среда, 30 ноября 2011 г.

Виды персональных данных в 152-ФЗ


Под классификацией здесь я буду понимать процесс группировки объектов исследования или наблюдения в соответствии с их общими признаками. Все что сказано ниже не относится к классам К1-К4.

До недавнего времени мне казалось, что уж с классификацией все устаканилось давно. Оказалось, как подсказали старшие товарищи из Новосибирского РКН, нет. После некоторых размышлений решил все собрать в одну кучу ограничившись уровнем 152-ФЗ.

понедельник, 28 ноября 2011 г.

В порядке бреда по лицензированию ТЗКИ и персональных данных


Постановление Правительства  № 781 от 17 ноября 2007 г. перечитанное вдоль и поперек, смотрим  п.4 Положения:
4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.

Зная нашего законодателя приходят разные интересные и не очень мысли вроде того, что если проект по созданию ИС не включает в себя требования по защите и там есть ПД, то проект не полный, а договор фиктивный. А если включает, то это уже деятельность по ТЗКИ. Теперь всем интеграторам ИСПДн, (а что у нас не ИСПДН?) лицензироваться во ФСТЭК? Или субподряд? Хотя с субподрядом для меня не все до конца ясно. Я как понимаю, что все фирмы, которые вываливаются по запросу, потенциальные клиенты либо ФСТЭК, либо ОБЭП?


суббота, 19 ноября 2011 г.

Коммерческая тайна, патенты и интеллектуальная собственность.


Неожиданно для себя попал на двухдневный семинар по защите интеллектуальной собственности. Предельно интересное событие и дало хороший толчок в развитии. 

 В частности понял для себя три вещи:

пятница, 11 ноября 2011 г.

Позиция Новосибирского РКН


Вчера на одном мероприятии с интересом выслушал представителя Новосибирского РКН. Что запомнилось-удивило (привожу смысл сказанного,как я услышал-записал, а не цитирую, так что могут быть ошибки):

1. Есть мнение уважаемых товарищей, что уведомление в РКН должны подавать все предприятия с численностью более 4 человек. Случаев,  когда компания попадает  исключительно под действие 22 статьи  части 2 в природе встречается очень мало. Обычно всегда находится что-то еще, так как бизнес штука сложная и не понятная, а трактовка законов еще сложнее. В общем что-то найдется всегда.
С моей точки зрения уведомление РКН, в текущей конфигурации, это минимальное из возможных зол. На сегодня я не знаю разумных причин не уведомлять РКН. Более того иногда встречается мнение, что вероятность попасть в план проверок выше, если не подано уведомление.

2. Письменное согласие - основное основание обработки ПД если нет Закона. Действительно существует только 5 случаев обязательного письменного согласия, но как оператор будет доказывать факт получения согласия в другой форме? Идеальный вариант взять согласие в соответствии с требованиями статьи 9. То, что для выдачи дисконтной карты надо заполнить форму как на открытие юр. лицане проблема.

3. Традиционная биометрия… В общем случае фотография человека есть биометрические данные... Без уточнения. 
О биометрии есть еще и хорошие новости – на прошлой неделе представитель ФСТЭК сказал, что вот так вот с ходу определить является ли фотография биометрией, лично он не может. Ссылался на ГОСТ и т.д. Так что лед вроде тронулся, но как-то не шустро - по-прежнему, СКУД считается Новосибирскими регуляторами К1.

Хочу отметить, что в целом от выступления осталось ощущения «положительной динамики» и поиска разумного подхода к решению проблемы.  Я наблюдал развития контролера законодательства о государственных закупках, в лице ФАС и пока могу сказать, что развитие событий идет по более оптимистичному сценарию.

воскресенье, 30 октября 2011 г.

Какие тайны есть в России на основании наших законов?

Случайно наткнулся на документ "Перечень нормативных актов, относящих сведения к категорииограниченного доступа" от Консультанта-Плюс.
Я подозревал, что у нас много работы, но что бы на столько...

UPD 8.11.11: Алексей Лукацкий насчитал 65. Рекомендовано к прочтению и пониманию, что у нас нет единого подхода.

Персональные данные и Архивное дело.


В середине октября суд Архангельска начал рассмотрение дела М.Супруна. Опуская эмоциональную окраску связанную с тем что дело связанно с репрессированными людьми, можно сказать, что два гражданина РФ, один профессор, заведующий кафедрой отечественной истории Поморского государственного университета, другой начальник информационного центра при УВД по Архангельской области на, как говорят юристы, возмездной основе, а по простому говоря, продали информацию о более чем 5000 человек иностранной организации с правом распространения полученной информации ряду учреждений ФРГ. Очевидно, что сами люди и их законные представители небыли уведомлены об этом.

вторник, 25 октября 2011 г.

Командостроение или стоит ли копировать западные процедуры


Взято с сайта "Деловой квартал":


Сергей Якушин: Построй команду – разрушь бизнес! 
Автор: Сергей Якушин, основатель «Сибирской ярмарки» и Новосибирского крематория
Новосибирск

У городского лета есть характернейшая деталь: каждый выходной все более-менее приличные пансионаты и санатории заполняют корпоративные клиенты— персонал, собранный на выработку командного духа. «Командостроителей» даже на пригородных шоссе узнать легко— по «пионерлагерным» автобусам, где вместо детей— радостно галдящие взрослые.

Казалось бы, гляди и радуйся— люди укрепляют коллегиальные связи. Но у меня эта летняя примета вызывает скепсис и оторопь. Потому что тимбилдинг— это бессмысленная и вредная игрушка. Игрушка яркая, импортная, шумная, любимая отечественными стаф-менеджерами. И обладающая совершенно феерической разрушительной силой. Техники, призванные сплачивать команду ради успеха общего дела,— отличное средство это дело уничтожить.

воскресенье, 23 октября 2011 г.

Роскомнадзор хочет новых полномочий.


С момента моего первого знакомства с Роскомнадзором, как с регулятором в области защиты персональных данных, у меня, да и не только у меня, вызывал своей деятельностью положительные эмоции как адекватный и профессиональный новый игрок в области безопасности. Иногда, конечно вспоминалась история с генераторами шума, в основном коснувшаяся Москвы…

И вот РИА НОВОСТИ в пятницу сообщает, что РКН обратился в Думу с предложением передать ему от прокуратуры полномочия по возбуждению дел в области нарушений закона о защите персональных данных и вроде как уже подготовил документы об ужесточении наказаний.

С одной стороны понятно, при  стоимости средств защиты информации и матожидании штрафа в размере 2000 руб, некоторым предприятиям дешевле «покупать годовой абонемент», и увеличение штрафов безусловно изменит ситуацию.

С другой стороны, насколько я понимаю эволюцию Законодательства в последний год, увеличение штрафов приведет к принципиальной невозможности адекватного регулирования защиты персональных данных и окажет негативное влияние на ЗИ в коммерческом секторе, например КТ.

пятница, 21 октября 2011 г.

Так ли конфиденциальны некоторые персональные данные?


В связи с широким внедрением в жизнь требований 152-ФЗ и вдалбливанием в неокрепшие головы российского малого бизнеса, что персональные данные это есть секрет, за разглашение которого может теоретически наступить уголовная ответственность, меня все чаще посещает вопрос: «А в каких случаях претензия субъекта персональных данных будет морально обоснована?».

В новой редакции Закона заложена идея оценки вреда человеку. Но если человек сам, без посторонней помощи, публикует свои ПД, а потом выявив ошибку защите ИСПДН оператора идет жаловаться в РКН?

О каком вреде может быть речь в этом случае? Наиболее часто это касается отношений «работник-работодатель» и касается случаев, когда работник требует охраны его ПД, которые лежат в виде резюме на всех серверах по поиску работы.

Здесь на ум приходит норма закона о защите коммерческой тайны (статья 3 п.2):
"информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера … которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны".

четверг, 20 октября 2011 г.

Программисты и защита информации или нужен ли команде программистов юрист.


Во времена моей бытности разработчиком АСУ (было и такое) старшие и умудренные опытом товарищи вбивали мне в голову одну не хитрую мысль: до начала разработки ТЗ, не говоря уже о кодировании надо уточнить следующие вопросы:
  • Цели работы программы.
  • Перечень пользователей программы.
  • Нормативная (правовая, справочная) база, на которую опираются процессы, алгоритмизируемые в программе.
  • Возможность и необходимость дальнейшего развития программы.
  • Контактное лицо, уполномоченное решать все вопросы от лица заказчика.
  • Наличие материалов, которые есть или заказчик планирует подготовить для использования в программе.
И если цель программы выясняется довольно часто, то до перечня пользователей на этапе «до ТЗ» доходит в лучшем случае 1 из 3, а до нормативной базы, такое впечатление, не доходит никто.
И появляются различного рода «электронные дневники», СКУД для школы, что бы любой кто представится родителем, мог зайдя на сайт узнать в школе ли ребёнок и когда он покидает школу (расписание уроков), не говоря уже о таких «прозаических» вещах, как попытка составления полного досье в HRM системах или при регистрации на некоторых сайтах…

IMHO, пришло время включать в команду разработчиков ПО юриста. Иначе потом заказчику/пользователю приходится платить за исправление ошибок несоответствию местному законодательству и иногда существенно большие суммы, чем стоимость самого ПО…

О безопасности банковских карточек Visa/MasterCard

Вспоминая почти месячной давности историю  с очередной эпидемией краж денежных средств с банковских карт, обнаружил еще один возможный канал, который может помочь мошенникам получить реквизиты карточки, хорошо хоть не клон карты.

воскресенье, 9 октября 2011 г.

Безопасность начинается с вахтера.


