AD от слова АД?

Учитывая компетентность некоторых читателей блога, предлагаю обсудить вопрос Ильи Новикова, касательно практической задачи защиты персональных данных:

 «Коллеги, хочу к вам обратиться с такой нетривиальной задачей.

Наверное уже не осталось организаций, где не была бы развернута Active Directory. Фактически это один из основных механизмов любого безопасника, но с выходом пресловутого закона «О персональных данных» встает вопрос, а надо ли защищать сведения, что находятся в AD. Рассмотрим классическую структуру AD мы увидим  три основные категории: ресурсы, службы  и люди (учётные записи пользователей и групп пользователей). Больше интересует учетные записи людей. Зачастую в учетки попадают фамилия и имя пользователя, а также  масса другой информации, которая позволяет получить о пользователе некоторые дополнительные сведения. 

Фактически:

1)      если мы рассмотрим классическое определение персональных данных «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»

2)      цель механизма (AD) ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ и предоставление ему четко определенных ресурсов системы

3)      а также, что категорирование персональных данных производится по совокупности информации обрабатываемой в информационной системе.  

То из всего этого можно сделать вывод, что совокупность информации о пользователе, что указана в AD относятся ко ВТОРОЙ КАТЕГОРИИ персональных данных.  

Но если я прав в своих суждениях, то что тогда рассматривать в качестве информационной системы персональных данных? Всю сеть?»

Давайте отнесем к персональным данным все, или, причем тут власть

Мы уже обсуждали, что определение персональных данных в отечественном законодательстве оставляет желать лучшего. Очередное подтверждение этому я обнаружил в новостях. Смысл происшедшего в следующем:

Во Владимирской области на одном из форумов обсуждалась персона местного губернатора. По определенным причинам, губернатору это не понравилось, и он как в книжках про мушкетеров начал вызывать обидчика на дуэль (история умалчивает, чем они должны были сражаться при очной ставке). Хозяин Владимирской области обратился в отдел «К» с требованием выяснить личность клеветника. Сотрудники милиции вызывали владельца Интернет-ресурса на допрос, мол: «Выдай!», на что получили следующий ответ:

"Данные IP-адреса являются персональными данными, которые являются конфиденциальной информацией... Вместе с тем, я не выгораживаю владельца адреса и не имею намерений препятствовать законной деятельности правоохранителей... Я вынужден отказать предоставить Вам информацию, относящуюся к тайне переписки заинтересованного лица"

Есть ли среди нас те, кто согласен с отнесением IP-адреса к персданным? Очень хочется услышать аргументацию.

Голосование №2 Как думаете...

А вообще, нужно ли уведомлять РКН?

Задавался вопрос о необходимости уведомления РКН об обработке ПДн.

К сожалению, подавляющему большинству компаний нужно подавать уведомление. Рассмотрим подробнее:

Статья 22, п.2 ФЗ № 152:

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

(ту все понятно)

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

(этот пункт закрывает много головной боли, потому что позволяет обрабатывать ПДн в целях исполнения договора, например, договора перевозки, туристического договора и т.д.)

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

(копаться не будем тут все понятно)

4) являющихся общедоступными персональными данными;

( ПДн станут общедоступными только тогда, когда у вас будет письменное согласие субъекта на перевод его персональных данных в категорию общедоступных, причем выходить за перечень данных, указанных в согласии, вы не можете. Предоставить доказательство общедоступности необходимо самому оператору. )

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

(понятно)

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

(не забываем, что после выхода субъекта с территории, данные необходимо уничтожить)

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

(это касается различных баз сепаратистов и т.д.)

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

(этим пунктом очень любят прикрываться, когда декларируют неавтоматизированную обработку по ПП №687, про обоснованность и выполнимость я уже писал)

Вот мы и рассмотрели все случаи, когда можно обрабатывать ПДн без уведомления. Теперь вопрос – Что делать с CRM? Ведь практически в каждой компании есть клиентская база! Ни под один из пунктов, такие ПДн не подпадают.

