Открытые данные: риски и проблемы информационной безопасности
Выпуск:
ART 971103
Библиографическое описание статьи для цитирования:
Заборников
А.
Е. Открытые данные: риски и проблемы информационной безопасности // Научно-методический электронный журнал «Концепт». –
2017. – Т. 39. – С.
3881–3885. – URL:
http://e-koncept.ru/2017/971103.htm.
Аннотация. Реализация проекта «Открытые данные» началась довольно давно, задолго до выхода Федерального закона от 7 июня 2013 г. № 112-ФЗ «О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления"». Проект изначально сопровождался большим количеством проблем, большая часть которых до сих пор осталась нерешенной, а некоторые и вовсе практически неразрешимы. В данной статье исследованы следующие вопросы: какое влияние оказывает на безопасность наших данных и информации ограниченного доступа в целом реализация закона «об открытых данных»; какие проблемы возникают в связи с этим и каковы возможные подходы к их решению.
Ключевые слова:
информационные технологии, информационная безопасность, риски, открытые данные, закон «об открытых данных»
Текст статьи
Заборников Алексей Евгеньевич,магистрант, Самарский государственный экономический университет, г. СамараZabornikowaleksey@yandex.ru
Открытые данные: рискии проблемыинформационной безопасности
Аннотация.Реализация проекта «Открытые данные» началась довольно давно, задолго до выхода Федерального закона от 7 июня 2013 г. N 112ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления". Проект изначально сопровождался большим количеством проблем, большая часть которых до сих пор осталась нерешенной, а некоторые и вовсепрактически неразрешимы. В данной статье исследованы следующие вопросы: какое влияние оказывает на безопасность наших данных и информации ограниченного доступа,в целом,реализация закона «об открытых данных»;какие проблемы возникают в связи с этим; икаковы возможные подходы к их решению.Ключевые слова:открытые данные, информационная безопасность, информационные технологии, риски, закон «об открытых данных».
В настоящее время в Российской Федерацииактивно реализуетсяконцепцияоткрытости органов государственной и муниципальной власти.Центральное место в этой концепции занимает такое понятие«открытые данные».В этом направлении правительством РФпроделана огромная работа. Подготовлена и принята законодательная база, основу которой составляет Федеральный закон от 7 июня 2013 г. N 112ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления"(так называемый закон «об открытых данных»)» [1];в этом же году были подготовлены подзаконные нормативные акты, методические рекомендации.И вроде все сделано на достаточно высоком уровне и даже появились первые положительные результаты.Однако в решении таких обширных вопросовобязательно имеются нюансы, которые невозможно предусмотреть и проработать за такой короткий срок. Деталей, касающихся регулирования в сфере открытых данных, немало, однако в рамках данной статьи будет рассмотрен только один вопрос: какое влияние оказывает на безопасность наших данныхи информации ограниченного доступа в целомреализация закона «об открытых данных»,и какие проблемы возникают в связи с этим.Основныезадачи исследования, представленного в данной статье:выявить основные проблемы защищенности информации ограниченного доступа, возникающие в результате реализации «закона об открытых данных»;
исследоватьпорождающие их факторы;обозначить возможные подходы к их решению.
Начнем с понятия открытые данные.Согласно федеральному закону от 27 июля 2006 г. N 149ФЗ "Об информации, информационных технологиях и о защите информации" «информация, размещаемая ее обладателями в сети "Интернет" в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных»[2].Причем все по тому же закону кобщедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. То есть открытые данные –это лишь форма размещения общедоступной информации. Это определение больше относится к узкой трактовке.