Если театр начинается с вешалки, то безопасность начинается с вахтера. И первое, на что я обращаю внимание при аудите – как работает охрана/вахта. Своего рода индикатор того как относится компания к безопасности.
В одном из ВУЗов, где я читаю лекции, меня неизменно радует служба безопасности. За последний год я предъявлял пропуск не более десяти раз. За это время я придумал несколько способов, как проходить без пропуска. Есть просто классическая иллюстрация к социальной инженерии. Если на входе вместо предъявления пропуска попросить ключ от аудитории, то пропускают с ключом и без пропуска. Думаю, у каждого есть не одна история о "эффективности" вахтеров.
Невозможно требовать исполнения требований инструкций по безопасности от пользователей, которым на входе демонстрируется полное пренебрежение инструкциями и обязанностями. Теория разбитых окон в данном случае работает против нас. 

воскресенье, 25 сентября 2011 г.

Американские власти ограничат мобильные и online-приложения


Американская Федеральная Торговая комиссия выступила с предложением ввести более жесткие требования к защите личных данных, относящихся к детям, которым еще не исполнилось тринадцати лет. Новые правила будут распространяться на сбор личной информации не только веб-сайтами, но также мобильными приложениями. Теперь для осуществления этих действий ресурсам потребуется получить разрешение от родителей пользователей до 13 лет.
Предыдущий акт по защите персональных данных детей в глобальной сети был принят американской Комиссией 6 лет назад. За это время произошло множество технологических изменений, в связи с чем назрела необходимость обновления действующих правил. Новые правила, скорее всего, будут одобрены Комиссией в конце ноября по окончании периода общественных слушаний.
В определение понятия «персональная информация» включаются также данные геолокационных сервисов, на основе которых можно определить, где находится ребенок в каждый момент времени. Кроме того, в поправках к акту разъясняется, что будет также ограничена деятельность всех online-игр и других приложений, которые предлагают детям таргетированную рекламу.
Так как сейчас дети проводят в Интернете очень много времени, причем часто используя для этого свои мобильные телефоны, то, даже несмотря на ужесточение правил, риск разглашения их личных данных и встречи с неприемлемым для них контентом или рекламой остается огромным. Американская Федеральная Торговая комиссия пытается отыскать баланс между ограничением интернет-компаний, ведущих свой бизнес в сети, и помощью родителям в деле защиты своих детей от опасностей в Интернете.

четверг, 15 сентября 2011 г.

Защита персональных данных в CRM церкви Пресвятой Троицы?!


Не могу не удержаться: NaviCon Group завершила проект внедрения Microsoft Dynamics CRM в церкви Пресвятой Троицы.  CRM в церкви… Хм… Нет слов… Ну да ладно. Честно скажу – ждал этого, когда не логичность ситуации с философией и религией вылезет наружу… 

CRM, как я понимаю это Customer relationship management? В церкви управление клиентами…

Т.е. на руках имеем ИСПДн. Как я понимаю К1 (сведения касающиеся  религиозных или философских убеждений)? Даже представив отмазку, что не факт, что пожертвование означает приверженность к указанной конфессии, то сам факт жертвования однозначно определяет философию. Кроме того есть еще: "…благодаря системе, учитываются все действия, которые сотрудники церкви осуществляют по отношению к каждому действующему и потенциальному благотворителю: звонки, письма, вся история взаимоотношений…". Так что при удачном расположении звезд К2, с хорошим прицелом на К1 по географическому признаку. Ну не верю, что в г. Коломна много  жертвователей, которые в состоянии содержать газеты, школы и т.д. по списку.

Интересно чем сертифицированным они там защищаются? И где опубликованная в неограниченном доступе политика? 

P.S. Хочу посмотреть, как Роскомнадзор их проверять будет! Что-то мне подсказывает, что не значится у РКН оператор ПД "Церковь  Пресвятой Троицы". Диалоги, которые я себе представляю, между проверяющим и проверяемым просто восхитительны!
"Эта штука сильнее,  чем  "Фауст" Гёте" (с) И.В. Сталин.

вторник, 13 сентября 2011 г.

Поздравим коллег с денем программиста


Сегодня день программиста.
Коллеги, примите поздравления с, надеюсь пока еще не официальным, праздником. Успехов, уникальных и гениальных продуктов, хороших тестеров и любящих пользователей. 

пятница, 9 сентября 2011 г.

А должна ли стоимость защиты не превышать стоимость активов?


Довольно часто можно услышать, что защита должна быть адекватной. "Другими словами, если данные никому не нужны - то не надо их защищать. Если данные стоят 10 рублей - то нет смысла тратить 11 рублей на систему их защиты". Так ли это в современном мире?

Ущербность подхода заметна, если задать ровно один вопрос: зачем домашнему пользователю антивирус?  Современные вирусы: с одной стороны разрушают инфицированные системы довольно редко и во-вторых, в общем случае, не блокируют компьютер пользователя. Иногда вирус не только не похищает информацию, но и закачивает новую.  В этом случае ценность ресурсов в underground даже вырастет. ;)

Тем не менее, зачем-то мы рекомендуем использовать антивирус и вроде как нет деятелей, предлагающих отменить установку антивирусов на домашние ПК.

P.S. Для пользователей: Антивирус ОБЯЗАТЕЛЕН. Это не обсуждается!

среда, 7 сентября 2011 г.

О неразумных запретах

 Разбирая очередную Политику Безопасности Предприятия (именно так с Большой Буквы) и обнаружив там следующее:

Пользователям запрещается:
- запускать на рабочем месте программы развлекательного характера;
- копировать документы и информационные файлы с информацией непосредственно не относящейся к обязанностям работника;

- посещать ресурсы развлекательного характера;
- посещать ресурсы непосредственно не связанные с исполнением должностных обязанностей;
- пользоваться, с компьютеров компании, бесплатными сервисами сторонних организаций (mail.ru, yandex.ru, odnoklassniki.ru, vkontakte.ru и т.п.)

- использовать при авторизации на сторонних ресурсах логические имена и/или пароли используемые в корпоративной сети.

вторник, 30 августа 2011 г.

Восприятие информации...


Когда я был системным администратором, меня забавлял примерно такой диалог:

Пользователь: у меня тут окошко выскочило и я нажал кнопку «Ok». Я правильно сделал?
Я: А что было написано?
Пользователь: Ой, а я не прочитал…

Одним из важных параметров взаимодействия человека и информационной системы (компьютера) является то, на сколько человек понимает сообщение, появляющееся на экране. По сути, этот элемент будет краеугольным для любого общения или информационного обмена.
Мы говорим об осведомленности персонала в вопросах информационной безопасности, но если пользователи игнорируют любые системные сообщения системы или, что еще хуже, читают их «по диагонали» любая осведомленность будет бессмысленна. Для начала необходимо людей приучить читать выскакивающие окна, а не предполагать, что там написано. Как в прочем, слушать, а не предугадывать.

среда, 24 августа 2011 г.

Образование в области информационной безопасности.

Мы много говорим о том, что одним из важных элементов информационной безопасности является осведомленность сотрудников... К сожалению сегодня, в России понятие об информационной безопасности довольно часто пребывает в двух состояниях:
1. Информационная безопасность? Зачем? У меня нет секретов!
2. Информационная безопасность? У меня все сделано, я установил антивирус и firewall… Список можно продолжить.

пятница, 19 августа 2011 г.

Проект о ПП лицензировании деятельности ТЗКИ - первые мысли

Проект постановления о лицензировании деятельности по технической защите конфиденциальной информации:
Вопросы после первого "диагонального" прочтения:
1. Как понимаю в лицензии предполагается указывать виды работ, на которые выдается лицензия. В принципе ожидаемо, особенно в свете дискуссий о стоимости лицензии ТЗКИ.
2. Появился "контроль защищенности конфиденциальной информации от утечки по техническим каналам в средствах и системах информатизации… не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается…"
3. Защита персональных данных, IMHO в том числе для собственных нужд, попадает видимо под пункт 4 подпункты:
д) проектирование объектов в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения конфиденциальных переговоров;
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
При этом требования по оборудованию пункт 5 подпункт в: наличие на праве собственности или ином законном основании испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку… для пункта е.
И спрашивается что поменялось?
UPD: в пп е нет эксплуатации...

понедельник, 15 августа 2011 г.

Категории персональных данных… в последний раз.


В очередной раз, столкнувшись с результатом жизнедеятельности одной из контор под громким названием "консалтинговая компания"  не могу молчать: "в зоопарке тигру не докладывают мяса" ну не бывает ИСПДн обрабатывающих историю болезни классом К-4. Ну, ни как, ни бывает, даже если очень хочется, даже если начальник сказал.

вторник, 9 августа 2011 г.

Грибники нашли в лесу ворох недоставленных писем (видео) — НГС.НОВОСТИ

На минувшей неделе, во вторник, 2 августа, в лесу в районе Новосибирского завода искусственного волокна в городе Искитиме (Новосибирская область) была обнаружена недоставленная корреспонденция — в основном простые письма... Далее

Я даже сбился сколько всего нарушено почтой и журналистами (см. видео). А Вы говорите yandex, google... Или здесь то же про robot.txt забыли?


воскресенье, 7 августа 2011 г.

Сбор персональных данных в Internet


Одним из этапов создания системы защиты информации, у хорошего интегратора, будет анализ обрабатываемых данных и предложения по сокращению их объема в системе и приведение перечня обрабатываемых ПД в соответствие с целями обработки. Делается это для: оптимизации расходов на систему защиты (хотя срабатывает редко), оптимизации самой ИС, минимизации ущерба в случае реализации угроз и т.п. В любом случае шаг полезный.

суббота, 6 августа 2011 г.

Согласие субъекта и клубные/дисконтные карты

Сегодня в магазине предложили участвовать в дисконтной программе. Условием участия в программе было заполнение анкеты, которую можно посмотреть здесь.

В итоге я получил пример того, как исполнение требований 152-ФЗ привело к ситуации, когда оператор начинает собирать данные, которые для меня являются уже чувствительными: серия и № паспорта, кем и когда выдан, да еще и настоятельно намекают на прописку для обработки информации чуть секретнее, чем моя визитка. Теперь подробнее.