Что делать? Формально получается, что с повинной в РКН нужно практически всем (чего вновь настоятельно не рекомендую).

Новый блог

Совершенно случайно наткнулся на блог Игоря Хайрова. Познакомились мы с ним на семинаре «Защита персональных данных. Реализация требований ФСБ на практике», который проводился 18 февраля 2009 года Академией Информационных Систем и компанией ЗАО "НПО "Эшелон".

Особо заинтересовал тот факт, что Игорь пишет по тематике персональных данных, что не может не радовать. Интересно так же, что дни рождения наших блогов совпадают (16 марта), полагаю, что это случайность.

Статьи, выкладываемые Игорем, очень интересны, всем рекомендую.

Хочется пожелать Игорю успехов в дальнейшей реализации проекта.

Проблемы утопающих - "дело рук" самих утопающих

Регулярно мониторю западные СМИ на тематику персональных данных и пришел к выводу, что все-таки на западе больше внимания уделяется реальной защите персональной информации, причем ведется разъяснительная работа с самими субъектами. Примером могут послужить результаты исследований, нескольких исследователей Кембриджского университета. Особо важен тот резонанс, который эти результаты получили, оно и понятно, потеря персональных данных для европейцев и американцев гораздо критичнее, чем для нас.

Смысл исследования сводился к построению математической модели обработки данных из социальной сети Facebook (папа вКонтакте.ру). Достаточно проанализировать данные 8 друзей, чтобы выявить закономерности и собрать дополнительную информация, которую субъект не желал раскрывать (переписка не анализировалась). Анализируются открытые данные, при чем, возможно закрытие большей части информации друзей.

Это исследование напоминает выводы ЦРУ, если помните, несколько лет назад очень активно муссировали в прессе признания агентов. Они утверждали, что для сбора сведений вполне достаточно информации кто с кем говорит, и не важно о чем.

Вывод прост, никто не защитит наши персональные данные лучше нас самих.

Старая запись из новостей

Среди новостей: Национальный проект «Здоровье»

Согласно новости на mail.ru, в скором времени может появиться документ, содержащий сведения о состоянии здоровья (хотя такие вещи уже существуют хоть и отрывочные, хранящиеся в разных базах и архивах). При этом хочу сказать, что появление паспорта не влечет за собой уничтожение информации в поликлиниках – это глупость, а именно такое впечатление складывается по прочтению новости.

Скажу со знанием дела, что на сегодняшний день результаты диспансеризации храниться в поликлиниках, где-то на электронных, а в основном на бумажных носителях, причем передача таких данных осуществляются по открытым каналам с целью «не проследить больного». Т.е. если по факту прохождения диспансеризации у вас обнаружилось заболевание, и вы сменили место жительства, то ваши данные беспрепятственно МОГУТ передаться в поликлинику по новому месту жительства. МОГУТ в смысле, это не всегда происходит. Для сравнения в США, такого рада информация хранится на электронных носителях в зашифрованном виде, и если вы не захотите, то никто ее не увидит. Исключением может быть экстренная ситуация, например, автокатастрофа.

Остается надеяться, что столь сложная и деликатная проблема найдет законное и взвешенное решение.

А легко ли выйти из реестра операторов ПДн?

Сегодня хотел остановиться на приказе Россвязьохранкультуры (ныне Роскомнадзор) №157 от 28 марта 2008г, а именно на той части, которая описывает процедуру вывода операторов из реестра.

Приведу 6-ю главу с комментариями:
-----------------------------------------------------------------------------------

18. Вопрос об исключении Оператора из Реестра рассматривается в следующих случаях:

- поступление в Службу или ее территориальные управления письменного заявления (обращения) от Оператора, включенного в Реестр, об исключении с приложением обоснований;

- принятие Службой или ее территориальными управлениями мер по приостановлению или прекращению Оператором обработки персональных данных, осуществляемой с нарушением требований Закона.

