Архив рубрики: Публикации

Что, собственно, такое персональные данные?

Новгородский мальчик Онфим из XIII века превратил кору в носитель персональных данных, собрав набор из изображения человека и его имени.

Представьте, что вы нашли трёх друзей, которые родились с вами в один и тот же день. У вас одинаковая дата рождения, одинаковый пол, и вы можете определёнными усилиями сменить имена в рамках закона. В итоге получится четверо одинаковых людей. Будет ли набор «Ф. И. О. + дата рождения + пол» персональными данными?

Ответ, как это ни странно, — да.

При этом под персональными данными понимается такой набор информации, который так или иначе позволяет идентифицировать физическое лицо — субъекта персональных данных. То есть однозначно указывает на конкретного человека.

Ранее в законодательном определении содержалось указание на конкретные примеры, которые каждый в отдельности или в совокупности с другой информацией составляли персональные данные. В текущей же редакции ст. 3 Федерального закона № 152-ФЗ примеров персональных данных не приводится, т. к. законодатель сделал упор на «духе закона», прямо оговорив, что к таким данным относится «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу», отдав решение этого вопроса на откуп судебной практике.

Поэтому давайте разбирать на примерах, что есть ПДн, а что — нет.

Простые случаи

Для начала — есть категория «сырых» данных, которые позволяют однозначно определить личность конкретного человека. Например, это номер паспорта или набор из Ф. И. О., пола и даты рождения.

Персональные данные, например:

Номер паспорта
Ф. И. О. + пол + дата рождения
Отпечаток пальца

В то же время есть вторая категория «сырых» данных, которые сами по себе вряд ли помогут вам идентифицировать субъекта персональных данных. Например, к таковым относятся:

Любимое блюдо
Место работы
Личные качества (характер нордический, самоотвержен)
Количество детей

То есть называть такие сведения персональными данными с точки зрения действующего законодательства нельзя.

Правило номер один: если смешать ту информацию, которая сама по себе образует персональные данные, и ту, что их не образует, в одну базу данных, то получится база персональных данных. Например:

Номер паспорта + место работы = персональные данные
Медицинский диагноз + любимое блюдо + фотография = персональные данные
Ф. И. О. + пол + дата рождения + место работы + отпечаток пальца = персональные данные.

Уточнение про «голые» ПДн

Некоторые персональные данные не позволяют случайному человеку установить вашу личность, но позволяют установить вашу личность, например, правоохранительным органам. Так, номер мобильного телефона физического лица привязывается к его Ф.И.О. и номеру паспорта, то есть он является «чистыми» персональными данными. Использовать его отдельно и смешивать номер телефона с какой-либо другой информацией о его владельце — значит получать наборы персональных данных. То же самое может относиться к номеру кредитки, номеру страхового удостоверения, номеру медполиса и так далее.

В случае же если абонентский номер привязан к юридическому лицу, то он сам по себе не является персональными данными, т. к. не позволяет идентифицировать конкретного сотрудника юрлица, пользующегося данным номером.

Более сложные случаи

Не всегда в основе персональных данных лежит что-то, что делает весь набор сразу ПДн. Например, если в наборе есть номер паспорта — это точно ПДн, что бы ещё там ни лежало. Но иногда ни одна часть набора не является ПДн в изолированном виде, но всё вместе позволяет вам точно определить человека.

Например, медицинский диагноз, как правило, не является персональными данным в отрыве от Ф. И. О. (а вот результат анализа кода ДНК является персональными геномными данными, кстати). Расовая принадлежность сама по себе — не персональные данные. Место работы само по себе — не персональные данные.

Однако может так оказаться, что набор «место работы + раса + диагноз» — это персональные данные. Например, когда на автозаправке работает только один однорукий китаец.

Что самое интересное, если изначально на автозаправке работало два одноруких китайца, а потом один уволился, набор данных, по логике, не был персональным, а потом стал. Равно как когда вы были одним таким в наборе «Ф. И. О. + пол + дата рождения», а потом уговорили друзей поменять имена, по идее, набор перестал быть ПДн. На практике же это не так.