пятница, 5 августа 2011 г.

среда, 3 августа 2011 г.

Понятие идентификации и взаимосвязь с ущербом...

Одним из важных элементов законодательства РФ в области персональных данных является вопрос идентификации личности. В тексте 152-ФЗ попадаются следующие словосочетания: " определенному или определяемому физическому лицу", "установить его личность", "удостоверяющего его личность", "установления личности". Кроме того, есть еще понятия идентификации, аутоинтефикации и т.д. В связи с утечкой sms с Мегафона засветилось мнение, что № телефона не идентифицирует личность.
Для определенности зададимся вопросом: Идентифицирует ли субъекта номер телефона?

Как у практика, у меня сложилось простое определение идентификации личности: если с этим набором персональных данных удастся, при случае, открыть уголовное дело с конкретным подозреваемым, то таки набор идентифицирует субъекта.
Попробуем, все таки, разобраться с установлением личности. В IT понятие идентификации определено как "присвоение субъектам и объектам идентификатора и / или сравнение идентификатора с перечнем присвоенных идентификаторов".
Есть еще процесс аутентификации - "проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности".
И здесь пока еще понятно. Однако мы, IT-шники, здесь вторгаемся в зону юристов, а по сравнению с законодательным полем федеральная мультисервисная ИС с тысячами хостов пример простого и предельно понятного объекта.

вторник, 2 августа 2011 г.

Цены на DDOS

В среднем, цена за «вышибание» сайта в офлайн приблизительно 5-10$ за час, 40-50$ за день, 350-400$ за неделю и свыше 1 200$ за месяц. «Невольными призывниками этой кибер-войны становятся ПК, взломанные предоставителями «услуги», которые находятся под контролем вредоносного программного обеспечения», объясняет эксперт по безопасности Браяна Кребса (Brian Krebs).
Взято из "Хакеры предлагают платные услуги по организации DDoS-атак".

Шесть советов тем, кто получил повестку на допрос в налоговую

Наткнулся на хороший материал по взаимоотношениям с налоговой инспекцией. Поскольку очень хочется сохранить копирую себе в блог.
Автор: Кира Гин-Барисявичене – управляющий партнер группы юридических и аудиторских компаний «Содействие бизнес-проектам».

Взято: с юридического блога.

Вызов на допрос свидетеля — одно из популярных мероприятий налоговых инспекторов. Для любого собственника бизнеса или наемного работника получить звонок от налоговиков или повестку о вызове на допрос — настоящий стресс. Как быть? Можно ли не приходить? Что говорить? Ответов на эти вопросы в Налоговом кодексе не найти — про допрос свидетеля в нем только коротенькая статья с минимумом информации. Вот несколько советов, проверенных на практике.

Автоматизированная обработка

Продолжая тему внимательного чтения новой редакции 152-ФЗ после подписания Президентом
В связи с принятием 261-ФЗ от 27.07.2011 неожиданно для меня получила новую трактовку ситуация с фотографиями в СКУД (системы контроля и управления доступом).

На сегодняшний день наиболее часто попадающийся мне функционал СКУД выглядит следующим образом:
1. В систему вносятся ФИО, фотография субъекта, иногда паспортные данные.
2. Система автоматически отмечает время входа на территорию и время выхода.
3. Данные передаются в бухгалтерию (чаще всего через механизм выгрузок) для учета в табеле рабочего времени и последующего начисления заработной платы.

понедельник, 1 августа 2011 г.

Что такое оценка соответствия? Это сертификация?

Алексей Волков, как мне кажется, провел отличное исследование этого вопроса и возможных направлений развития этого вопроса. Я бы не был столь категоричен эмоциональных оценках о "Кормушкином дворе", но в целом все сказанное верно, с учетом замечаний Вихорева в комментариях.
Рекомендовано к прочтению: Кормушкин двор. Часть 1.

воскресенье, 31 июля 2011 г.

Поправки в закон 152-ФЗ «О персональных данных». Последствия…

В наших правовых базах, в свободном доступе, появился текст Закона «О персональных данных». Долгое общение с юристами приучило меня к одному нехитрому правилу, если ты работаешь с текстами законов, то лучше их брать с правовых баз с актуальным обновлением. Достоинство этого подхода: ты четко понимаешь, что работаешь с действующей версией документа, можно посмотреть историю и любую из предыдущих версий, а так же статус документа. Поиск нужного адреса прост как апельсин: в яндексе набираем "152-ФЗ base" и на первых двух местах видим ссылки на Консультант-плюс и Гарант. В особо щекотливые моменты, проверяю по двум базам.

Теперь собственно о поправках. Справка о документе в Internet версии Консультанта:
Начало действия редакции - 27.07.2011.

пятница, 29 июля 2011 г.

Страшная правда про последний ДДОС на ЖЖ...

Благодаря ЖЖ-пользователю gunter-spb мы можем таки узнать все тяжелую и страшную правду о последней атаке на Livijournal.

вторник, 19 июля 2011 г.

О законодательных тупиках и Мегафоне часть 2

Получившийся диалог с Алексеем Волковым после моего комментария:
Здесь есть несколько важных для меня моментов:
1. При работе с партнерами за рубежом можно нарваться на трансграничную передачу просто отправив подтверждение только что полученных данных. На территории РФ это ПД и передавать за рубеж только по письменному согласию. Понятно, что бред, но прямое чтение оставляет только такие мысли.
2. В общем случае форма согласия может быть любая и только в определённых законом случаях письменная.
3. Нет ясности и не предвидится с ЛООПДППО.

Сокращения:
А.В. – Алексей Волков
Р.П. – Руслан Пермяков

А.В.: Вы оперируете понятиями законопроекта, поэтому на нем и остановимся. Если смотреть дословно, то понятия "обработчик" в нем тоже нет, есть ЛООПДППО, и поручение ему может выписать только другой ОПЕРАТОР, который определяет цели. Поскольку субъект оператором быть не может, т.к. не попадает под действие ЗоПД, то ни о каком поручении и ЛООПДППО речи быть не может. Тем не менее, сыграть в игру "я не оператор" все же стоит, исходя из определения оператора.

Статьей 9 пунктом 1 действительно предусмотрена любая форма. И все было бы хорошо, если бы не приписка "если иное не установлено федеральным законом". И этим же 152-ФЗ установлено только 2 формы: письменная и ЭЦП. Так что свобода автоматически ограничена: сможете найти ФЗ, который перебивает 152-ФЗ в отношении согласия, получаемого через интернет-форму - бодайтесь, Ваша возьмет. Не сможете - бесперспективняк.

Единственное, с чем можно согласиться, это, пожалуй, трансграничка, но и то, если текст отправленной СМС не отображается в истории при отслеживании на самом сайте. А он, насколько мне известно, отображается. Так что увы...

Кругом двойные толкования.
Р.П.:
Вообще-то в определении Оператора присутствуют магические слова "физические лица". ;) Про цели в определении не сказано не слова, это заявлено выше.
По пункту 4 статьи 6, где предусмотрено две формы согласия, я готов биться, что она возникает только в случаях "предусмотренных федеральным законом", а это закрытый список: общедоступные источники, специальные категории, биометрия, трансграничная передача, автоматические решения и все. В соответствующих статьях идет ссылка на форму. Это пройдет на 100%. Ак что во всех остальных случаях согласие может быть любым. Или я не в то место закона смотрю?
А история отображается за границу в отношении персданных полученных из-за границы. Если толковать на уровне движения пакетов, то трафик за бугор надо резать. ;) Короче здесь вроде как хорошо. Еще бы Царева на эту тему услышать. ;) А то я не юрист.
А.В.:
В "операторе" действительно есть определение "физического лица", но пункт 1 статьи 2 выводит физлиц, если они обрабатывают ПДн для личных и семейных нужд. Так что если доказать, что СМС была отправлена для личной нужды, то такой субъект - не оператор. Если для корпоративной или иной другой - то оператор. Во как :)

И как же про цели не сказано - статья 3 пункт 2: "а также определяющее цели обработки".

Внимательно читаем пункт 1 статьи 9. Согласие на обработку ПДн может быть дано ... в любой форме ... позволяющей подтвердить факт его получения ... если иное не установлено ФЗ. Вы ссылаетесь на пункт 4 статьи 9 (а не 6), и готовы биться, и я Вам скажу, что имеете право. Однако здесь опять двойное толкование - о чем идет речь в п. 1 ст. 9: о ФОРМЕ, а не о случаях. Готовы доказать обратное - велкам :)

А какая разница, откуда она получена? За границу передается - будьте любезны.
Р.П.:
Про трансграничную [передачу]: форму [web] отслеживания статуса править надо и все, не будет там ее [трансграничной передачи].

Про оператора: про цели [обработки] я имел в виду какие цели личные или общественные. ;)

Про форму [согласия], я вижу следующую цепочку: Есть определение формы [согласия] и оно открытое, есть прицеп в виде "если иное не установлено федеральным законом". Далее в Законе перечислены случаи когда это ограничение действует. Наши юристы говорят железобетонно.

О законодательных тупиках и Мегафоне

Алексей Волков проанализировал неплохо ситуацию с утечкой в Yandex sms абонентов Мегафона. Не смог удержаться и продублирую здесь свои комментарии.
Сам пост находится здесь и очень рекомендован к прочтению, дабы не "спорить о вкусе устриц с теми, кто их ел".

Мое мнение:
Остановлюсь на комментариях относительно новой версии. Источник взял у Александра Бондаренко здесь. Про ущерб, я с Вами полностью согласен и именно поэтому считал и считаю, что прошлая версия от первого чтения не работала бы. Теперь по пунктам.
В общем IMHO, у Мегафона основной косяк – нарушение статьи 7. Конфиденциальность персональных данных. А она коррелирует с законом «О связи» и как я слышал более тяжелое наказание поглощает менее и т.д. и т.п. Но в качестве разминки посмотри, что с персданными и как опуская вопрос утечки привести в соответствие.

