Конфедициональность что это такое
Значение слова «конфиденциальность»
С этимологической точки зрения, слово «конфиденциальный» происходит от латинского confidentia — доверие. В современном русском языке это слово означает «доверительный, не подлежащий огласке, секретный». Слово «секрет», заимствовано из французского secret означает — «тайна». В словаре В. Даля также названы аналогичные значения : «конфиденциальная» — «откровенная, по особой доверенности, неоглашаемая, задушевная»; «тайна» — «кто чего не знает, то для него тайна, все сокрытое, неизвестное, неведомое». Исходя из определений понятия конфиденциальная информация, тайна, секрет являются равнозначными.
конфиденциа́льность
1. устар. свойство по значению прилагательного конфиденциальный; доверительность ◆ Конечно ж, ― не «флирт»: платоническая сердечность; и чистая дружба; но требовала «культа дружбы»; и тут проявляла ревнивость; она добивалась горячей конфиденциальности, чтобы профессор, идя на свидание с ней, запевал про себя: Сияй же, указывай путь, Веди к недоступному счастью… Андрей Белый, «На рубеже двух столетий», 1929 г. (цитата из НКРЯ) ◆ Он очень ценил безусловную конфиденциальность их бесед и то женственное начало, с которым Женька откровенно предпочитала согласие и мир, как бы далеко ни заводили споры. Л. Р. Кабо, «Ровесники Октября», 1964 г. (цитата из НКРЯ)
2. секретность, закрытость какой-либо информации ◆ Эта проблема прямо связана с правом человека на конфиденциальность прочитанной генетической информации. К. Г. Скрябин, «Фундаментальная и прикладная биотехнология — ответ на вызов XXI века», 2008 г. (цитата из НКРЯ)
Делаем Карту слов лучше вместе
Привет! Меня зовут Лампобот, я компьютерная программа, которая помогает делать Карту слов. Я отлично умею считать, но пока плохо понимаю, как устроен ваш мир. Помоги мне разобраться!
Спасибо! Я стал чуточку лучше понимать мир эмоций.
Вопрос: кряхтеть — это что-то нейтральное, положительное или отрицательное?
Конфиденциальность
В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз — The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee 1956) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.
Содержание
Определения
Конфиденциальность информации — принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно содержащиеся в них сведения без согласия собственника экономического субъекта, за исключением случаев, предусмотренных законодательными актами.
Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Защита конфиденциальности является одной из трёх задач информационной безопасности (наряду с защитой целостности и доступность информации).
Актуальность конфиденциальности
С момента начала использования компьютерных технологий во всех сферах деятельности человека, появилось много проблем, связанных с защитой конфиденциальности. Главным образом это связано с обработкой документов с применением компьютерных технологий. Многие административные меры по защите конфиденциальности частных лиц и организаций утратили свою силу в связи с переходом документооборота в абсолютно новую среду.
При получении личных писем, при заключении договоров, во время деловой переписки, при телефонных разговорах со знакомыми и незнакомыми людьми, человек пользовался различными средствами аутентификации. Личные письма отправлялись с указанием существующего почтового адреса или имели штамп именно тех почтовых отделений, где проводилась обработка таких писем. При заключении договоров применялись бланки, произведённые на типографиях, на которых с использованием пишущих машинок, имевших уникальные серийные номера, печатался текст, который затем подписывался должностным лицом и заверялся печатью организации. При разговорах по телефону, достоверно было известно, что разговор ведётся именно с тем человеком, голос которого был ранее известен. Многие сотни административных мер были направлены на защиту конфиденциальности при общении людей.
С внедрением компьютерных технологий в жизнь человека многое изменилось. При использовании, например, электронной почты появилась возможность указания несуществующего обратного адреса или имитации получения письма от знакомого человека. При повседневном общении через сеть Интернет многие признаки, идентифицирующие того или иного человека в обычной жизни (пол, возраст, степень образования), перестали быть таковыми. Появилась так называемая «виртуальная реальность».
Быстро и эффективно решить проблемы связанные с защитой конфиденциальности в компьютерных системах невозможно. Появилась необходимость в комплексном подходе к решению данных проблем. Этот подход должен предполагать использование организационных и правовых мер, а также программно-аппаратных средств, обеспечивающих защиту конфиденциальности, целостности и доступности.