Чтобы понять, является ли ваш набор данных персональными, надо учесть следующее:

Посмотреть судебную практику: если было решение о том, что подобный набор является ПДн, то и ваш набор с очень высокой вероятностью — ПДн.
Экспертизы, определяющей, ПДн это или нет, пока нет. Вы можете обратиться за разъяснениями в Роскомнадзор. Однако с некоторой вероятностью вы получите ответ: «Если можно определить человека однозначно — это ПДн».
И, наконец, окончательным определением будет судебное решение, но, как правило, до него лучше не доводить, а продумывать заранее, всё же можно определить человека или нет.

Естественно, в обычной практике большинство наборов уже давно описаны, и с ними понятно, как работать. Тем не менее, есть несколько интересных моментов с биометрией, фото и специальными категориями ПДн.

Интересные моменты

Копия паспорта — это ПДн. Потому что из изображения можно однозначно извлечь числа, которые точно являются ПДн сами по себе.

Фотография с паспорта, фотография с улицы, видеоизображение — это уже дискуссионный вопрос. Дискуссионный он потому, что не всегда можно однозначно понять, позволяет ли, например, конкретная фотография установить личность (где проходит та же граница качества съёмки?). Если это 3000 пикселей по узкой стороне и съёмка на паспорт — очевидно, это ПДн. А если эта же картинка хранится в размере 32х32 px? А если это не фото с паспорта, а фото в толпе на улице?

Пока чёткого определения нет. Оценки экспертные: например, когда вы проходите паспортный контроль, сотрудник ФСБ (пограничник) смотрит на ваше лицо, смотрит на фото в паспорте или визе и решает, похожи вы или нет. Если с его точки зрения достаточно похожи — значит, экспертное решение вынесено положительно. Примерно так же проходит идентификация по фото: суд привлечёт эксперта, а эксперт решит, можно или нет.

Что ещё забавнее, гражданин может прекратить обработку своих ПДн, то есть в теории можно вылавливать все свои фотографии в толпе и настаивать, что это хранение и обработка без вашего согласия. Исключениями из данной ситуации являются случаи, когда:

использование изображения осуществляется в государственных, общественных или иных публичных интересах;
изображение получено при съёмке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях);
гражданин позировал за плату.

Изображение человека является ПДн. Обычно речь про фото, но не про портрет. Тем не менее по этому портрету можно установить человека, поэтому непонятно, как его хранить и обрабатывать.

Ещё один спорный случай — это почта. Однозначно понятно, что info@domain.ru в изолированном виде (без Ф. И. О., например) — это не ПДн, потому что там может оказаться кто угодно, включая робота. А вот если это ivanpetrov1990@mail.ru? Или billgates@microsoft.com? Скорее всего — не ПДн, нужны ещё наборы. Кроме того, по аналогии с телефонным номером всё зависит от того, на кого зарегистрирована почта: на юрлицо или гражданина.

Биометрические данные — индивидуальная форма черепа и ушей — однозначно являются персональными данными, как и отпечаток пальца. Это накладывает серьёзные ограничения на системы распознавания лиц — надо заручаться согласием даже на хранение хэша от биометрических замеров.

Чем регулируется

Федеральное законодательство:

«Об утверждении перечня сведений конфиденциального характера» — Указ Президента РФ от 06.03.1997 № 188 определяет, что к персональным данным также относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
149-ФЗ «Об информации, информационных технологиях и защите информации» — базовый закон, устанавливающий общие вещи.
«О персональных данных» от 27.07.2006 № 152-ФЗ — в нём задаётся фреймворк того, что такое ПДн, как их обрабатывать (кстати, хранение и передача — это подвиды обработки).
Особенно интересны цитаты:
«Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой».

«Обработке подлежат только персональные данные, которые отвечают целям их обработки».

«Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».
Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119 — в документе описаны правила определения уровней защищённости ПДн и основные требования по защите ПДн.
Постановление Правительства РФ «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 № 512 — содержит требования, которые должны применяться при использовании материальных носителей, на которые осуществляется запись биометрических ПДн, а также при хранении биометрических ПДн вне информационных систем персональных данных. Документ хоть и старый, но учитывать его требования нужно.
Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 № 687 — всё понятно из названия: требования по обработке и защите ПДн, которые обрабатываются в бумажном виде.