Цитата
Теперь о том, какие меры обязан был принять оператор для обработки и защиты данных, передаваемых через веб-форму, в случае, если таковые являются не обезличенными. Во-первых, организационные: необходимо получить согласие на обработку ПДн с КАЖДОГО, кто отправляет данные через эту форму. Согласия абонента, номер которого указывается в поле "получатель", совершенно недостаточно, поскольку в теле сообщения могут быть не только его данные, но и данные отправителя, и вообще любых третьих лиц (которых надо уведомить).

Конечно, оператор может заявить, что он в данном случае не определяет целей обработки ПДн и выступает как сервис-провайдер, а цель определяют сами абоненты, отправляющие СМС, и что содержание ПДн в СМС и сопутствующая их обработка это не самоцель - но неизвестно, как на это отреагирует суд.
Конец цитаты

Ну, для начала бы я разыграл комедию под названием, а я не оператор. По определению в статье 3 оператор определяет состав ПД и цели обработки. В данном случае состав и цели определяет исключительно субъект, путем написания текста и определения круга лиц, кому этот текст будет доступен, а сюда очевидно включается и сам Мегафон и абоненты, которые указаны в поле получателя. Конечно, жаль что нет явного определения обработчик, но есть статья 6 п.3 и следующий 3. В данном случае Оператором является сам субъект ПД, но под действие закона он не попадает. Тут интереснее что, мы в Операторы записываем самого абонента, и судебные перспективы уже не такие туманные. Определения жесткие, вывод субъекта из под закона то же жесткий.
Косить под сервис провайдера я бы не стал, а вот в обработчики записался бы. ;)
А далее есть п 4. статьи 6 об ответственности оператора перед субъектом, вот пусть сам субъект и отвечает перед собой. ;)
Вообще п.3 статьи 6 (первый который) крайне интересен в этой ситуации, например "… В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона…"
Всего этого насколько я понимаю указано, не было и с обработчика принявшего разумные меры спрос не велик. С субъекта-оператора то же нет.

Цитата
Cделать ПДн, отправляемые через веб-сайт общедоступными может только сам субъект, и оператор должен доказать, что у него есть основания это полагать и обрабатывать их без согласия субъекта, которое может быть либо письменным, либо с ЭЦП.
Конец цитаты

Как я понимаю, Вы считаете, что в новой редакции согласие может быть только письменное (или электронное с ЭП), но как тогда трактовать Статью 9 ч. 1 Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.? Форма согласия явно не письменная или приравненная к ней.
Насколько я понимаю, исчезло понятие общедоступные ПД, а появилось "Общедоступные источники персональных данных" (статья 8). Здесь интересный момент получается, фишка используемая операторами для отказа от создания СЗИ в виде письменного согласия с категорированием ПД субъекта как общедоступные ПД приказала долго жить, поскольку ПД, так и остаются ПД, только теперь крутиться могут в общедоступных местах. Форма отправки SMS ни как не тянет на общедоступный источник. Так что это ни при каких обстоятельствах общедоступные ПД. А формой согласия может быть и чекбокс, при условии, что дальше без него не пройти. По крайней я на такой позиции готов бодаться. IMHO.

Цитата
Сюда же "приплетается" трансграничная передача ПДн (доступ к форме возможен из-за рубежа) со всеми вытекающими.
Конец цитаты

С трансграничной передачей, то же для меня не все прозрачно. Исходя из прямого прочтения статьи 12 нас интересует только передача из России, а в случае доступа к форме из-за рубежа происходит передача в Россию. Случай нахождения абонента за рубежом попадает под действие другой части системы и к рассматриваемой web форме отношения не имеет. Так что трансграничную передачу, при случае я бы то же отмел. ;)

понедельник, 18 июля 2011 г.

XSS в Skype

Наткнулся разбирая ленту новостей, думаю нужно знать многим:

Недостаточная фильтрация информации из поля с номером мобильного телефона позволяет внедрить туда код на javascript, который будет выполняться при каждом логине пользователя, добавившего этот контакт к себе. Последствия - от перехвата сессии и смены пароля до получения контроля над компьютером жертвы.
Взято здесь.

Что будет пониматься под информационной безопасностью в ближайшем будущем?

К сожалению, я не футуролог, но попробую написать мысли возникшие благодаря дискуссиям с коллегами на тему, на сколько современные требования предъявляются к системам защиты информации в России и Европе.
Ни для кого не секрет, что мы живем в меняющемся мире. Некоторые философы считают, что переход к информационному обществу уже практически завершен и перед специалистами IT индустрии стоят задачи, уже общечеловеческой значимости.
Недавно мне задали вопрос: а как меняется защита информации в связи с возникновением нового общественного устройства? Я думаю, что последние события, связанные с законом о персональных данных хорошо отражают кризис в IT отрасли.
Давайте представим ближайшее будущее, допустим лет через двадцать пять. Этот отрезок времени интересен тем, что тогда будут активной общественной силой сегодняшние 3-7 летние дети. Жизнь большинства которых будет иметь наиболее полное отражение в Сети, начиная от заметок родителей во сколько и где родился, какого веса, когда и какие детские болезни с ребенком приключались, в какой садик и почему отдали ребенка, была ли няня и где отдыхали летом и кончая личными страничками в социальных сетях школьного и послешкольного периода, участие индивидуума в различных сетевых сообществах и личные блоги.
С позиции сегодняшнего дня довольно сложно представить как этот, уже свершавшийся факт, повлияет на общественную жизнь в 30-40х годах XXI века. Фактически общество сможет проследить жизнь и становление индивидуума, смену его взглядов и жизненных позиций. Не стоит забывать о развитии поисковых механизмов, позволяющих уже сегодня получать интересующую информацию с высокой эффективностью.
В этом случае обязательно претерпит само понятие компромат. Фактически исчезнет понятие "публичный человек" точнее "публичными людьми" станут все. При таком информационном присутствии людей и компаний в Internet выловить неизвестные факты будет почти невозможно. Соответственно может получить развитие направление по созданию "новых информационных реальностей" – создание не существовавших ранее в Internet фактов, которые не имеют отношение к действительности и после определенных манипуляций станут частью истории.
Как следствие изменится круг задач решаемых дисциплиной "защита информации" или "информационная безопасность". Первые ростки будущего видны уже сейчас. Например, для меня, очевидным следствием повсеместного перехода на электронный документооборот является смещение внимания специалистов по безопасности в область решений надежного хранения информационных ресурсов. Из разговоров с руководителями крупных компаний становится ясно, что высокие требования к непрерывности информационного сопровождения бизнес-процессов не приносят ожидаемых дивидендов, исключением являются связисты и собственно IT компании.
Надо понимать, что наем сотрудника с полным профилем в сети однозначно будет определять интересы компании и ее перспективные направления. Утечкой перспективных планов может стать простая визитка с именем и фамилией и названием компании. Как следствие будет трансформировано понятие "конфиденциальность".
Кстати относительно последние версии мировых стандартов, рекомендаций и практик уже прилагают существенные усилия к выравниванию весов критериев "целостность-доступность-конфиденциальность". В то же время утвержденные РД в России устанавливают приоритет за конфиденциальностью. Думаю это ключевое отставание в понимании процессов в IT, которое ведет к ошибкам в законотворческой деятельности. IMHO надо уходить от приоритета конфиденциальности, по крайней мере в разделе персональных данных, и многие вопросы будут сняты.

среда, 13 июля 2011 г.

Роль специалиста при защите информации

Довольно часто меня спрашивают: почему вообще возникает вопрос о наличии какой-то лицензии при защите персональных данных внутри организации?
Опуская вопрос о том, что считать собственными нуждами и что делать когда у нас на руках десяток ЗАО-ООО выполняющих узкоспециальные задачи, попробуем понять зачем нужен профильный специалист по защите информации. 
Начну из далека - 94-ФЗ, а именно электронных аукционов. Совсем недавно ко мне обратилась фирма, которая выиграла аукцион, их полностью устраивали условия контракта и цена, но не смогла подписать контракт из-за технической ошибки и сейчас она (фирма) находится в списке недобросовестных поставщиков, потерянным обеспечением аукциона в электронной форме и непонятными перспективами самого контракта. Реализация рисков, как говорится, на лицо.
После недолгих переговоров по телефону я понял, что произошла тривиальная вещь - ушел в отпуск обученный специалист по аукционам в электронной форме. Девушка отработала все шаги включая саму процедуру торгов и поле этого передала процесс назначенному заместителю, который в 94-ФЗ разбирается, скажем так, не полностью. Инструкции звучали примерно так: через несколь дней нам пришлют контракт, который надо проверить, подписать электронной подписью и отправить на электронную площадку. Все было вроде бы понятно, только человек ждал письмо на ящик корпоративной электронной почты, а не проверял ящик на площадке. В результате пропустил срок подписания контракта (о котором не знал) и принес убытки фирме и не понятные перспективы специалисту по госзакупкам, т.к. фирме грозит мораторий на госзакупки на 3 года. 
К чему рассказ? Объем знаний связанных с процедурой аукциона в электронной форме укладывается в 4-7 часовой тренинг. Объем нормативной документации касающийся самой процедуры аукциона составляет 22 страницы формата А4, а сам закон – 115. При этом, в отличии от 152-го, нет подзаконных актов, регламентов контролеров, смежного законодательства, вносящего существенные коррективы и прочего, прочего, прочего. Структура рельсовая, сворачивать некуда, каждый этап прописан соответствующей статьей. И в этой, идеальной ситуации, ответственный специалист не справляется с возложенной на него задачей. И Вы хотите, что бы Ваш кадровик, за 5-7 часов осознал бы проблему защиты информации, отрасль ИТ в целом и смог принимать хоть сколько-то обоснованные решения?
Осведомленность в вопросах информационной безопасности подавляющего числа системных администраторов оставляет желать лучшего. До сих пор встречаются представители, которым необходимо доказывать необходимость наличия антивируса на серверах. Я уже не говорю о дискуссиях, о необходимости пускать трафик закрытых разделов корпоративных порталов по https. Есть не одно весьма печальное исследование о стойкости паролях административных аккаунтов.
Уверен, что требование наличия лицензии на ТЗКИ в современной редакции избыточно, но наличие, как минимум одного специалиста по защите информации необходимо. Или организации надо задуматься об Outsoursing информационной безопасности у лицензиата.