На сегодняшний день в организациях для обеспечения корректной работы со сведениями конфиденциального характера существует набор норм. Руководитель организации подписывает перечень сведений, имеющих конфиденциальный характер. В договоре, подписываемом работником и работодателем, существует пункт, в котором говорится об ответственности за некорректную работу с конфиденциальными сведениями, в результате чего при несоблюдении прописанных в договоре норм по работе с этими сведениями, появляется законное основание для привлечения таких сотрудников к административной или уголовной ответственности. А также в организациях имеется комплекс мер, направленных на обеспечение защиты конфиденциальных сведений. Например, такими мерами могут являться: подбор квалифицированного персонала, прогнозирование возможных угроз и проведение мероприятий по их предотвращению, использование различного уровня доступа персонала к информации с различной секретностью.
Так как невозможно детально изучить данную область в короткие сроки, было введено направление по подготовке специалистов в сфере информационной безопасности.
090000 | Информационная безопасность |
---|---|
090100 | Информационная безопасность |
090101 | Криптография |
090102 | Компьютерная безопасность |
090103 | Организация и технология защиты информации |
090104 | Комплексная защита объектов информатизации |
090105 | Комплексное обеспечение информационной безопасности автоматизированных систем |
090106 | Информационная безопасность телекоммуникационных систем |
090107 | Противодействие техническим разведкам |
090108 | Информационная безопасность (СПО) |
С помощью программно-аппаратных средств защиты информации, представленных различными производителями, можно достичь более высоких показателей эффективности, если применять их комплексно. К таким средствам относят оборудование для криптографической защиты речевой информации, программы для криптографической защиты текстовой или иной информации, программы для обеспечения аутентификации почтовых сообщений посредством электронной цифровой подписи, программы обеспечения антивирусной защиты, программы защиты от сетевых вторжений, программы выявления вторжений, программы для скрытия обратного адреса отправителя электронного письма.
Подобный перечень программно-аппаратных средств, как правило, разрабатывается специалистами в области защиты информации с учётом многих факторов, например характеристики автоматизированной системы, количества пользователей в этой системе, различия уровня доступа этих пользователей и т. д.
Конфиденциальность в законодательстве РФ
Кроме того, в ГОСТ 17799-2005 конфиденциальность определена, как «обеспечение доступа к информации только авторизованным пользователям.»
27 июля 2006 года появился Федеральный закон Российской Федерации N 152-ФЗ «О персональных данных». Данный закон регулирует отношения, связанные с обработкой персональных данных. Также в рамках данного закона появилось следующее определение:
Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания |
Новшеством в данном законе стало принуждение лиц, обрабатывающих персональные данные, использовать технические (криптографические) средства защиты информации при работе с персональными данными.
Федеральным законом от 27.12.2009 N 363-ФЗ обязанность оператора по обработке персональных данных использовать для защиты персональных данных шифровальные (криптографические) средства отменена.
Определение понятия
Законодательное регулирование
Где нужна конфиденциальность информации
Любая сфера деятельности требует сохранения в тайне определенного объема информации. Примером может послужить коммерческое предприятие. Его работники не имеют права разглашать сведения о технологии производства, организационной структуре и прочих моментах, что закрепляется в соответствующих пунктах трудового договора. Нарушение данного правила грозит штрафом или увольнением.
Наверное, все слышали такое словосочетание, как государственная тайна. Это целый ряд сведений, которые находятся под защитой властных институтов и правоохранительных органов. Речь идет о научной, военной, политической, разведывательной и прочих видах деятельности. Предавая данные факты огласке, индивид не только может нанести государству экономический ущерб, но еще и поставить под угрозу его безопасность. За подобные правонарушения предусматривается серьезная ответственность.
В медицинских и прочих заведениях подобного рода также необходимо соблюдать конфиденциальность. Персонал не имеет права разглашать информацию о клиентах. Это же касается и аудиторских фирм. В противном случае потерпевшая сторона может инициировать судебное разбирательство.
Что не может быть конфиденциальной информацией
Рамки политики конфиденциальности не распространяются на следующие виды информации:
Охрана конфиденциальности
Конфиденциальность данных может быть защищена их владельцем следующим образом:
Выводы
Условия конфиденциальности во многом зависят от того, о какой сфере деятельности идет речь. Данного правила стоит придерживаться во всем, что касается коммерческой или государственной тайны, а также частной жизни индивида, независимо от его социального статуса и рода деятельности.
Соблюдать нельзя нарушать: всё о Политике конфиденциальности
На главные вопросы о персональных данных пользователей вашего приложения или сайта отвечает Анастасия Булатова, юрист 65apps.
Этот материал — конспект нашей статьи на Rusbase.