Основные документы регуляторов:

Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — большой набор организационных и технических требований по защите информации, а также правила создания систем защиты персональных данных. Вкратце — смотрите пост про то, как мы проходили сертификацию и как мы помогаем аттестовываться.
Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» — очень полезный документ, который содержит не только требования по защите ПДн, но и позволяет определить класс необходимых к применению криптосредств.
«Об утверждении требований и методов по обезличиванию персональных данных» — Приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 № 29935) и «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 “Об утверждении требований и методов по обезличиванию персональных данных”» утв. Роскомнадзором 13.12.2013, что перестаёт делать ПДн собственно ПДн при обезличивании, например, для целей Data Mining.

Существенное внимание тонкостям квалификации изображений в качестве персональных данных уделил Роскомнадзор в своих разъяснениях «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» (см. 25.rsoc.ru).

Конечно, список далеко не полный, выше приведены только основные документы. Ещё есть информационные сообщения и документы по моделированию угроз безопасности информации от ФСТЭК России, методические рекомендации и документы по формированию предположений о возможностях нарушителей от ФСБ России, документы Минкомсвязи и прочее.

Что это значит?

Когда вы строите ИТ-инфраструктуру, надо понимать, являются ли ваши данные персональными или нет. Классов персональных данных уже нет, есть таблица вот отсюда (в посте больше про сертификацию). Если ваши данные всё же персональные, то надо понять, что у вас за типы данных, какие угрозы для них возможны и сколько у вас будет записей. Дальше из таблицы вычисляется нужный уровень защищённости — и для этого уровня реализуются меры защиты в соответствии с требованиями законодательства.

Следуя духу закона и правоприменительной практике, почти во всех ситуациях можно определить, речь идёт про ПДн или нет. Крайне редкие случаи обычно рассматриваются отдельно юристами, которые выполняют оценку и делают запросы в контролирующие органы.

Это материал начальника отдела правового консалтинга Ильи Григорьева.

Let’s block ads! (Why?)

Автор: Bone Guerra

Как изменить колонтитул на панели администратора в WordPress

В этой статье мы расскажем вам, как изменить колонтитул на панели администратора в WordPress. По умолчанию, WordPress добавил свой собственный текст в области колонтитула админки в WordPress. Если вы хотите изменить текст ниже, то читайте этот пост.

Скопируйте приведенный ниже код и вставьте его в конец файла functions.php.

<?php
 
function remove_footer_admin () {
 
    echo 'Работает на <a href="http://www.wordpress.org" target="_blank">WordPress</a> | Учебники по программированию: <a href="https://andreyex.ru" target="_blank">AndreyEx</a></p>';
 
}
 
add_filter('admin_footer_text', 'remove_footer_admin');
 
?>

2018-02-01T05:16:04

Лучшие учебники по Wodpress

MikroTik Bandwidth and Resource Monitoring with Graphs

“Am I getting my committed bandwidth?” is a common question to any network administrator. This question may arise either from your customer or from your owner if you are an employee of any organization. If you feel boring hearing this question and want to establish a system where your customer will be able to inspect his bandwidth usage, MikroTik Graphing is your best friend. MikroTik Graphing can be used to display graphics for traffic which is passed through interfaces and simple queues as well as for resource usage (CPU, RAM and Disk usage). MikroTik Graphing method first records bandwidth or resource usage information on memory or on the device’s storage with a time basis and then displays this information in an easy to read graph that can be printed or the web link can be given to a client for his or her own inspect ion. But before getting these graphs available in your Winbox or web interface, you must first configure MikroTik Graphing properly. In this article, I will explain how to configure MikroTik Graphing for recording MikroTik bandwidth and resource usage information and displaying recorded information in an easy to read graph through Winbox or the web interface.

MikroTik Graphing Configuration to Record Bandwidth and Resource Usage

Before getting MikroTik bandwidth and resource usage graphs available in winbox or web interface, we have to configure MikroTik Graphing first. MikroTik Graphing is able to display graphs for

traffic which is passed through interfaces,
traffic which is passed through simple queues and
CPU, RAM and Disk usage.

So, in Graphing we need to configure Interface Rules, Queue Rules and Resource Rules which will record traffic and resource data and display graphs in winbox or web interface. The following sections will show how to create interface, queue and resource rules in your MikroTik Graphing.

