четверг, 13 сентября 2012 г.

Что такое конфиденциальность?


С коллегой, в ходе дискуссии на тему защиты коммерческой тайны и принципов патентования решили раскопать понятие конфиденциальности.

Оттолкнулись от того, очевидно слово заимствованное (конфиденциальность от лат. confdentia – доверие) и посмотрели в Dictionary of Contemporary English от Longman, который определяет конфиденциальность как «a situation in which you trust someone not to tell secret or private information to anyone else» (ситуацию в которой вы доверяете кому либо  не рассказывать секрет или частную информацию  кому-то еще). 
Так же было обнаружено не внятное определение у Ожегова подразумевающее доверие секрета.

Далее мы обратились к терминам и определениям коллег из США: Assurance that information is not disclosed to unauthorized entities or processes; an Information Exchange characteristic (Уверенность, что информация не раскрыта неавторизированным лицам или процессам; характеристика информационного обмена). 

И здесь, из определения пропала ссылка на секрет. Т.е. при проведении мероприятий по обеспечению информационной безопасности мы можем установить требования по конфиденциальности к любой информации, даже если она в соседнем здании нарисована на стене. Понятно, что при составлении определения авторы исходили из предположения, что трактовать его будут нормальные люди, для которых очевидно, что не раскрывать надо именно секретную информацию. Но не надо забывать, что у нас ещё есть и юристы. Кстати коллеги в США разделяют понятия обязательной конфиденциальности (Secrecy) и добровольной  (Privacy).

Есть ФЗ «Об информации, информационных технологиях и о защите информации»: конфиденциальность определяется как обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.  

Ну и для полноты картины посмотрим  статью 7 ФЗ-152 «Конфиденциальность персональных данных»:
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Как видим, определения вполне тождественны, но  «уверенность» сменилась обязанностью, а объект защиты стал произвольным. В результате этой занимательной эволюции мы сейчас защищаем паспортные данные от не разглашения и нераспространения, указывая их везде, начиная от Банков и Налоговой и заканчивая трудоустройством и  заявлениями в ЖЭК.

И здесь мне чудится еще одна возможная проблема: Поскольку на уровне Закона паспортные данные защищены и конфиденциальны, то почему бы нам не использовать для удаленной авторизации знание клиента своих паспортных данных, как это делает, например МТС при обращении в службу поддержки. Или еще, как ни будь

Думаю, надо помнить, что свойство секретности не восстановимо и став известно неограниченному кругу лиц информация уже никогда не станет секретной снова.

Комментариев нет:

Отправить комментарий