Уверены, вы не раз ставили галочку рядом с фразой «Согласен с политикой конфиденциальности», не изучив документ и даже не задумываясь о том, что он в себе несет. Однако если пользователь приложения или сайта может позволить себе игнорировать существование Политики конфиденциальности и не знать о том, кто и как хранит его персональные данные, то владелец того же сайта или приложения обязан разбираться в таких вопросах.
Privacy Policy или Политика конфиденциальности (ПК) — это документ, в котором декларируется IT-продукт — приложение или сайт. Его цель — информировать пользователя о том, как компания использует его данные. ПК определяет, что относится к персональным данным пользователя, как владелец приложения или сайта их собирает, обрабатывает, хранит и кому передает.
Любая информация, которая относится к конкретному физическому лицу, позволяющая определить его.
Например, к персональным данным не относят отдельный номер телефона как набор цифр или отдельный e-mail адрес. Но если телефон связан с конкретными ФИО человека, а e-mail состоит из имени и фамилии владельца — это уже персональные данные.
Известен случай в судебной практике, когда персональными данными были признаны обезличенный id пользователя вместе со временем просмотра веб-страницы, URL, HTTP referer, User Agent и куки.
Нет, этот документ требуется для любых информационных ресурсов и IT-продуктов, которые используют персональные данные.
При наличии любой обратной связи, отслеживании и идентификации пользователя по его мобильному устройству — уже необходима ПК.
При отсутствии у приложения ПК его невозможно будет загрузить в маркет приложений AppStore и Google Play.
В 2018 году AppStore потребовал, чтобы для всех приложений была опубликована Privacy Policy, соответствующая новым требованиям. Тогда же произошла самая массовая блокировка приложений в маркете — многие правообладатели не успели обновить ПК в согласно новым правилам.
В России «Политика обработки и защиты персональных данных» регулируется федеральным законом «О защите персональных данных». В Европе есть регламентируемые требования — «General Data Protection Regulation» (GDPR); в США нет единого документа — требования различны для каждого штата..
В международном законодательстве политика конфиденциальности (Privacy Policy) заточена на конкретный продукт. То есть, для каждого нового приложения или сайта, в рамках которого будет происходить обработка персональных данных, должна быть разработана своя собственная подробная ПК.
В России же акцент делается на пользователя и предоставляемую с его стороны информацию. По сути, описывается не продукт, а то, как и какие данные будут предоставляться, обрабатываться, храниться и будут ли они передаваться третьим лицам. В отличие от зарубежного аналога, российский документ может содержать более общие формулировки, но он так же должен разрабатываться для конкретного приложения.
Если приложение будет распространяться в России и за ее пределами, оно должно соответствовать не только местным, российским, но и международным актам.
Это довольно сложно, но возможно. Если изначально пользователь дал согласие на использование одних данных, а приложение начинает требовать другие — это повод подозревать нарушение ПК.
Например, неправомерную передачу данных третьим лицам можно обнаружить, если приходит уведомление от стороннего сервиса с информацией, которая должна храниться только у определенного приложения. Но сейчас пользователи каждый день оставляют свои данные множеству сервисов — от интернет-магазинов до службы такси — поэтому отследить, кто конкретно нарушил ПК и «слил» информацию практически невозможно.
В российском законодательстве предусмотрена ответственность за нарушение Политики обработки и защиты персональных данных, а также за недоведение до пользователя условий использования его персональных данных. Размер штрафа — до 70-100 тысяч рублей за каждое нарушение. А за несоблюдение требований GDPR придется выплатить сумму побольше — можно лишиться до 4% оборота компании при регулярных нарушениях.
Другой вид санкций — блокировка приложения. Как правило, это происходит после проверки ПК со стороны маркетплейсов. AppStore и Google Play диктуют собственные требования к политике конфиденциальности — в соответствии с международным законодательством, а разработчики приложений из России руководствуются местными законами. Как итог — приложение блокируется за несоблюдение требований маркетплейса. Появляется конкуренция норм права — по факту приложение используется в России и соответствует всем ее законам, но площадки предъявляют повышенные требования, за несоблюдение которых и наказывают.
В России инициатором блокировки сайта или приложения за неправомерное использование данных часто выступает Роскомнадзор. Он является уполномоченным органом по защите прав субъектов персональных данных; ведет реестры операторов и нарушителей прав субъектов персональных данных.
