом деятельности (коды статистики не имеют значения). Если таких слов нет, то список видов деятельности является исчерпывающим, и заниматься технической защитой конфиденциальной информации вы формально не можете. При внесении изменений в устав нужно внести только поправку на иные виды деятельности.

Вопрос иностранца

Складывается интересная практика. Существуют вполне понятные и оправданные положения, по которым, требования ФЗ №152 не распространяются на информацию, которая относится одновременно и к ПДн и гостайне.

Тут все закономерно, если бы не практика:

На сегодняшний день среди государственных предприятий, обрабатывающих гостайну, складывается (если не сказать сложилась) практика ухода от выполнения требований ФЗ 152 и РД ФСТЭК с ФСБ. Делают они это следующим образом, находят приказ от какого-нибудь 9-сот косматого года по которому, информацию, содержащую персональные данные, можно отнести к гостайне, и повышают гриф. Это очень удобно для заказчиков, у которых обрабатывается большой объем секретной информации, есть выделенные отделы по защите гостайны и схема работы уже давно отработана.

На этих выходных общался с иностранцем, который очень далек от всей этой тематики, но когда узнал, чем я заминаюсь, спросил: "А у вас есть закон о защите  кредитных карт?", на что я ему рассказал пример описанный выше (думал, он восхитится уровнем защищенность российских банков).

Зря я это сделал.

После этих слов, я вспомнил о тех временах, когда по-английски мог сказать только «My name is Zhenya, the sun is shining». Он просто не мог, понят как защита информации о кредитках, может реализовываться  сложнее, чем информация о военной мощи и террористах (грубо говоря). Пытаясь объяснить ему, суть всего происходящего сам стал осознавать всю абсурдность своих объяснений, махнул рукой и сказал «It's Russia».