пятница, 8 июля 2011 г.

Сапоги тачать пирожник...

По следам последних событий. Последней каплей, стало это:
"Правда, как только всплывает термин "сертифицированные средства криптографической защиты информации (СКЗИ)", то, как заметили участники дискуссии, о доверии к ним со стороны владельца данных можно забыть..." взято от сюда.

Итак, опуская какую либо оценку с точки зрения технической эффективности, юридической правильности и этической верности любых законопроектов и решений. Я хочу задать ровно один вопрос: Блин, а что происходит у нас в стране?

1. Появились новые регуляторы в защите информации: Центробанк, Роскомнадзор... При этом ФСБ и ФСТЭК чуть не отстранили от вопроса защиты информации. Первый, кто скажет, что это девочка что ПД не информация может кинуть в меня камень.
2. Кто помнит ФЗ о противодействии финансированию терроризма? Банки как элемент правоохранительной системы? А нет законопроекта о переводе банков с состав МВД или лучше в ФСБ? "добрый день, я начальник кредитования, майор ФСБ Сколов" - IMHO звучит.
3. Эксперты по защите информации отстаивают возможность не защищать информацию. Я про открытое письмо. ;) Я думал, что пчелы не могут выступать против меда. ;)
4. Сертифицированные средства шифрования не вызывают доверия у системных администраторов. И это при том что ГОСТ еще толком не взломали, а средний сисадмин в защите информации разбирается примерно так же как я в балансировке нагрузки кластера. Т.е. говорить могу до вечера - а смысла будет на уровне обсуждения характеристик сферического коня в вакууме.
5. Журналисты выступают за применение и ужесточение статьи УК за незаконный сбор информации. Опять пчелы против меда...
6. ОБЭП охраняет авторские права. Копирование файла по тяжести сопоставимо с изнасилованием. Вася Пупкин из деревни Мухосранск установил себе в коровник компьютер с пиратской ОС, чем нанес компании миллиардный убыток, вызвал третью волну мирового кризиса, а потом и третью мировую войну, а если выживут юристы и первую межгалактическую. Блин коровник страшное место. Роль ОБЭП при взгляде с этой точки зрения сильно меняется. На страже галактического мира, не иначе.
Я уже молчу про список "напитков содержащих спирт и не являющихся алкоголем" и наркотик "петрушка курчавая".
Я к тому, что я не понимаю, почему важные социальные вопросы не поднимают люди, которые должны это делать. Где правозащитники в ПД? Почему этим должны заниматься люди, которым ошибки законодательства облегчают жизнь? Где милиция полиция, ОБЭП в противодействии финансирования терроризму? Где защитники информации в борьбе с незаконным сбором информации и ужесточении соответствующей статьи УК и в борьбе за авторское право? Список таких вопросов бесконечен. Результат за окном.
При этом спасибо, людям для которых, правда важнее кошелька, сам такой.

вторник, 5 июля 2011 г.

Законопроект Резника. Финал?

Завтра, 5 июля, ГД рассмотрит в третьем чтении законопроект Резника, и этот театр абсурда уйдет на антракт. Насколько я понимаю настроение коллег (Евгений Царев , Алексей Волков , Алексей Лукацкий), мы сможем наблюдать продолжение в виде, как минимум, в виде открытого письма Президенту.
С моей точки зрения накал страстей не соответствует предмету.
Во-первых, как уже неоднократно говорилось, в современном мире privacy не существует. Тезис очевиден и вытекает из простого взгляда на развитие Internet.
Во-вторых, у меня есть абсолютная уверенность, что после принятия поправок в предыдущей версии Закон позволил бы игнорировать вопрос безопасности персональных данных. Механизм компенсации вреда субъекту в России пока не работает.
В-третьих, тема защиты персональных данных сейчас в нашей стране не актуальна. Субъекты не обеспокоены, рынка нет, оператор не несет ответственности, пока. Закон явно опережает время поднимая этот вопрос.

Если все это собрать в одну кучу становится понятным, почему необходимы были последние правки с точки зрения обеспечения действия Закона.
Комментировать вносимые изменения не буду, пока законопроект не будет принят. Глядя на его историю все может быть…

UPD: Как и ожидалось законопроект приняли. Чудес и неожиданностей не случилось. Ждем решения Совет Федерации и Президента.

UPD2: Опубликовано открытое письмо Президенту. Подписали Бондаренко Александр, Волков Алексей, Лукацкий Алексей, Токаренко Александр, Царев Евгений. Сбор подписей продолжается в комментах соответствующих журналов тут, тут, тут, тут, тут.

суббота, 2 июля 2011 г.

Законопроект Резника. Покой нам только снится…

Вчера, 1 июля, законопроект прошел второе чтение. По информации Евгения Царева принимали не больше минуты. Понять дальнейшую судьбу законопроекта сейчас сложно, но есть некоторая вероятность, что решится в эту сессию. Есть заседания, назначенные на 5, 6, и 8 июля. Запасаемся попкорном.

четверг, 30 июня 2011 г.

Поправки в 152-ФЗ. Собраться с мыслями.

Июнь был интересным месяцем с точки зрения развития безопасности: Принят Закон о национальной платежной системе, МинФин опубликовал порядок выставления и получения счетов-фактур в электронном виде по телекоммуникационным каналам связи с применением электронной цифровой подписи… Не говоря о втором квартале в целом.
Но разговор пойдет сегодня о поправках в 152-ФЗ Резника.
Для меня все началось с сообщения Евгения Царева "Поправкам в закон о персональных данных – быть! И без ФСТЭК?"
Коротко: Аркадий Дворкович подтвердил наличие поручения Президента. И сказал, что во-первых очередного переноса сроков не будет и во-вторых поручение будет выполнено к 1 августу.
И все было хорошо и понятно до 15 июня, когда на сайте ГосДумы в Электронной регистрационной карте обнаружили предлагаемую дату рассмотрения ГД 17.06.2011. Очень похоже, что дату определили 14 июня.
Наступило 17 июня, теперь уже 30 июня, а воз и ныне там.
Более того, Алексей Волков обнаружил, что из регистрационной карты исчез текст законопроекта. Хотя надежда еще есть на 1 июля 2011 года, но в планах ГД пока этот вопрос не стоит. Кстати карте стоит предполагаемая дата 1 июля.
Так что ждем 1 июля с удвоенным интересом.

upd: Опубликовали новый вариант ко второму чтению. Впечатления можно посмотреть у Алексея Лукацкого. Но, IMHO не все так плохо...

upd2: Законопроект включен в предварительный вариант Порядка работы Государственной Думы под № 47. Смотреть здесь.

воскресенье, 26 июня 2011 г.

Об электронном документообороте

Пока ждем решения по законопроекту Резника, решил почитать внимательно закон об ЭЦП ЭП. Подробности будут потом, а пока столкнулся с одним любопытным фактом. Как утверждает законодатель, одной из причин появления нового закона является фактический провал 1-ФЗ с точки зрения использования коммерческими организациями. Так по некоторым данным за время действия закона только 10% юридических лиц использовало ЭЦП в своей деятельности.
Особенностью нового, 63-ФЗ, закона можно назвать либерализацию требований к электронной подписи. Так например признается юридически значимой не только подпись в соответствии с ГОСТом, но и любые другие соответствующие требованиям закона. Так же законными становятся подписи иностранного происхождения.
В общем говоря, кажется уже ничто не стоит на пути к полному электронному документообороту между юридическими лицами. На самом деле, стоит и даже можно сказать блокирует.
Одним из ключевых моментов в делопроизводстве любой организации является создание и обработка документа "счет-фактура". Фактически этот документ составляет львиную долю в документообороте. И тут мы выясняем, что есть в Налоговом кодексе ч. 2 есть статья 169. Счет-фактура. Среди прочего есть два пункта:
6. ... Счет-фактура, составленный в электронном виде, подписывается электронной цифровой подписью руководителя организации либо иных лиц, уполномоченных на это приказом (иным распорядительным документом) по организации или доверенностью от имени организации, индивидуального предпринимателя в соответствии с законодательством Российской Федерации.
9. Порядок выставления и получения счетов-фактур в электронном виде по телекоммуникационным каналам связи с применением электронной цифровой подписи устанавливается Министерством финансов Российской Федерации. Форматы счета фактуры, журнала учета полученных и выставленных счетов-фактур, книг покупок и книг продаж в электронном виде утверждаются федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов.


