четверг, 13 сентября 2012 г.

Что такое конфиденциальность?


С коллегой, в ходе дискуссии на тему защиты коммерческой тайны и принципов патентования решили раскопать понятие конфиденциальности.

Оттолкнулись от того, очевидно слово заимствованное (конфиденциальность от лат. confdentia – доверие) и посмотрели в Dictionary of Contemporary English от Longman, который определяет конфиденциальность как «a situation in which you trust someone not to tell secret or private information to anyone else» (ситуацию в которой вы доверяете кому либо  не рассказывать секрет или частную информацию  кому-то еще). 
Так же было обнаружено не внятное определение у Ожегова подразумевающее доверие секрета.

Далее мы обратились к терминам и определениям коллег из США: Assurance that information is not disclosed to unauthorized entities or processes; an Information Exchange characteristic (Уверенность, что информация не раскрыта неавторизированным лицам или процессам; характеристика информационного обмена). 

И здесь, из определения пропала ссылка на секрет. Т.е. при проведении мероприятий по обеспечению информационной безопасности мы можем установить требования по конфиденциальности к любой информации, даже если она в соседнем здании нарисована на стене. Понятно, что при составлении определения авторы исходили из предположения, что трактовать его будут нормальные люди, для которых очевидно, что не раскрывать надо именно секретную информацию. Но не надо забывать, что у нас ещё есть и юристы. Кстати коллеги в США разделяют понятия обязательной конфиденциальности (Secrecy) и добровольной  (Privacy).

Есть ФЗ «Об информации, информационных технологиях и о защите информации»: конфиденциальность определяется как обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.  

Ну и для полноты картины посмотрим  статью 7 ФЗ-152 «Конфиденциальность персональных данных»:
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Как видим, определения вполне тождественны, но  «уверенность» сменилась обязанностью, а объект защиты стал произвольным. В результате этой занимательной эволюции мы сейчас защищаем паспортные данные от не разглашения и нераспространения, указывая их везде, начиная от Банков и Налоговой и заканчивая трудоустройством и  заявлениями в ЖЭК.

И здесь мне чудится еще одна возможная проблема: Поскольку на уровне Закона паспортные данные защищены и конфиденциальны, то почему бы нам не использовать для удаленной авторизации знание клиента своих паспортных данных, как это делает, например МТС при обращении в службу поддержки. Или еще, как ни будь

Думаю, надо помнить, что свойство секретности не восстановимо и став известно неограниченному кругу лиц информация уже никогда не станет секретной снова.

понедельник, 10 сентября 2012 г.

Понятие системы в ИБ и IT


Когда я на лекции в очередной раз произнес конструкцию вида: «защищая информационную систему мы строим систему защиты информации, включающую в себя систему авторизации, систему криптографической защиты информации…» я понял, что с этими системами что-то надо делать.
В принципе количество систем находящихся в непонятных взаимоотношениях друг  с другом с точки зрения системотехника говорит об одном давно известном факте: мы имеем дело со сложной системой со всеми вытекающими последствиями:

  • Наиболее вероятный отклик на единичное воздействие – хаотический.
  • Обладает новыми свойствами, по сравнению  с совокупностью элементов.
  • Отклик на воздействие не является линейным [взято отсюда].

Однако с системами разобрались до меня в этом в книге Security Engineering: A Guide to Building Dependable Distributed Systems.

Поэтому далее вольный перевод

понедельник, 3 сентября 2012 г.

Проблема персональных данных.


По следам высказываний коллег на тему значительного повышения штрафов  за нарушения в области персональных данных: Лукацкий, Волков, Царев.
В целом разделяя мнение коллег, что увеличение штрафов за не соблюдение требований закона «О персональных данных» не улучшит защищенность этих самых персональных данных. Среди неразрешенных проблем препятствующих оздоровлению ситуации называется, в основном:

  • практически полное отсутствие разъяснений регуляторов по сотням спорных вопросов и как следствие непрозрачность требований к защите ИСДПН
  • отсутствие взаимосвязи вреда нанесенному субъекту ПД и наказания.