Creating Interface Rules to Record Interface Traffic

Interface Rule is responsible to record and display interface traffics graphically. The following steps will show you how to create Interface Rules in MikroTik Graphing.

Login to your MikroTik Router and go to Tools > Graphing menu item. Graphing window will appear.
Click on Interface Rules tab and then click on PLUS SIGN (+). New Interface Graphing Rule window will appear.
Choose your desired interface, which traffics you want to view graphically, from Interface dropdown menu. If you want to view all interfaces’ traffic, select all from Interface dropdown menu.
Put your desired IP Address or Network, which is allowed to view this interface graph in webpage, in Allow Address input field. If you don’t provide any specific IP Address, all IP Addresses will be able to view this interface graphs.
Click on Apply and OK button.

First Interface Rule for Graphing has been completed. Similarly, you can create as many Interface Rules as you want and can view traffics graphically.

Creating Queue Rules to Record Queue Traffic

Creating Queue Rules, you can view any simple queue traffic graphically and you can also send this graph link to your customer for his inspection. The following steps will show you how to create Queue Rules in your MikroTik Graphing.

In Graphing window, click on Queue Rules tab and then click on PLUS SIGN (+). New Queue Graphing Rule window will appear.
Choose your desired simple queue, which traffics you want to view graphically, from Simple Queue dropdown menu. If you want to view all simple queues’ traffic, select all from Simple Queue dropdown menu.
Put your desired IP Address or Network, which is allowed to view this simple queue graph in webpage, in Allow Address input field. If you don’t provide any specific IP Address, all IP Addresses will be able to view this simple queue graphs.
Click on Apply and OK button.

First Queue Rule for Graphing has been completed. Similarly, you can create as many Queue Rules as you want and can view traffics graphically.

Creating Resource Rules to Record Resource Information

MikroTik Graphing gives facility to monitor CPU, RAM and Disk Usage graphically but Resource Rules must create to view this graphs. The following steps will show you how to create Resource Rules in your MikroTik Router.

In Graphing window, click on Resource Rules tab and then click on PLUS SIGN (+). Resource Graphing Rule window will appear.
Put your desired IP Address or Network, which is allowed to view resource graph in webpage, in Allow Address input field. If you don’t provide any specific IP Address, all IP Addresses will be able to view this resource graphs.
Click on Apply and OK button.

Resource Rule has been created successfully. Now it is possible to monitor your MikroTik Resource (CPU, RAM and Disk) usage graphically.

How to View Recorded Bandwidth and Resource Graphs

Bandwidth and Resource Graphs can be viewed through winbox or the web interface. Your customers are only eligible to view graphs in web interface. The following section will show how to view

Bandwidth usage and
Resource usage graphs that are created by MikroTik Graphing Tool.

Viewing Graphs through Winbox

Your winbox is eligible to view your bandwidth and resource usage graphs. So, you can view your interface graphs, queue graphs and resource graphs whose rule you created before in your Winbox. The following steps will show how to view graphs through your winbox.

Go to Tools > Graphing and then click on Interface Graphs tab. Your created interface rules will be available here. Click on your desired rule twice. Your desired graph will appear where you can inspect your traffic which is passed through this interface.
Now click on Queue Graphs tab. Your created queue rules will be available here. Click on your desired queue whose bandwidth you want to inspect. You will get your desired bandwidth usage report graphically.
Again, click on Resource Graphs tab and click on your desired resource (CPU, RAM or Disk) twice and you will find your resource usage graphs now.

Viewing Graphs through the Web Interface

The best and suitable method to view your bandwidth and resource usage graphs through web interface. Your created graphs will be found at https://[Router_IP_address]/graphs. You can also send this URL to your customer and he/she can view his/her accessible bandwidth usage graphs from this URL. An interface bandwidth usage graphs looks like below image.

You can easily configure MikroTik Graphing Tool to monitor bandwidth and resource usage if you follow my above steps properly. However, if you face any confusion, feel free to watch my video about MikroTik bandwidth and resource monitoring with graphs. I hope, it will reduce your any confusion.

readmag.ru

IT обзоры, подробные инструкции, пошаговые руководства, рабочие рецепты