П.6 делает легитимными счета-фактуры в электронной форме. П.9. устанавливает порядок оборота счетов-фактур, который был утвержден, внимание!, 25 апреля 2011 г. N 50н. Зарегистрирован в Минюсте 25 мая 2011, опубликован данный приказ 3 июня 2011г. Название приказа "Об утверждении порядка выставления и получения счетов-фактур в электронном виде по телекоммуникационным каналам связи с применением электронной цифровой подписи".
Этот приказ устанавливает единственную возможность электронного обмена счетами-фактурами только через "Оператора электронного документооборота". И никак иначе. Оперативность работы оператора потрясающая – документы передаются в течении одного рабочего, так сказано в этом приказе.
Ценник на услуги тоже способный отбить всякую охоту связываться с этой фишкой - 5000 руб. за передачу 250 документов. Например, здесь.
Ну о таких вещах как ссылка на старый 1-ФЗ я не говорю, поскольку его отмена будет только 1 июля 2012 года, то вроде как в праве.
Возникает несколько вопросов:
1. Пунктом 1.13 предусмотрена обязанность участников электронного документооборота хранить электронные документы в соответствии с требованием закона в течении 5 лет. Оператор такой же участник документооборота. При этом нигде в приказе нет требований по обеспечению конфиденциальности документов клиента. Не упоминается это и в регламенте первого попавшегося оператора. Более того, есть подозрение, что налоговая инспекция предполагает иметь простой доступ к этой базе данных. Мы здесь все, конечно законопослушные и верим в кристальную честность налоговой, но это все является хорошим аргументом против использования системы.
2. пункт 1.9 требует подписывать счета-фактуры по отдельности, в то время как 63-ФЗ разрешает подписывать пакеты документов. Зная объемы оборота счетов-фактур в предприятиях средней руки подписывание электронной подписью каждого документа в отдельности станет еще большей проблемой для руководителя, чем чиркнуть ручкой в бумажном аналоге. Так почему бы не разрешить подписывать пакеты документов? Аргумент, что подписывающий будет их читать, выглядит, скажем, так не серьезно. Чаще всего документы с суммой менее определенной подписываются после беглого просмотра. То же можно сделать и с пакетом документов.
3. Пункт 1.7 позволяет, цитата, "осуществляется продавцом и покупателем в зашифрованном или в незашифрованном виде". Т.е. я могу пересылать через оператора шифровки? Тогда как будет выглядеть процедура сверки счетов-фактур в цепочке продавец-оператор-покупатель? Для вскрытия шифровки требуется ключ который к моменту проверки может быть уже утерен, т.к. требований к хранению ключей законом и положением не устанавливается, более того алгоритмы шифрования, в соответствии с 63-ФЗ может отличаться от алгоритма электронной подписи, который прописан жестко в Приказе и должен совпадать с применяемым в налоговой. Или шифровать все же запрещено?
4. Ну и в конце, документ называется "порядок выставления и получения счетов-фактур в электронном виде по телекоммуникационным каналам связи с применением электронной цифровой подписи" если я буду возить подписанные электронной подписью, в соответствии с 63-ФЗ, счета-фактуры на флэшке, то он на меня не распространяется?

четверг, 16 июня 2011 г.

По поводу законопроекта Резника

Спасибо Александру Бондаренко за версию 152-ФЗ с выделенными правками. Взято здесь.
После прочтения "по диагонали" все же осталось ощущение очень сырого документа. Посмотрим, что произойдет во втором и третьем чтении. Комментировать пока не буду…

DDOs на электронные площадку

Сегодня утром "порадовал" Александр Бондаренко написав на linkedin про DDOs-атаку на Единую электронную торговую площадку. Да-да ту самую одну из 5-ти, которые обслуживают аукционы в электронной форме по 94-ФЗ.
О возможном "распиле" бюджета с использованием передовых технологий хакерской мысли я писал еще в старом журнале. Очень уж суммы интересные проходят через аукционы. При этом 94-ФЗ дает возможность использовать результаты хакерских атак для заключения контракта. Однако DDOs этого не позволяет, единственный результат DDOs это приостановка и перенос аукциона на другую дату.

Площадка, следуя традициям Российского бизнеса, как всегда опубликовала до невозможности минимальную информацию. По ссылкам два xls файла с номерами аукционов.

Проведя беглое сопоставление, можно охарактеризовать аукционы:
1. Перенесено 90 аукционов на общую сумму чуть более 104 млн. руб.
2. Самые значимые аукционы на сумму 10.5 млн. руб. на капитальный ремонт склада комбината "Рубин" Оренбургская обл, г. Бузулук и на 9,8 млн. руб на обустройство теневых навесов и прилегающей к ним территории дошкольных учреждений департамента образования, я так понимаю это беседки в детских садиках г. Сургут.
3. Есть еще множество торгов от здравоохранения Томской области, Курганского соцстраха и др., которые в сумме будут значимы, но в целом суммы не сравнимы с максимальными суммами некоторых лотов, например на 5,86 млр. руб. и почти 6 млрд. руб.
4. В целом сумма "зависших" аукционов составляет около 0.01% от объявленных аукционов на площадке.

Сама атака длилась 14.06.2011 с 7.13 до 7.57 мин. – 44 минуты. И лично меня настораживает эта скоротечность DDOs.

Попробуем угадать цели этого DDOs.
Целей может быть несколько:
1. Отложить на сутки-двое проведение процедуры аукциона.
2. Продемонстрировать заказчику свои возможности.

Первый вариант имеет смысл, если одному из участников хорошо известен background процесса, в том числе и у основных конкурентов. Зная особенности российского бизнеса и бегло посмотрев на проводимые аукционы можно с высокой степенью уверенности, что это не наш случай.

Оценить второй вариант, сейчас, практически невозможно - покажет время и повторяемость DDOs на электронные площадки.

Так что как обычно меня мучает ровно один вопрос – Зачем?

p.s.
Правда есть еще один интересный момент – в случае сбоя оборудования оператор площадки получает существенный штраф. Есть подозрение, что DDOS снимает проблему штрафа. И пока я склоняюсь именно к этой версии.

Ну и как обычно можно помечтать, о том что площадка выложит техническую информацию о инциденте и методах противодействия.;)

среда, 15 июня 2011 г.

Второе чтение законопроекта Резника

Как и ожидалось, жизнь вокруг тем персональных данных и защиты персональных данных в преддверии наступления 1 июля начала бить ключом. О втором чтении Законопроекта Резника отписались многие коллеги, но как оказалось многие читающие этот блог не читают другие, поэтому по многочисленным просьбам даю ссылку на Электронную регистрационную карту на законопроект Резника.
Ну и скрестив пальцы ждем 17 июня 2011 года.

воскресенье, 12 июня 2011 г.

Есть ли логика в 152-ФЗ?

Каждый раз, когда заходит речь о защите персональных данных специалисты и не очень начинают критиковать закон, мол де завышенные требования, не четкие определения, явные ошибки в требованиях.
Когда-то давно из одной книги я почерпнул одну простую мысль: в мере очень мало отъявленных мерзавцев. Каждый борется за светлое будущее в меру его понимания. Другое дело, что "хотели как лучше, а получилось как всегда"©.
Давайте попробуем разобраться с тем, что дал нам законодатель. Лучше всего мои мысли нашли отражение в книге "Обеспечение информационной безопасности бизнеса". Альпина Паблишерз, 2011.
"Российская и мировая практика регулирования информационной безопасности недавнего прошлого состояла из обязательных требований национальных уполномоченных органов, оформленных в виде руководящих документов. Поэтому для топ-менеджмента и владельцев организации существовала только одна проблема соответствия им (комплаенс) и только один способ, ее решения – как с минимальными затратами выполнить предлагаемые требования. Для уполномоченных органов существовала своя проблема – как в силу невозможности охвата всех возможных видов деятельности и условий их реализации, а так же существенных различий в целях деятельности предложить универсальный набор требований…
Дальнейшая эволюция моделей ИБ была связана с усилением роли собственника
(владельца) и сводилась к тому, что он сам выбирал (на свой страх и риск) из предложенного ему стандартного набора защитных мер те, которые ему необходимы, т.е. такие, которые, по его мнению, могут обеспечить приемлемый уровень безопасности… Однако конструктивного механизма для владельца предложить не удалось, кроме как создания каталога объектов с выбранными типовыми защитными мерами (профилей защиты)"... © Обеспечение информационной безопасности бизнеса.
Мое мнение, что в случае 152-ФЗ мы имеем дело с недоделанной моделью "второго поколения". Есть ощущение не завершенного второго шага от регулирующих органов. Все таки сложно отпустить контроль, психологически сложно. И именно поэтому при создании СЗИ ИСПДн велика роль интегратора – можно данную задачу решить как минимум двумя способами: дешево и сердито, и дорого и бесполезно. Очевидно есть еще масса вариантов, в том числе дорого и качественно, но в реальности я такие решения не встречал.

среда, 8 июня 2011 г.

А тем временем внесены очередные поправки

04.06.2011 вышел закон N 123-ФЗ вносящий дополнения в основания обработки персональных данных без согласия субъекта:
5.1) обработка персональных данных необходима управляющим организациям, товариществам собственников жилья, жилищным кооперативам, жилищно-строительным кооперативам или иным специализированным потребительским кооперативам, осуществляющим в соответствии с Жилищным кодексом Российской Федерации управление многоквартирными домами, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении многоквартирным домом заключили договоры оказания услуг и (или) выполнения работ по содержанию и ремонту общего имущества в данном доме, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении или собственники жилых домов заключили договоры о предоставлении коммунальных услуг, либо лицам, привлеченным на основе договоров, для осуществления расчетов с собственниками помещений в многоквартирном доме, собственниками жилых домов, нанимателями жилых помещений государственного или муниципального жилищного фонда за содержание и ремонт общего имущества в многоквартирном доме, жилых домах и коммунальные услуги;
Перевод на русский: Теперь не требуется согласие при расчетах, начислениях и прочем связанным с ЖКХ.
Действует с 16 июня 2011 года

вторник, 7 июня 2011 г.