Определение в широком смысле словадано наофициальномИнтернетпортале Открытого правительстваhttp://opendata.open.gov.ru:«открытые данныев широком смысле —это та часть раскрываемой органами государственной власти и местного самоуправления информации, которая отвечает требованиям свободы доступа, свободыиспользования и автоматической обработки (машиночитаемости)»[3].Федеральный закон от 27 июля 2006 г. N 149ФЗ "Об информации, информационных технологиях и о защите информации" делит информацию по категории доступа на двавида: «информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)». Можно сделать вывод, что любая информация, не являющаяся общедоступной, является ограниченной по доступу со всеми вытекающими последствиями.Под информацией ограниченного доступавсе по тому же закону N 149ФЗ "Об информации, информационных технологиях и о защите информации"подразумевается: государственная тайна, персональные данные, профессиональная тайна (медицинская, адвокатская, семейная, следствия и т.д.) и прочая информация, свободныйдоступк которой ограниченФедеральным законодательством.Следует сразуобратить вниманиена один интересный момент, присутствующийв законодательстве. Возьмем фрагмент из Федерального закона от 27 июля 2006 г. N 149ФЗ "Об информации, информационных технологиях и о защите информации": «4. …В случае, если при создании или эксплуатации государственных информационныхсистем предполагается осуществление или осуществляется обработка общедоступной информации, предусмотренной перечнями, утверждаемыми в соответствии со статьей 14 Федерального закона от 9 февраля 2009 года № 8ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», государственные информационные системы должны обеспечивать размещение такой информации в сети «Интернет» в форме открытых данных.41. Правительство Российской Федерации определяет случаи, при которых доступ с использованием сети «Интернет» к информации, содержащейся в государственных информационных системах, предоставляется исключительно пользователям информации, прошедшим авторизацию в единой системе идентификации и аутентификации, а также порядок использования единой системы идентификации и аутентификации»[2]. Все верно, правительство ограничивает доступ к информации, котораяодновременнодля одного человека или группы лиц может являться открытыми данными,а для других –информацией ограниченного доступа. Создается промежуточная категория, котораяназвана нами«условно открытые данные», хотя в официальных источниках утверждается, что это те же открытые данные(рис. 1).Возможно, это самый подходящийспособрешениясразу несколькихпроблем, касающихся защищенности информации ограниченного доступа, среди которых раскрытие персональных данных. Однако в то же время доступ к «условно открытым данным»посредством аутентификацииможет так же в определенных случаях служить инструментом «сокрытия» некоторых сведенийот людей, имеющих низкую компьютерную грамотность.А все дело в том, что в единой системе идентификации и аутентификации зарегистрированолишь небольшое число граждан, которые могут, умеют и пользуются своими аккаунтами.Причем процедура аутентификации может быть,по решению уполномоченных государственных органов,совершенно официальнопривязана почти к любой информации.
Рис. 1. Классификация информации по уровню доступа
При рассмотрении проблемы открытых данных в разрезе того, насколько велик шанс, что среди свободно распространяемых сведений может попасться информация ограниченного доступа, первое место занимает защита персональных данных; менее распространенным, но не менее важным являются ситуации раскрытия профессиональной тайны и служебной информации.Государственную тайну можно не рассматривать, так как система мотиваций и санкций, касающихся данного вида информации,достаточно хорошо отработанаи не допускает «утечек». Хотя стоит заметить, что в статье 7 Федерального закона от 27 июля 2006 г. N 149ФЗ "Об информации, информационных технологиях и о защите информации" имеется оговорка следующего содержания:«В случае, если размещение информации в форме открытых данных может привести к распространению сведений, составляющих государственную тайну, размещение указанной информации в форме открытых данных должно быть прекращено по требованию органа, наделенного полномочиями по распоряжению такими сведениями»[2]. Это позволяет судить о том, что государство всетаки не исключает полностью возможность утечки государственной тайны посредством ее ошибочной публикации в виде открытых данных.