четверг, 18 августа 2011 г.

Откуда есть - пошло. Часть 2.


Продолжаем тему поиска идеи реализации ст. 19 152-ФЗ, которая в дальнейшем смогла бы стать системообразующей для подзаконных актов, в скором времени должных быть изданными под эгидой Минкомсвязи РФ. Повторюсь, дорогие коллеги: то, что здесь излагается и обсуждается - ни в коей мере не может претендовать на какой-то сформулированный документ или даже его черновик. Сейчас, пока ТАМ думают о составе подзаконных актов, мы с вами должны предложить этот состав, но не высосанный из пальца, а основанный на определенных соображениях, которые я называю ИДЕЕЙ.


Итак, принимая во внимание все замечания, указанные в предыдущей части, я переосмыслил некоторые подходы, и головоломка теперь складывается следующим образом:


Прежде всего, сформулируем некоторые правила:
  1. Исходя из целей Конвенции и Закона, УЩЕРБ субъектам (если угодно - вред гражданам) является определяющим. Именно он поставлен во главу угла и должен присутствовать на любых этапах этой бурной деятельности. Поэтому нам необходимо КАЖДЫЙ квадратик формировать с постоянной оглядкой на этот постулат.
  2. Если Вы, дорогие читатели, знакомы с содержанием нашей с Александром Бондаренко статьи "Оценка рисков и защита персональных данных", то знаете принципиальную разницу в отечественном и западном подходах к вопросу защиты ПДн. "У них" система защиты строится комплексно для всех процессов обработки, НЕ зависимо от того, сколько у оператора ИСПДн, при этом основное внимание уделяется именно технологиям обработки информации и правовым вопросам. В нашей стране до недавнего времени все было иначе: основной упор делался именно на защиту ДАННЫХ (причем каждая ИСПДн рассматривалась как самостоятельная единица), а слова "ущерб субъекту" носили лишь декларативный характер. Для того, чтобы в новых подзаконных актах переломить эту ситуацию, необходимо "угрозы данным" формулировать исходя из особенностей обработки и технологий, которые применяются оператором - иными словами, "прикрутить" к старым формулировкам "ту самую" модель PIA.
Начнем с "видов деятельности". Самое простое, что приходит в голову - взять ОКВЭД. Но его придется положить в сторонку: принимая во внимание правило №1, "виды деятельности" должны быть сформулированы, сгруппированы и ранжированы таким образом, чтобы результирующий список отражал возможный вред субъекту. В результате должно получиться что-то вроде такого перечня:

Таблица 1-1.
ВД0
Интернет-сервисы, где сам субъект управляет содержанием
ВД1
Интернет-магазины, службы доставки, обычные магазины с дисконтными программами
ВД2
Организации-работодатели, осуществляющие обработку в рамках ТК РФ и предоставляющие дополнительные возможности по запросу работника
ВД3
Организации и предприятия, оказывающие услуги в интересах субъекта в рамках заключенных договоров гражданско-правового характера
ВД4
Банки и иные кредитно-финансовые учреждения, пенсионные фонды
ВД5
Медицинские учреждения
ВД6
Государственные и муниципальные учреждения
ВД7
Федеральные службы и министерства

Сразу скажу критикам: это - лишь образец, предназначенный для того, чтобы показать, куда двигаться и не претендующий на полноту и качество заполнения. Идем далее и попробуем таким же образом разобраться с содержанием обрабатываемых ПДн:

Таблица 1-2.

КД0
Обезличенные
КД1
Сделанные субъектом общедоступными/общедоступные источники
КД2
Идентификация субъекта для заданных целей обработки в конкретной ИСПДн
КД3
Идентификация субъекта в случаях, не имеющих отношения к заданным целям обработки в конкретной ИСПДн
КД4
Идентификация и дополнительная информация
КД5
Специальные категории


Далее по схеме идет некая функция F1, которая соединяет эти две таблицы воедино по определенным правилам и формирует оценочный параметр (назовем его ВР) возможного вреда для ОДНОГО субъекта. Для чего это нужно? Хороший пример получается в сравнении социальной сети и интернет-сервиса платных консультаций на медицинскую тему: и то, и другое - ВД0, но первый обрабатывает КД1, а второй - КД4, поэтому и вред субъекту будет соответствующий.

За помощью по формализации функции F1 я обратился к своему коллеге А.Луковчанину, и вот что у нас получилось. Зададим сначала возможные значения параметра ВР:

Таблица 1-3.