Агентство новостей ОБС «Одна бабка сказала»

За время командировок, накопилось много материала, мыслей и наблюдений. Начнем разгребать.
В связи с приближением 1 июня набирает обороты работа агентства новостей ОБС. Пример здесь.
Особо порадовало:
"Во-вторых, в связи с принятием Мосгордумы закона "О трансплантации органов несовершеннолетних" стоит задуматься о том, что медицинскими данными наших детей может воспользоваться любой человек, кто будет иметь доступ к информации: чиновники, криминальные структуры, вплоть до передачи данных заграницу и в интернет. А отобрать ребенка у родителей сейчас – «дело техники» (ювенальной)".
Как уже не раз отмечалось слабой стороной закона является постоянный сбор согласий с субъекта ПД. При этом ситуация рассматривалась с позиции юридического лица или в терминологии закона, оператора. Ситуация с аффилированными фирмами не улучшает общее положение дел.
Но не менее проблематична ситуация при взгляде со стороны субъекта. Количество согласий раздаваемых субъектом ПД относительно своих данных вызывает опасение, что в какой-то момент времени человек просто перестанет читать бумаги, которые он подписывает. Или перестанет подписывать. Тут мы можем вспомнить сказку про мальчика, который кричал "волки-волки".
При этом у человека возникает мнение, что персональные данные нельзя обрабатывать без согласия. Как–то забывается, что есть федеральное законодательство, заключенный договор с субъектом... Как следствие у человека создается впечатление о правовом нигилизме в стране, что в целом не улучшает обстановку в стране.
И здесь как раз и возникает острая необходимость в грамотной популяризации закона и разъяснение прав субъектов.

среда, 11 мая 2011 г.

10 рекомендаций для надежных паролей

Прочитав «10 Steps to a more security password» JOHN MARK IVEY в Global Knowelege решил отметиться в теме.
В целом пароль играет чрезвычайно важный элемент в современных информационных системах. Если посмотреть на информационную систему как на виртуальный мир, моделирующий мир физический, который нас окружает, то мы заметим, что в огромном большинстве случаев, только пароль позволяет «убедиться» программному обеспечению, что человек создающий процессы и данные является легитимным пользователем. Фактически пароль защищает ваши персональные данные Вконтакте, почту, аккаунт в World of Warcraft и доступ к вашему счету в банке. Ни какой другой элемент защиты информации не позволит нам, защитникам информации, защитить вашу информацию, если вы используете слабый пароль.

Ниже предлагается 10 простых рекомендаций.

1 – длинна пароля. Каждый символ, который вы добавляете к вашему паролю увеличивает его безопасность примерно в 1000 раз. И так Вш пароль только из 4 символов? Тогда вы очень ленивы. Надеюсь вы не удивитесь если незнакомец будет читать вашу электронную почту. Сегодня очень популярны 8-ми символьные пароль, но если вы хотите по настоящему усложнить жизнь хакеру используйте 12-14 символьные пароли.

2 – Не используйте имена. Если я когда-нибудь буду пытаться угадать ваш пароль, мои первые попытки будут ваше имя, имя вшей жены, имя ваших детей, имя вашего домашнего питомца, если я буду знать вас достаточно хорошо или буду иметь доступ к публичной части вашего аккаунта на Facebook или Вконтакте.

3- используйте заглавные буквы. Используя, по меньшей мере, оду заглавную букву, вы увеличиваете безопасность вашего пароля. Если вы сделаете заглавной еще одну букву кроме, первой, как в большинстве случаев, то ваш пароль будет еще безопаснее.

4 – Используйте специальные символы. Вы будете удивлены насколько усложняется жизнь хакера при использовании специальных символов. Используйте пароли на подобии “linux+Penguin,” “BigB@ngTheory”.

5 – используйте сложные пароли. Это как игра в слова. Простые слова не обеспечивают требуемой защиты. Не используйте «123456», «qwerty», «password», «internet», «security» and «letmein». Так же не стоит использовать русские слова в латинской раскладке например «gfhjkm»( пароль) или «bynthytn» (интернет). Так же довольно популярен пароль p@sswword или passw0rd. Если вы использовали такие пароли, ничего страшного, большенство людей использует эти пароли. Просто убедитесь, что они остались в прошлом.

6 – вы никогда не должны использовать названия мест. Вы родились в прекрасном, городе, неплохо отдохнули прошлым летом в красивом городе под названием Краснодар, но это делает их плохими паролями. Слова длиннее 8-ми символов искушают, но они очень опасны при использовании в качестве паролей. Эта информация легко добывается из социальных сетей.

7 – Подходите к делу творчески. Создавайте пароли из слов логически не связанных между собой, но имеющие логическую связь для вас. Например можно использовать имя любимого композитора и футбольной команды.

8- Числа стали такими безопасными как раньше. Было время, когда дата вашего рождения возможно и делала пароль более безопасным, но и то не всегда. Сейчас эту информацию можно собрать в Internet. Тем не менее использование цифр в вашем пароле вместе с заглавными буквами будет хорошей традицией.

9 – Создавайте запоминающиеся пароли. Довольно часто пользователи боятся забыть свои пароли и поэтому выбирают их очень простыми, запоминающимися. Хотя есть отдел в задачи которого входит, в том числе сброс забытых паролей. Это делается довольно просто. Тем не менее используйте пароли имеющие значения для вас и ассоциирующиеся с пустым полем для ввода пароля на экране.

10 – акронимы могут помочь. Как вы думаете насколько безопасен пароль «zydgl8c» это просто фраза - «я не могу придумать пароль длиннее 8 символов». Хорошой практикой будет создание запоминающихся бессмысленных фраз тип «синий барон ждет гравий». Так же можно брать пары или тройки начальных символов.

Адрес исходной статьи.

четверг, 5 мая 2011 г.

Новый закон о лицензировании

Дмитрий Медведев подписал Федеральный закон "О лицензировании отдельных видов деятельности".
Здесь я рассматриваю законопроект принятый Государственной Думой 22 апреля 2011 года. Не думаю, что потом внесены изменения.
Первое что посмотрел, любимая мозоль по защите персональных данных:

Статья 12
"1. разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".

Я так понимаю, что вопрос о лицензировании поликлиники в ФСБ на эксплуатацию криптографии для собственных нужд решен – не надо.

Статья 12:
"4) разработка и производство средств защиты конфиденциальной информации;
5) деятельность по технической защите конфиденциальной информации"
.

А вот здесь ситуация стала хуже. Поскольку законодатель в п.1. ввел понятие "собственные нужды", то все мысли и слова о трактовке понятия деятельность уходят в прошлое. Для оператора остается два пути: получать лицензию самому или отдавать на outsourcing. По комментариям товарищей из Новосибирского ФСТЭК рекомендуется второй путь. Если есть лазейки, было бы неплохо обнародовать.

Из интересного про электронный документооборот и понятии электронной лицензии:

Ст. 3 Основные понятия, используемые в настоящем Федеральном законе:
2) лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа;

Ст.13 Порядок представления соискателем лицензии заявления и документов, необходимых для получения лицензии, и их приема лицензирующим органом:
6. Заявление о предоставлении лицензии и прилагаемые к нему документы соискатель лицензии вправе направить в лицензирующий орган в форме электронного документа, подписанного электронной подписью.
11. В случае, если в заявлении о предоставлении лицензии указывается на необходимость предоставления лицензии в форме электронного документа, лицензирующий орган направляет соискателю лицензии в форме электронного документа, подписанного электронной подписью, копию описи с отметкой о дате приема указанного заявления и прилагаемых к нему документов или уведомление о необходимости устранения выявленных нарушений и (или) представления документов, которые отсутствуют.


Данные пункты вступают в силу с 1 июля 2011 г., сам закон вступает в силу через 180 дней с момента его опубликования. Ждем выхода РГ.

Ветер перемен и ПД...

Есть такое пожелание злейшему врагу у китайцев: «Чтоб ты жил в век перемен!»
Похоже, таки ветер перемен начал дуть в сторону защиты ПД. 29 апреля состоялась встреча президента с представителями интернет-сообщества. Вообще читать надо полностью и внимательно.
Сейчас я перевру со своей колокольни. Кратенько так.
Все началось с обсуждения авторского права и эпоху электронных коммуникаций, и читать было интересно, до момента пока Якушев не сказал:
"Меня просили коротко рассказать про проблему персональных данных, здесь есть прямой мостик к тому, о чём уже говорили до сих пор [прим: авторское право]. Идут дискуссии о том, кто должен отвечать за незаконный контент… Это всё упирается в то, что в принципе трудно найти виновного, кто реально чем занимается".
А я-то думал, что 152-ФЗ защищает права гражданина, но ни как не авторские права.
Еще пара фраз Якушева:
"Мелкие же операторы персональных данных, которых десятки тысяч, сотни тысяч, просто закладывают в бюджеты взятки тем, кто будет приходить их проверять, что, конечно, некорректно".
Об анонимности в сети: "…абсолютная анонимность – это всегда криминал. То есть нужно опять-таки эти совершенно нормальные офлайновые правила перенести на интернет".
Конец анонимайзерам?

А вот слова Президента: "Насчёт законодательства о защите. В принципе, мне кажется, надо посмотреть вообще на тот опыт, который у нас сейчас есть. Может быть, нам вообще от чего-то отказаться. Мы принимали этот закон. Я не знаю, Вы сами сказали, что он технологический, он ведомственный. Может быть, есть смысл что-то пересмотреть, потому что на меня он всегда производил малоубедительное впечатление. Не знаю, как на Вас как на профессионала. Я сейчас этим не занимаюсь, поэтому в комментариях буду более или менее осторожен. Это набор понятий, весьма далёких от реальной среды. Может быть, проще его поменять или вообще, так сказать, какой-то новый подготовить?"

На фоне затишья по законопроекту Резника и приближающихся сроков вступления в силу требований 152-ФЗ к информационным системам слова Президента выглядят, скажем так, настораживающими.
К сожалению, у нас есть пример зарегулированного закона у нас есть – 94-ФЗ о госзакупках. В первой его редакции объем закона составлял 46 листов, в последней редакции 115. За последние 24 месяца был выпущен 21 федеральный закон, вносящий изменения. Сейчас можно смело утверждать, что как закупать товары государству РФ на планете Земля не знает никто.
Как бы подобная судьба не ждала и защиту персданных.