Персональные данные(куда относятся имя, фамилия, отчество, сведения о наличии детей, контактные данные и прочая информация)в общем случае публиковать никто не запрещает, при условии, конечно же, что будет проведена процедура их обезличивания. Эта процедура подразумевает удаление из набора персональных данных части сведений, которая однозначно идентифицирует ее обладателя.Вот какая формулировка дана в законе № 152ФЗ «О персональных данных»: «обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации Информация по категориям доступаИнформация ограниченного доступаИнформация, доступ к которой нельзя ограничиватьПрочаяГосударственная тайнаСведения конфиденциального характераПерсональные данныеПрофессиональная тайнаПрочие виды конфиденциальной информацииОбщедоступная (открытая)«Условно открытые данные»Открытые данныеопределить принадлежность персональных данных конкретному субъекту персональных данных»[4]. Сразу же бросается в глаза фраза «без использования дополнительной информации». Получается, что имея эту самую «дополнительную информацию» можно без особого труда определить человека, которому принадлежат персональные данные, так «удачно» обезличенные. На практике,вышеупомянутая дополнительная информация чаше всего очень легко находится в другом, «соседнем»наборе данных, также прошедшем процедуру обезличивания. Данную проблему подробно описала в своей работе Эрика Кларрих. Автор пишет, что «путем совмещения двух и более обезличенных наборов данных с использованием методов статистики, теории вероятностей и математики можно почти гарантированно получить личную информации о человеке, полностью идентифицирующуюего»[5].Несмотря на то, что данная проблема появиласьдовольно давно, не существует единого эффективного решения, которое сохраняло бы всю информативность обезличенных персональных данных без изменений.В чем же причина«просачивания» информации ограниченного доступа через открытые данные? Причина тут не одна, ихсразу несколько, к тому же все они взаимосвязаны. Самым очевидным на первый взгляд кажется, что всему причина –безответственность и нерадивость сотрудников. Да, такое имеет место быть, но дело не только в этом. Для подготовки некоторых наборов открытых данных требуются сотничеловекочасов, однако в условиях ограниченного времени и исполнителейэта работа выполняется за гораздо меньшее время.Отсюда и появляются все связанные проблемы. Конечно, возрастает количество публикуемых наборов открытых данныхи этоможно считать положительным эффектом, но, к сожалению, единственным. Многиечитателимогут поспорить, что во всем виноват «переходный период», когда необходимо подготовить и опубликоватьв открытом доступе не только текущий материал, нотакже всю скопившуюся запредыдущие периоды информацию.Однако, оспаривая этот аргумент,стоит напомнить, что в современном информационном обществе объем разнородных данных ежегодно увеличивается по закону геометрической прогрессии,и было бы ошибкой надеяться на снижение количества информации в будущем. Проанализировав причинноследственные связи проблемы ограниченности времени на подготовку материала для размещения в открытом доступе, можно прийти к выводу, что за ней стоит целый «блок» факторов: слабая мотивация сотрудников, их низкая квалификация, чрезмерная загруженность и слабый охват частных случаев подзаконными актами и локальными нормативными документами, регулирующими деятельность в области открытых данных.А теперь небольшое пояснение.Слабуюмотивациюсотрудниковможно отчасти связать с недостаточным финансированием деятельности по реализации принципов открытых данных, так как специалистам, которые уже имеют целый спектрполномочий изадач для срочного выполнения, дополнительно вменяют обязанности по публикации информации в открытомдоступе лишь за небольшую надбавку к основной зарплате либо совсембезкакоголибо вознаграждения. Сюда же можно отнести и проблему чрезмерной загруженности специалистов. Хотя оба этих фактора также могут быть и результатом неудовлетворительной работы руководителя, но это уже выходит за рамки данной статьи.