Помочь выявить нарушителя могут не только специализированные органы. Любой пользователь, заметивший нарушение Политики конфиденциальности, вправе написать жалобу на правообладателя и потребовать привлечь его к ответственности. Особо внимательные и жаждущие справедливости пользователи могут писать такие заявления ежедневно — компании это будет стоить десятки тысяч рублей штрафа.
Многие крупные международные компании сталкивались со сложностями именно из-за проблем с Политикой конфиденциальности:
Privacy Tech: что такое технологии приватности и почему о них все говорят
Об эксперте: Станислав Шакиров, технический директор «РосКомСвободы», основатель Privacy Accelerator.
Приватность больше не наша
В 2021 году личные данные большинства людей уже не принадлежат только им. Инфраструктура мегаполиса нашпигована камерами, датчиками, терминалами, которые собирают и анализируют информацию о транспортных потоках, нарушениях ПДД, количестве людей в разных локациях, маршрутах автомобилей и активности мобильных абонентов. И хотя операторы таких систем заявляют, что данные собираются обезличенно и для благих целей контроля городской обстановки, многим людям это не нравится и, конечно, обезличенность легко пропадает при обогащении данных.
В интернете все еще хуже. Сколько трекеров и анализаторов информации стоит на каждом сайте, известно лишь их владельцам. Также им могут быть известны практически все данные пользователя вплоть до подробного цифрового отпечатка устройства (фингерпринт). Эти данные собираются и агрегируются в Big Datа, где они будут проанализированы и позже вернутся к пользователю контекстной рекламой и персональными предложениями.
Сегодня правоприменение многих стран разрешает уполномоченным органам анализировать трафик пользователей в целях обеспечения национальной безопасности, проведения оперативно-розыскных действий или соблюдения определенных правил — например, антипиратского законодательства в Европе, где за скачивание контента из Сети действуют жесткие санкции (от больших штрафов до тюремных сроков).
В России трафик любого пользователя может быть прочитан спецслужбами с помощью систем СОРМ (система технических средств для обеспечения функций оперативно-разыскных мероприятий) и ТСПУ (технические средства противодействия угрозам), которые операторы связи должны устанавливать на своем оборудовании по закону «о суверенном Рунете». И это сильно нервирует тех, кому важны приватность и тайна частной жизни.
Хакеры и рядовые мошенники постоянно устраивают взломы и кражу данных людей по всему миру. Они продаются, обмениваются, а потом просто утекают в Сеть и болтаются там годами.
Так персональные данные становятся общественно доступными, а проблема с приватностью пользователей в интернете становится крайне актуальной. Формируется запрос на конфиденциальность, защиту, надежный контроль личной информации. Это открывает перспективы для новых технических решений, которые созданы для восстановления и охраны приватности, и возможность для развития новых рынков.
Почему все говорят о приватности
В 2015 году основатель Telegram Павел Дуров на конференции TechCrunch Disrupt заявил, что «конфиденциальность и наше право на нее важнее, чем страх перед такими угрозами, как терроризм» и назвал WhatsApp «отстоем». Через два года российские власти начали блокировку Telegram за непредоставление спецслужбам ключей шифрования, попутно обрушив работу множества сторонних сервисов. Добраться до мессенджера так и не смогли, и в 2020 году неожиданно «блокировка» была снята, а Роскомнадзор сам завел телеграм-канал.
Все это время количество пользователей в Telegram увеличивалось, у WhatsApp же начались проблемы. В начале 2021 года мессенджер объявил об изменениях в политике конфиденциальности, согласно которой персональные данные пользователей будут передаваться в Facebook для лучшего таргетинга рекламы. Это вызвало шквал критики и серьезный отток пользователей, которые частично перешли в Telegram. Хотя к последнему у специалистов теперь тоже появились вопросы. В том же выступлении 2015 года Дуров заявлял, что в Telegram никогда не будет проводиться блокировка политического контента, и вот в 2021 году перед выборами в Госдуму был удален бот оппозиционного проекта «Умное голосование». В Рунете разворачивается новая дискуссия о причинах такого поступка Дурова и даже возможном тайном сотрудничестве мессенджера с российскими властями.
В сентябре 2021 года разразился скандал. ProtonMail, очень уважаемый в privacy-сообществах европейский сервис веб-почты с шифрованием, выдал полиции по запросу Европола IP-адреса и информацию об устройствах ряда активистов, которые были связаны с организацией митинга движения Youth for Climate в Париже. Экоактивисты оказались под арестом. Такое развитие событий потрясло отрасль, ведь ProtonMail, как и другие продукты этой компании, например ProtonVPN, считались одними из самых защищенных сервисов для криптопараноиков.