ВР0
Отсутствует
ВР1
Малозначимый
ВР2
Существенный
ВР3
Значительный
ВР4
Невосполнимый

Далее позволю себе привести мыссли А.Луковчанина с моими незначительными корректировками.

Итак, что из себя представляет ущерб единичному субъекту? По сути это напрямую категория, которая отражена в документе как ВР0-ВР4. Откуда возникли ВД и КД? Из того, что оценка ВР равносильна задаче построения полной модели угроз для субъекта : какое противоправное действие может тот или иной злоумышленник совершить, имея тот или иной набор данных и более того некую метаинформацию о нем (пример из этого блога - идентификационнные данные пациентов узкоспециализированной клиники (психиатрия, онкология, тубдиспансер и т.п.)).


Попытка упростить процесс оценивания параметра ВР и приводит ко вполне логичному желанию ввести КД, ВД и иные классификационные признаки, которые, однако, по своей сути являются величинами одного и того же измерения, что и ВР. Ниже приведена примерная таблица значений параметра ВР в зависимости от КД и ВД.

Таблица 1-4.




Обезличенные
Сделанные субъектом общедоступными/ общедоступные источники
Идентификация субъекта в случаях, не имеющих отношения к заданным целям обработки в конкретной ИСПДн
Идентификация и дополнительная информация
Специальные категории
ВД0
Добровольное предоставление информации субъектом
Социальные сети и прочие публичные сервисы, где сам субъект управляет содержанием
0
0
1
2
3
ВД1
Интернет-магазины, службы доставки, обычные магазины с дисконтными программами
0
0
1
2
3
ВД3
Организации и предприятия, оказывающие услуги в интересах субъекта в рамках заключенных договоров гражданско-правового характера
0
0
1
2
4
ВД2
«Принудительное» предоставление информации субъектом
Организации-работодатели, осуществляющие обработку в рамках ТК РФ и предоставляющие дополнительные возможности по запросу работника
0
0
2
3
3
ВД4
Банки и иные кредитно-финансовые учреждения, пенсионные фонды
0
0
3
3
4
ВД5
Медицинские учреждения

0
0
3
4
4
ВД6
Государственные и муниципальные учреждения
0
0
2
3
4
ВД7
Федеральные службы и министерства
0
0
2
4
4

Конечно она совершенно субъективна (хотя некоторую идею разделения предоставленных данных на "добровольные" и "принудительные" так же можно рассмотреть, причем к "принудительным"однозначно должна быть отнесена работа и банковская деятельность в силу только формальной "добровольности").

Спасибо коллеге за помощь, сразу скажу что это еще не все и самое главное будет в части 3, где мы будем обсуждать функцию F2. Во второй части предлагаю закончить на вреде, который, кстати, мы только что определили для ОДНОГО субъекта. Остался неучтенным один параметр - "объем данных":

Таблица 1-5.

ОД0
До 1000 субъектов
ОД1
От 1000 до 10000
ОД2
От 10000 до 100000
ОД3
Свыше 100000

Предположим, что оператор обрабатывает данные 10 человек, нарушение конфиденциальности которых может нанести субъектам малозначимый вред (ВР1). Оператор может его самостоятельно возместить, и поэтому использовать какие-то сверхмеры для защиты данных ему не выгодно с экономической точки зрения: достаточно минимальных требований, установленных в соответствии с минимальным уровнем защищенности. Если же объем данных возрастет в 1000 раз, то вред увеличивается ровно во столько же, и оператор возместить его будет не в состоянии, азначит - к процессу должно подключаться государство и, как водится, субъект останется "с носом". Поэтому объем должен быть своего рода "повышающим коэффициентом" К для "единичного" вреда, позволяющим установить более высокий уровень защищенности и, соответственно, более жесткие требования к защите.  Итоговый "вред", с учетом повышающего коэффициента К, определяется по следующей матрице (опять же субъективно):

Таблица 1-6.


К=ОД0
К=ОД1
К=ОД2
К=ОД3
ВР0
ВР0
ВР0
ВР0
ВР0
ВР1
ВР1
ВР2
ВР2
ВР3
ВР2
ВР2
ВР3
ВР3
ВР4
ВР3
ВР3
ВР4
ВР4
ВР4
ВР4
ВР4
ВР4
ВР4
ВР4

Окончание постараюсь опубликовать до конца недели. От Вас, дорогие читатели, прошу ЛЮБЫЕ мысли - в комментарии.

Комментариев нет :

Отправить комментарий