Средипричин раскрытия информации ограниченного доступа в результате ее размещения в форме открытых данныхтакжеможно назвать слабую аналитическую работу при подготовке исходных материалов. Зачастую передих опубликованием в открытых источниках проводится только первичная обработка, которая обычно заключается в редактировании и приведении разнородных сведений в удобный для чтения вид. Причем бывает так, что сотрудник, ответственный за размещение открытых данных в свободном доступе, не всегда знает, какая именно информация содержится в наборе, который он собирается обнародовать. Ведь достаточно забыть удалить всего одну строчку с фамилией и именем в какомлибо отчете и уже можно идентифицировать личность определенного человека, особеннов случаях,если такой инцидент произошел на местном уровне. А это грубое нарушение Федерального Закона № 152ФЗ «О персональных данных». Хотя стоит заметить, что на практике, раскрытие персональных данных одного человека редко несет для него тяжелые последствия. Возможно, такова была и оценка по данному вопросу уполномоченных государственных органов,потому что реализация предписаний законодательства в области открытых данных уже идет полным ходом, а финансирование, в том числе и на деятельность по предотвращению попадания информации ограниченного доступа в открытые источники,еще не достигло необходимых объемов. Теперь давайтепредположим,что должен уметь сотрудник, который занимается публикацией открытых данных. Само собой разумеется, он должен уметь пользоваться программами обработки текстов и таблиц различных форматов, среди которых есть и не совсем простые в пользовании xmlи csvредакторы. Эта часть вызывает проблему для специалистовстаршего поколения,особенно с учетом российских тенденцийпо увеличениювозраста выхода чиновников на пенсию.С другой стороны,работа по подготовке материала к публикации требует умения работы с большими массивами данных, методами анализа и агрегирования,которымине всегда владеют молодые специалисты. В итоге получается, что работа по размещению информации в открытом доступесовершенноневозможна безвысоких аналитических способностей и знания технической стороны вопроса, что накладывает определенные требования к квалификации и опыту ответственно сотрудника.Также хотелось бы остановиться на ситуациис подзаконными актами. После выхода Федерального закона от 7 июня 2013 г. N 112ФЗ «О внесении изменений в Федеральный закон "Об информации, информационных технологияхи о защите информации" и Федеральный закон "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления"»началась работа по подготовке нормативной базы, которая бы позволила реализоватьтребования вышеназванного закона. И если на федеральном уровне были получены достаточно хорошие результаты, то в регионахразвитие ситуации оставляет желать лучшего. Как сказано в Федеральном законеот 9 февраля 2009 года N 8ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления": «Организация доступа к информации о деятельности государственных органов и органов местного самоуправления осуществляется с учетом требований настоящего Федерального закона в порядке, установленном государственными органами, органами местного самоуправления в пределах своих полномочий». Именно тут и кроются подводные камни, потому что не всегда в распоряжении органов местного самоуправления имеются сотрудники, способные грамотно разработатьнормативные акты в сфере открытых данных с учетом положения дел на подотчетной территории. В результате могут происходить различные утечки информации ограниченного доступа, а опубликованная информация будет являтьсянерелевантной инеиспользуемой.В завершение статьи хотелось бы сказать, что число проблем, связанных с безопасность информации при реализации концепции открытых данных, довольно значительно. Среди них есть и небольшие, организационногохарактера(например,отдельные неточности в законодательстве), и крупные, системного характера(неготовность государственного аппаратав требуемом темпе осуществлятьтакие масштабные проекты), на решениекоторыхеще уйдет немало времени и средств. Но вместе с тем, нельзя оценивать предпринимаемые государствомв этой сфере действия толькокритически. Если обобщить уже полученные на данный момент результаты и сравнить их, например, с полученными ранее (дватри года назад), то очевидно, что дело не стоит на месте. По сути, основные инструменты, необходимые для реализации концепции открытых данных уже готовы и остается лишь работать над их совершенствованиемв процессе использования.