(Все понятно, инициатором может быть либо РКН, либо сам оператор)

19. Операторы исключаются из Реестра при наступлении одного из следующих условий:

- ликвидация Оператора;

- прекращение деятельности Оператора в результате его реорганизации, за исключением реорганизации в форме преобразования;

- аннулирование лицензии на осуществление лицензируемой деятельности Оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

- наступление срока или условия прекращения обработки персональных данных, указанных в Уведомлении;

(тут интересно, согласно приказу №08, в уведомлении «указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных».

Никаких дополнительных разъяснений нет, т.е. у вас есть полное право написать здесь список условий из нескольких абзацев и перечислить очень многое, например, «…отзыв субъектом персональных данных согласия на обработку персональных данных, прекращения срока, в течение которого действует согласие субъекта персональных данных на обработку персональных данных…». Пишите максимально много, чтобы иметь больше оснований выйти из реестра.

К сожалению, в некоторых территориальных управлениях (лично не сталкивался, хотя слышал), могут не принимать такие развернутые условия и вынуждают писать – «ликвидация юридического лица или аннулирование лицензии»)

- решение суда о прекращении оператором деятельности по обработке персональных данных;

(о практике не слышал и сомневаюсь, что она была, но видимо это будет единственным способом для большинства операторов выйти из реестра)

- иные, установленные законодательством Российской Федерации в области персональных данных.

(обожаю такие поправки)

20. Решение об исключении Оператора из Реестра оформляется приказом руководителя Службы или заместителя руководителя Службы.

(Этот пункт заставляет задуматься о всей сложности процедуры исключения)

На основании изданного приказа в Реестр вносятся сведения об исключении Оператора из Реестра. После исключения Оператора из Реестра регистрационный номер соответствующей записи в дальнейшем не используется.

21. Информация об исключении Оператора из Реестра должна быть опубликована на официальном сайте Службы в сети Интернет не позднее трех дней с даты подписания приказа.

 ---------------------------------------------------------------------------

Одним словом, попасть в реестр значительно проще, чем из него выйти. Поэтому, повторюсь, озадачивайтесь отправкой уведомления в самую последнюю очередь, даже если Вы - гос.структура. Более того, можете написать официальное письмо в РКН, что вы не являетесь оператором ПДн до тех пор, пока РКН не докажет обратное, а доказать это можно только через суд.

Проведена проверка ФСТЭК на соответствие федеральному закону №152 «О персональных данных».

Роскомнадзор совместно с Министерством связи РФ провели проверку Федеральной службы по техническому и экспортному контролю в рамках государственной программы «Защита персональных данных граждан», как сообщил пресс-секретарь Минсвязи:

«Проверка на соответствие федеральному законодательству была инициирована по жалобе субъекта ПДн (бывшего сотрудника ФСТЭК), предметом жалобы являлась передача его ПДн третьим лицам без соответствующего согласия. Было принято решение о проведении комплексной проверки на соответствие ФЗ №152, РД ФСТЭК, РД ФСБ. В результате, были выявлены следующие нарушения:

1) Отсутствие отправленного уведомления в уполномоченный орган по защите ПДн, ст.22 ФЗ №152

2) Использование не сертифицированных средств защиты

        3) Защита от ПЭМИН в бухгалтерии не соответствует требованиям РД

…

        1685) Заниженный класс ИСПДн в отделе кадров

        1686) Использование неактуальной модели угроз

        1687) Отсутствие согласия субъектов на обработку ПДн, ст. 9 ФЗ №152

В выданном предписании предусмотрен 10-дневный срок устранения выявленных нарушений. С нашей точки зрения, указанного срока достаточно для устранения всех 1687 нарушений. Так же хотим предупредить, что в случае невыполнения или частичного выполнения данного предписания, будет рассматриваться вопрос о привлечении руководства ФСТЭК к административной и уголовной ответственности, а также приостановлении деятельности на срок до 90 суток».