Простому пользователю, чьи данные обычно и становятся разменной монетой в споре между государствами, корпорациями и хакерами, приходится только реагировать на новости и мигрировать из одного приложения в другое. Скандалы с большими игроками открывают поле для входа на рынок тех, кто поменьше — на них обращают внимание после краха репутации гигантов.
Приватность — это новое золото
Privacy Tech — это серьезный большой рынок. Помимо ИТ-гигантов, которые разрабатывают свои собственные продукты для защиты конфиденциальности, а также подгоняют под все более высокие требования уже существующие решения, на этом рынке хорошо себя чувствуют стартапы. И есть предпосылки, что некоторых из них ждет большое будущее из-за политической и экономической обстановки в мире.
Долгое время рынок технологий приватности и конфиденциальности оставался только «перспективным» для инвесторов. К нему приглядывались, но венчурные капиталисты предпочитали вкладываться в другие направления. Введение в 2017–2019 годах новых европейских и американских законов, касающихся privacy (GDPR, CCPA, LGPD) стали толчком к экспоненциальному увеличению инвестиций. Даже в 2020 году, когда в пандемию многие стагнировали или падали, этот рынок активно рос.
Основной бум приходится на сегмент b2b, где взлетают компании, предоставляющие услуги по корпоративной безопасности, обеспечению конфиденциальности клиентских данных и соблюдения европейских и других регламентов. Пандемия, кстати, тут только поспособствовала — ведь для высаженных на удаленку сотрудников нужны были новые безопасные решения. По данным последнего отчета 2021 Tech Vendor Report, количество компаний, занимающихся исключительно корпоративными технологиями обеспечения конфиденциальности, выросло на 15% по сравнению с предыдущим годом. Интересно, что сфера технологий b2c догоняет отрасль технологий корпоративной конфиденциальности, а также появляются новые решения Privacy Tech формата b2b2c — от одной компании через другую к конечному потребителю.
Для конечного пользователя особую ценность представляют решения «из коробки», которыми можно пользоваться самостоятельно, без настройки специалистами или особых навыков. Такие продукты предлагают как крупнейшие вендоры типа Apple, Google, Microsoft, так и стартапы, среди которых шифрованные мессенджеры, личные VPN-сервисы, облачные хранилища с криптозащитой.
Privacy Tech и чем он не является
Спрос на продукты для приватности растет. Обеспокоенность людей безопасностью своих персональных данных и частной жизни приводит к тому, что они ищут новые технические решения. Пользователи покидают WhatsApp и переходят в Signal ради безопасности своей переписки, устанавливают браузеры Brave и DuckDuckGo для приватного серфинга в сети, настраивают свой личный VPN, типа Amnezia или Outline, используют приложения для генерации паролей и защищенной аутентификации, проходят обучение в различных сервисах повышения цифровой грамотности.
Что такое Privacy Tech? Это определенный сегмент рынка, область технологических решений и стартапов, связанных с приватностью и защитой персональных данных, всем тем, что обеспечивает возможность личного контроля над своими данными. Это направление технологий базируется на стремлении людей к конфиденциальности, доверительным отношениям с ограниченным кругом без посторонних, а также на основных правах человека и гражданина, которые декларируют защиту частной жизни.
Privacy Tech — это технологии конфиденциальности, это продукты, которые решают проблемы приватности как главную боль пользователя, при этом не уступают по юзабилити сервисам-конкурентам без специфического уклона. Но к Privacy Tech можно отнести и другие случаи, когда конфиденциальность является одной из ключевых, но не основной ценностью сервиса — например, секретные чаты Telegram.
При этом технологии приватности по незнанию или намеренно часто путают с другими направлениями: кибербезопасностью, анонимностью, Privacy by design (спроектированной защитой данных по GDPR) и так далее. Privacy Tech представляет собой большое множество вариантов управления личной информацией. Например, технологии анонимности маскируют пользователя в интернете, но технологии приватности могут предполагать как полную анонимность, так и согласие на раскрытие части информации или личности доверенному источнику и так далее.
Экспоненциальный рост, который сейчас можно наблюдать на рынке Privacy Tech, будет продолжаться, ведь, скорее всего, история с обеспечением приватности наших данных только начинается. И даже такие хорошо продуманные законы как GDPR хоть и пытаются регулировать оборот данных, но действуют на отдельной территории, а потому не могут противостоять трансграничной слежке или краже данных, а значит, в игру будет вступать все больше и больше технологичных проектов, решающих проблемы техническим путем.