Ссылки на источники1.Федеральный закон "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" от 7 июня 2013 г. №112ФЗ// [Электронный ресурс] URL: http://base.garant.ru/70393024/
[Дата обращения 09.04.2017].2.Федеральный закон «Об информации, информационных технологиях и о защите информации»от 27 июля 2006 г. № 149ФЗ (ред. 19.12.2016). // [Электронный ресурс] URL:http://base.garant.ru/12148555/[Дата обращения 20.04.2017].3.Интернетпортал Открытого правительства, раздел проекта «Открытые данные» // [Электронный ресурс] URL: http://opendata.open.gov.ru/event/5598184/–[Дата обращения 25.04.2017].4.Федеральный закон "О персональных данных" от 27.07.2006 № 152ФЗ (последняя редакция) // [Электронный ресурс] URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ [Дата обращения 20.04.2017].5.Klarreich Erica. Privacy by the Numbers: A New Approach to Safeguarding Data // Quanta Magazine, 31.12.2012.
Открытые данные: рискии проблемыинформационной безопасности
Аннотация.Реализация проекта «Открытые данные» началась довольно давно, задолго до выхода Федерального закона от 7 июня 2013 г. N 112ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления". Проект изначально сопровождался большим количеством проблем, большая часть которых до сих пор осталась нерешенной, а некоторые и вовсепрактически неразрешимы. В данной статье исследованы следующие вопросы: какое влияние оказывает на безопасность наших данных и информации ограниченного доступа,в целом,реализация закона «об открытых данных»;какие проблемы возникают в связи с этим; икаковы возможные подходы к их решению.Ключевые слова:открытые данные, информационная безопасность, информационные технологии, риски, закон «об открытых данных».
В настоящее время в Российской Федерацииактивно реализуетсяконцепцияоткрытости органов государственной и муниципальной власти.Центральное место в этой концепции занимает такое понятие«открытые данные».В этом направлении правительством РФпроделана огромная работа. Подготовлена и принята законодательная база, основу которой составляет Федеральный закон от 7 июня 2013 г. N 112ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления"(так называемый закон «об открытых данных»)» [1];в этом же году были подготовлены подзаконные нормативные акты, методические рекомендации.И вроде все сделано на достаточно высоком уровне и даже появились первые положительные результаты.Однако в решении таких обширных вопросовобязательно имеются нюансы, которые невозможно предусмотреть и проработать за такой короткий срок. Деталей, касающихся регулирования в сфере открытых данных, немало, однако в рамках данной статьи будет рассмотрен только один вопрос: какое влияние оказывает на безопасность наших данныхи информации ограниченного доступа в целомреализация закона «об открытых данных»,и какие проблемы возникают в связи с этим.Основныезадачи исследования, представленного в данной статье:выявить основные проблемы защищенности информации ограниченного доступа, возникающие в результате реализации «закона об открытых данных»;
исследоватьпорождающие их факторы;обозначить возможные подходы к их решению.
Начнем с понятия открытые данные.Согласно федеральному закону от 27 июля 2006 г. N 149ФЗ "Об информации, информационных технологиях и о защите информации" «информация, размещаемая ее обладателями в сети "Интернет" в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных»[2].Причем все по тому же закону кобщедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. То есть открытые данные –это лишь форма размещения общедоступной информации. Это определение больше относится к узкой трактовке.
