22 апреля 2014 г.

Риск подмены субъекта персональных данных при взаимодействии через Интернет: РЕШЕНИЕ

В целом проблему можно обозначить так: риск подмены субъекта ПДн при удалённом взаимодействии.
Собственно здравого смысла никто не отменял, однако прогресс неминуем, а стереотипы наши инертны.
Потому многие организации, стремясь не отстать от времени и от лидеров, создают сайты с обратной связью, с возможностью подать обращение несколькими способами, регистрироваться и взаимодействовать с клиентами.

Органы власти и муниципального самоуправления получают тысячи и десятки тысяч запросов в год и обязаны их обрабатывать в соответствии с 59-ФЗ.

Однако формулировка о возможности получения обращений в форме "электронного документа" настолько сегодня расплывчата и не разъяснена, что многие восприняли под этими двумя словами "в т.ч. и через Интернет", забыв при этом об идентификации личности!
В итоге количество обращений значительно выросло благодаря простоте их подачи через Интернет.

ФЗ-152 однако при этом сообщает, что Оператор должен принимать меры по обнаружению нарушений и их последствий, а также недопущению их в будущем.

Какая доля из этих обращений сделана с нарушением, никто сказать не сможет. 50%, 30%, 80%? Какие меры принимаются, если этого не известно?

Комментариев от надзорных органов по этому поводу нет, в т.ч. от Роскомнадзора.



Так вот, переходим к решениям. 

Все меры оператора должны быть направлены на значительное снижение риска подмены субъекта.
Следует заключить, что  для большинства организаций правомерными способами обмена персональными данными через сайт, является предварительное личное обращение или квалифицированная электронная подпись. Только эти способы защищены от такого риска в степени, достаточной для соответствия закону.

При этом законодательство (оно у нас сегодня основной методический инструмент для большинства операторов, не многие из которых имеют в достаточной степени творческую  прослойку между законодательством и конечными исполнителями) не сообщает какой-либо точки зрения на то, как действовать оператору с тучей неидентифицированных субъектов в Интернете.

Выделенной темы идентификации в законодательстве, да и в нормативке почти нет. Кроме специализированного 63-ФЗ, который никто не знает, как повернуть в свою пользу, ну или при первом взгляде определяет, что это очень затратно.

Кое-кто конечно поднимает волну протеста на регулярно всплывающие инициативы об обязательной идентификации в Интернете , однако это хоть и нормально, но нельзя к вопросу подходить так однобоко и не тотально.

Рассматриваемое здесь решение этой проблемы прежде всего нужно самим операторам ПДн, для их собственной культуры и обустройства ими современной коммуникационной среды.
В итоге оно может оказаться очень успешным интеграционным проектом с умеренными затратами со стороны операторов.

Итак: Подытожу все способы 100%-правомерной идентификации субъектов: 

  1. Прийти лично с удостоверением личности.
  2. Применение квалифицированной электронной подписи. В этом случае достаточно того, что электронный документ подписан такой подписью.
  3. Применение простой электронной подписи – возможности выполнения действий под логином и паролем в личном кабинете. В этом случае информационная система и записи в ней приобретают юридическую значимость. В этом случае необходимо после регистрации лица перед его допуском к возможностям предварительно заключить с ним соглашение (довести до него политику) и провести процедуру установления его личности (верификации):
    • по удостоверению личности при личном визите (тут работает всеми горячо любимая биометрия...);
    • по рекомендации (токену) Портала государственных услуг (система ЕСИА), УЭК, системы электронного паспорта;
    • по рекомендации (токену) другого доверенного оператора ПДн, которым субъект уже был идентифицирован лично (например, операторы связи – ссылка может быть предоставлена субъекту оперативно через SMS, системы защиты онлайн-платежей Банков и операторов НПС и т.п.). 
  4. Применение электронной почты позволяет идентифицировать субъекта по адресу E-mail. Это близко к 3. В общем случае достаточно сложно подчинить публичные почтовые системы политике безопасности, поскольку закон об электронной подписи предполагает выполнение владельцем системы организационно-технических мер и идентификации субъектов. Однако многие системы электронной почты, такие как mail.ru и другие обладают системой верификации пользователей, что всё-таки снижает риски подмены субъекта.

Потенциально это очень близко к 100% необходимой аудитории. Поэтому вопрос чисто организационный, при том, что все субъекты уже охвачены идентификацией!

Интеграционный проект собственно заключается в том, что должны появиться технологии и поставщики, которые не будут ждать какого то закона, расписывающего вот эту совокупность решений, а договорятся с многими доверенными "операторами-верификаторами" и будут предоставлять "интегрированный сервис верификации" другим операторам ПДн за небольшую абонентскую плату. Работать это должно подобно тому, как это делают многие сайты, интегрированные с социальными сетями.

И никакой тотальной идентификации, а всего лишь повышение культуры операторов персональных данных в Интернет. На самом деле в законе РФ всё есть для этого!

Комментариев нет:

Отправить комментарий