Определение в широком смысле словадано наофициальномИнтернетпортале Открытого правительстваhttp://opendata.open.gov.ru:«открытые данныев широком смысле —это та часть раскрываемой органами государственной власти и местного самоуправления информации, которая отвечает требованиям свободы доступа, свободыиспользования и автоматической обработки (машиночитаемости)»[3].Федеральный закон от 27 июля 2006 г. N 149ФЗ "Об информации, информационных технологиях и о защите информации" делит информацию по категории доступа на двавида: «информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)». Можно сделать вывод, что любая информация, не являющаяся общедоступной, является ограниченной по доступу со всеми вытекающими последствиями.Под информацией ограниченного доступавсе по тому же закону N 149ФЗ "Об информации, информационных технологиях и о защите информации"подразумевается: государственная тайна, персональные данные, профессиональная тайна (медицинская, адвокатская, семейная, следствия и т.д.) и прочая информация, свободныйдоступк которой ограниченФедеральным законодательством.Следует сразуобратить вниманиена один интересный момент, присутствующийв законодательстве. Возьмем фрагмент из Федерального закона от 27 июля 2006 г. N 149ФЗ "Об информации, информационных технологиях и о защите информации": «4. …В случае, если при создании или эксплуатации государственных информационныхсистем предполагается осуществление или осуществляется обработка общедоступной информации, предусмотренной перечнями, утверждаемыми в соответствии со статьей 14 Федерального закона от 9 февраля 2009 года № 8ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», государственные информационные системы должны обеспечивать размещение такой информации в сети «Интернет» в форме открытых данных.41. Правительство Российской Федерации определяет случаи, при которых доступ с использованием сети «Интернет» к информации, содержащейся в государственных информационных системах, предоставляется исключительно пользователям информации, прошедшим авторизацию в единой системе идентификации и аутентификации, а также порядок использования единой системы идентификации и аутентификации»[2]. Все верно, правительство ограничивает доступ к информации, котораяодновременнодля одного человека или группы лиц может являться открытыми данными,а для других –информацией ограниченного доступа. Создается промежуточная категория, котораяназвана нами«условно открытые данные», хотя в официальных источниках утверждается, что это те же открытые данные(рис. 1).Возможно, это самый подходящийспособрешениясразу несколькихпроблем, касающихся защищенности информации ограниченного доступа, среди которых раскрытие персональных данных. Однако в то же время доступ к «условно открытым данным»посредством аутентификацииможет так же в определенных случаях служить инструментом «сокрытия» некоторых сведенийот людей, имеющих низкую компьютерную грамотность.А все дело в том, что в единой системе идентификации и аутентификации зарегистрированолишь небольшое число граждан, которые могут, умеют и пользуются своими аккаунтами.Причем процедура аутентификации может быть,по решению уполномоченных государственных органов,совершенно официальнопривязана почти к любой информации.
Рис. 1. Классификация информации по уровню доступа
При рассмотрении проблемы открытых данных в разрезе того, насколько велик шанс, что среди свободно распространяемых сведений может попасться информация ограниченного доступа, первое место занимает защита персональных данных; менее распространенным, но не менее важным являются ситуации раскрытия профессиональной тайны и служебной информации.Государственную тайну можно не рассматривать, так как система мотиваций и санкций, касающихся данного вида информации,достаточно хорошо отработанаи не допускает «утечек». Хотя стоит заметить, что в статье 7 Федерального закона от 27 июля 2006 г. N 149ФЗ "Об информации, информационных технологиях и о защите информации" имеется оговорка следующего содержания:«В случае, если размещение информации в форме открытых данных может привести к распространению сведений, составляющих государственную тайну, размещение указанной информации в форме открытых данных должно быть прекращено по требованию органа, наделенного полномочиями по распоряжению такими сведениями»[2]. Это позволяет судить о том, что государство всетаки не исключает полностью возможность утечки государственной тайны посредством ее ошибочной публикации в виде открытых данных.Персональные данные(куда относятся имя, фамилия, отчество, сведения о наличии детей, контактные данные и прочая информация)в общем случае публиковать никто не запрещает, при условии, конечно же, что будет проведена процедура их обезличивания. Эта процедура подразумевает удаление из набора персональных данных части сведений, которая однозначно идентифицирует ее обладателя.Вот какая формулировка дана в законе № 152ФЗ «О персональных данных»: «обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации Информация по категориям доступаИнформация ограниченного доступаИнформация, доступ к которой нельзя ограничиватьПрочаяГосударственная тайнаСведения конфиденциального характераПерсональные данныеПрофессиональная тайнаПрочие виды конфиденциальной информацииОбщедоступная (открытая)«Условно открытые данные»Открытые данныеопределить принадлежность персональных данных конкретному субъекту персональных данных»[4]. Сразу же бросается в глаза фраза «без использования дополнительной информации». Получается, что имея эту самую «дополнительную информацию» можно без особого труда определить человека, которому принадлежат персональные данные, так «удачно» обезличенные. На практике,вышеупомянутая дополнительная информация чаше всего очень легко находится в другом, «соседнем»наборе данных, также прошедшем процедуру обезличивания. Данную проблему подробно описала в своей работе Эрика Кларрих. Автор пишет, что «путем совмещения двух и более обезличенных наборов данных с использованием методов статистики, теории вероятностей и математики можно почти гарантированно получить личную информации о человеке, полностью идентифицирующуюего»[5].Несмотря на то, что данная проблема появиласьдовольно давно, не существует единого эффективного решения, которое сохраняло бы всю информативность обезличенных персональных данных без изменений.В чем же причина«просачивания» информации ограниченного доступа через открытые данные? Причина тут не одна, ихсразу несколько, к тому же все они взаимосвязаны. Самым очевидным на первый взгляд кажется, что всему причина –безответственность и нерадивость сотрудников. Да, такое имеет место быть, но дело не только в этом. Для подготовки некоторых наборов открытых данных требуются сотничеловекочасов, однако в условиях ограниченного времени и исполнителейэта работа выполняется за гораздо меньшее время.Отсюда и появляются все связанные проблемы. Конечно, возрастает количество публикуемых наборов открытых данныхи этоможно считать положительным эффектом, но, к сожалению, единственным. Многиечитателимогут поспорить, что во всем виноват «переходный период», когда необходимо подготовить и опубликоватьв открытом доступе не только текущий материал, нотакже всю скопившуюся запредыдущие периоды информацию.Однако, оспаривая этот аргумент,стоит напомнить, что в современном информационном обществе объем разнородных данных ежегодно увеличивается по закону геометрической прогрессии,и было бы ошибкой надеяться на снижение количества информации в будущем. Проанализировав причинноследственные связи проблемы ограниченности времени на подготовку материала для размещения в открытом доступе, можно прийти к выводу, что за ней стоит целый «блок» факторов: слабая мотивация сотрудников, их низкая квалификация, чрезмерная загруженность и слабый охват частных случаев подзаконными актами и локальными нормативными документами, регулирующими деятельность в области открытых данных.А теперь небольшое пояснение.Слабуюмотивациюсотрудниковможно отчасти связать с недостаточным финансированием деятельности по реализации принципов открытых данных, так как специалистам, которые уже имеют целый спектрполномочий изадач для срочного выполнения, дополнительно вменяют обязанности по публикации информации в открытомдоступе лишь за небольшую надбавку к основной зарплате либо совсембезкакоголибо вознаграждения. Сюда же можно отнести и проблему чрезмерной загруженности специалистов. Хотя оба этих фактора также могут быть и результатом неудовлетворительной работы руководителя, но это уже выходит за рамки данной статьи.Средипричин раскрытия информации ограниченного доступа в результате ее размещения в форме открытых данныхтакжеможно назвать слабую аналитическую работу при подготовке исходных материалов. Зачастую передих опубликованием в открытых источниках проводится только первичная обработка, которая обычно заключается в редактировании и приведении разнородных сведений в удобный для чтения вид. Причем бывает так, что сотрудник, ответственный за размещение открытых данных в свободном доступе, не всегда знает, какая именно информация содержится в наборе, который он собирается обнародовать. Ведь достаточно забыть удалить всего одну строчку с фамилией и именем в какомлибо отчете и уже можно идентифицировать личность определенного человека, особеннов случаях,если такой инцидент произошел на местном уровне. А это грубое нарушение Федерального Закона № 152ФЗ «О персональных данных». Хотя стоит заметить, что на практике, раскрытие персональных данных одного человека редко несет для него тяжелые последствия. Возможно, такова была и оценка по данному вопросу уполномоченных государственных органов,потому что реализация предписаний законодательства в области открытых данных уже идет полным ходом, а финансирование, в том числе и на деятельность по предотвращению попадания информации ограниченного доступа в открытые источники,еще не достигло необходимых объемов. Теперь давайтепредположим,что должен уметь сотрудник, который занимается публикацией открытых данных. Само собой разумеется, он должен уметь пользоваться программами обработки текстов и таблиц различных форматов, среди которых есть и не совсем простые в пользовании xmlи csvредакторы. Эта часть вызывает проблему для специалистовстаршего поколения,особенно с учетом российских тенденцийпо увеличениювозраста выхода чиновников на пенсию.С другой стороны,работа по подготовке материала к публикации требует умения работы с большими массивами данных, методами анализа и агрегирования,которымине всегда владеют молодые специалисты. В итоге получается, что работа по размещению информации в открытом доступесовершенноневозможна безвысоких аналитических способностей и знания технической стороны вопроса, что накладывает определенные требования к квалификации и опыту ответственно сотрудника.Также хотелось бы остановиться на ситуациис подзаконными актами. После выхода Федерального закона от 7 июня 2013 г. N 112ФЗ «О внесении изменений в Федеральный закон "Об информации, информационных технологияхи о защите информации" и Федеральный закон "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления"»началась работа по подготовке нормативной базы, которая бы позволила реализоватьтребования вышеназванного закона. И если на федеральном уровне были получены достаточно хорошие результаты, то в регионахразвитие ситуации оставляет желать лучшего. Как сказано в Федеральном законеот 9 февраля 2009 года N 8ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления": «Организация доступа к информации о деятельности государственных органов и органов местного самоуправления осуществляется с учетом требований настоящего Федерального закона в порядке, установленном государственными органами, органами местного самоуправления в пределах своих полномочий». Именно тут и кроются подводные камни, потому что не всегда в распоряжении органов местного самоуправления имеются сотрудники, способные грамотно разработатьнормативные акты в сфере открытых данных с учетом положения дел на подотчетной территории. В результате могут происходить различные утечки информации ограниченного доступа, а опубликованная информация будет являтьсянерелевантной инеиспользуемой.В завершение статьи хотелось бы сказать, что число проблем, связанных с безопасность информации при реализации концепции открытых данных, довольно значительно. Среди них есть и небольшие, организационногохарактера(например,отдельные неточности в законодательстве), и крупные, системного характера(неготовность государственного аппаратав требуемом темпе осуществлятьтакие масштабные проекты), на решениекоторыхеще уйдет немало времени и средств. Но вместе с тем, нельзя оценивать предпринимаемые государствомв этой сфере действия толькокритически. Если обобщить уже полученные на данный момент результаты и сравнить их, например, с полученными ранее (дватри года назад), то очевидно, что дело не стоит на месте. По сути, основные инструменты, необходимые для реализации концепции открытых данных уже готовы и остается лишь работать над их совершенствованиемв процессе использования.
Ссылки на источники1.Федеральный закон "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" от 7 июня 2013 г. №112ФЗ// [Электронный ресурс] URL: http://base.garant.ru/70393024/
[Дата обращения 09.04.2017].2.Федеральный закон «Об информации, информационных технологиях и о защите информации»от 27 июля 2006 г. № 149ФЗ (ред. 19.12.2016). // [Электронный ресурс] URL:http://base.garant.ru/12148555/[Дата обращения 20.04.2017].3.Интернетпортал Открытого правительства, раздел проекта «Открытые данные» // [Электронный ресурс] URL: http://opendata.open.gov.ru/event/5598184/–[Дата обращения 25.04.2017].4.Федеральный закон "О персональных данных" от 27.07.2006 № 152ФЗ (последняя редакция) // [Электронный ресурс] URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ [Дата обращения 20.04.2017].5.Klarreich Erica. Privacy by the Numbers: A New Approach to Safeguarding Data // Quanta Magazine, 31.12.2012.