вторник, 3 мая 2011 г.

О понятии "персональные данные".

Довольно часто возникает вопрос: являются ФИО персональными данными? 152-ФЗ признает, безусловно, что ФИО это персональные данные (ст.3. п.1).
Но так же существует масса примеров, с одной стороны, что по ФИО идентифицировать человека не возможно, с другой стороны взять не сильно распространенное сочетание ФИО, то идентификация возможна 100%.
В действительности здесь есть некоторое непонимание трактовок. Персональные данные не перестают быть ими, если нет возможности идентифицировать конкретного субъекта, которому они принадлежат. В законе на этот случай предусмотрена специальная процедура - обезличивание (Ст.3 п.8).
И с практической точки зрения спрашивающего волнует, являются ли ФИО обезличенными ПД. Меня восхищает сама постановка вопроса: является атрибут именования субъекта обезличенным! Но если оставить в стороне саму несколько тавтологическую трактовку вопроса и обратиться к практике мы получим довольно интересный результат.
В качестве примера возьмем все тот же многострадальный СКУД [1],[2]. Предположим, что фотографию и должность из системы убрали, оставили только ФИО мы получим сферического коня в вакууме ту самую систему, в которой обрабатывается исключительно только ФИО. Теперь можно задавать вопрос об обезличенности этих данных. Но сначала надо определиться зачем на в системе ФИО? Для идентификации проходящего мимо нас работника? Тогда ФИО четко идентифицирует человека, просто по смыслу работы системы. Вы продолжаете утверждать , что ФИО не идентифицирует человека? Хорошо! Давайте уберем из СКУД ФИО! Не готовы, поскольку смысл системы при этом теряется? Тогда приходим к утверждению, что в данном, конкретном случае, исходя из логики работы системы, ФИО вполне себе идентифицируют проходящего мимо человека.

четверг, 28 апреля 2011 г.

Утечки, конфиденциальность…

В последнее время, на Российский рынок активно выводятся DLP системы. В целом эти системы - штука великолепная, особенно если реализация на уровне. Однако создается впечатление, что что в результате продвижения этих систем из возможных угроз у потребителя в голове останется только угроза утечек информации и борьба с инсайдерами.
К вопросу утечек у меня не однозначное отношение. Зацикленность заказчика на конфиденциальности порождает, скажем так, не понимание вопроса. Возникает довольно странная ситуация: при разговоре с заказчиком определяешь, с его слов, как главенствующую задачу обеспечение конфиденциальности. При обсуждении базовых принципов, работы системы защиты информации предупреждаешь, что вот в этих случаях мы отключаем компанию от внешних компьютерных коммуникаций, поскольку возникает угроза разглашения охраняемой тайны. Реакция, вполне предсказуемая – какая конфиденциальность, жизненно необходимо, что бы в этих случаях, система работала и была доступна для внешних пользователей.
Есть еще одна проблема с односторонним восприятием защиты информации как процедуры обеспечения конфиденциальности. Недавно у меня состоялся разговор с одним собственником бизнеса, довольно состоятельным. В ответ на предложение посмотреть, что у него там с информационной безопасностью он ответил: «Знаешь, лучшая защита от утечек и инсайда – монополизация и картельный сговор, кстати, и прибыльность бизнеса повышает существенно». При этом он не работает в ТЭК… Проблема конфиденциальности КТ – это проблема конкурентного рынка. И как следствие делается вывод о ненужности самой системы защиты информации. О других аспектах безопасности вспоминается только при наступлении инцидента.

вторник, 26 апреля 2011 г.

Кто занимается защитой персональных данных

В мою бытность системным администратором, админов нагружали не свойственными им функциями от обслуживания принтеров и программирования офисных АТС до разборок с автосигнализациями и ремонта вентиляторов и кондиционеров. Иногда создавалось впечатление, что все, что имеет розетку, автоматически приравнивалось к компьютеру и сопровождение этого ставилось в обязанность системному администратору. Понятно, что поделки пенсионного фонда, налоговой, ДБО и прочие вешались на админа без его согласия, поскольку ПРОГРАММА, да еще и ШИФРУЕТ.

И вот наступил XXI век и пришел 152-ФЗ… Казалось бы прямая обязанность системного администратора, поскольку:
1. Сфера действия Закона – информационные системы;
2. ОНО шифрует;
3. ОНО требует установке ПРОГРАММЫ и еще каких-то странных вещей, которые втыкаются в розетку.

Так ведь нет, на курсы чаще всего приходят кадровики, бухгалтера и т.п. И приходится уважаемым людям весьма далеким от мира IT объяснять, как защищать ПД. Так как ОПЛАЧЕНО. Вообще все не так и плохо – после курсов приглашают аналитиком или приходит искомый сисадмин. Но логику я перестал понимать. За что так кадровиков-то?

среда, 20 апреля 2011 г.

О целях и целесообразности.

В очередной раз на горизонте появился СКУД. В прошлый раз, удивило мнение компетентных товарищей, что вся биометрия есть К1 и если кто не согласен может идти в сад суд. Теперь порадовали с со стороны операторов.
Есть довольно крупное предприятие, с двумя площадками на расстоянии чуть более 7 км. по прямой. Установлена СКУД с бесконтактными пропусками и управлением базой через web интерфейс. Защита имя пользователя и пароль, доступ по https. Очевидно и закономерно желание предприятия иметь одну базу СКУД на оба объекта. Собственных средств защиты СКУД явно не достаточно даже на системы ал-я «К3, специальная». Повесить средства защиты на элементы сети не получается, из-за слабого железа на турникетах. Выход найден «оригинальный». А давайте возьмём со всех работников расписку, что ФИО, должность и фото являются общедоступными данными, путим трафик через провайдера или вообще по радио, и не будем возиться с защитой СКУДа!
И в принципе-то они правы, особенно если учесть наличие интерактивного справочника предприятия на корпоративном web ресурсе с ФИО, должностью и телефоном. Только портит все ровно один вопрос: «Господа, если ваш СКУД плохой дяденька ломанет и создаст «левый» пропуск на территорию, то вам голову откручивать будут за защиту ПД или защиту другого вида тайн?».

четверг, 14 апреля 2011 г.

В подведем итоги атаки на ЖЖ.

Чем дольше я смотрю на информационный фон вокруг DDOS на ЖЖ, тем больше я убеждаюсь, что DDOS на ЖЖ не так прост, как хотят показать некоторые.
Анализ относительно первой атаки я провел здесь. Вторую атаку я не анализировал, поскольку не предоставил для анализа информацию.
Первое, что настораживает - позиция СУП. Фактически СУП не предоставил ни каких материалов о двух DDOS на ресурсы. Те официальные заявления, по словам представителей СУП, являются "в меньшей мере техническим деталям и в большей - рассуждениям о причинах и следствиях". Хотя вопрос "а была ли атака?" – первостепенный. Если посмотреть сообщения некоторых известных блогеров, то создается впечатление, что есть люди, которым чрезвычайно важно, что бы общественное мнение признало наличие "Кремлевского следа" или крайнем случае причастность "кровавой гэбни". Проблема в том что для России тема тоталитаризма чувствительна. Очень хорошо об этом высказался galmir-irk. "Сторонники конспирологии, что роняет кровавая гэбня. Я зуб не дам, но посуетиться по этому поводу считаю необходимым".

Давайте попробуем разобраться с этим DDOS.
Что известно достоверно:
Было два периода недоступности ЖЖ 30 марта и 4 апреля по 7-8 часов каждый.
Это мог наблюдать каждый. Что это атака DDOS или сбой оборудования, или ошибки настройки новой системы кэширования, или в конце-концов просто отключение серверов я не знаю. Косвенно можно говорить, что по крайней мере 30 марта была DDOS, так как раза с 20 -40 некоторым удавалось загрузить страницы. 4 апреля сервис был доступен с американских proxy. По крайней мере, в некоторые моменты.
Все. Больше ничего! Все остальное обрывки разговоров, мнения экспертов и сопли.
Зато есть публикации:
Начнем с самого интересного: «LiveJournal под атакой» Марии Гарнаевой, эксперта «Лаборатории Касперского». В заметке появилась какая-то техническая информация и если отбросить вопрос откуда дровишки информация, то можно что-то анализировать. Вопросов по структуре много, но один не стыкуется с позицией СУП. По словам СУП ЖЖ находится под атакой с 24 марта с «переменной интенсивностью». По данным Марии Гарнаевой DDOS на ЖЖ велся 24,25,26 и 30 марта. 27,28 и 29 марта атак не было. Это подтверждается графиком от igrick, но не соответствует официальной версии. И тут ЖЖ откликнулся в виде комментария Демьяна Кудрявцева,aka damian: "эта заметка "эксперта" - бессмысленное малоинтересное вранье, которое пытается сделать вид, что по следу одной части тела, может описать животное, структура этой атаки была другой, наиболее атакуемые адреса вообще не упомянуты в этом списке". Упс… Вернулись в начало…
Конечно же отметилась газета.ру статьей "Первая пятерка не сдержала атаку на ЖЖ" Ниже привожу избранные места:
"Навальный считает, что за DDoS-атакой на ЖЖ стоят околовластные структуры..."Вот только пока ни где не опубликована информация об основаниях подобных мнений. Конечно Навальный эксперт в области информационной безопасности, особенно в DDOS.
Источник на рынке компьютерной безопасности утверждает, что ориентировочная цена каждой атаки стоит около $15 тысяч”. А мои источники говорят что DDOS стоит не более $500 за день, только в отличии от газета.ру я называю источники и привожу ссылки: Исследование компании Group-IB, ознакомиться можно по адресу, смотрим 11 страницы раздел "Бот-сети и основные услуги рынка".
Дальше – эмоции.
Ну и как пройти мимо Носика? Почитаем колонку в "Снобе":
"Конечно, вопрос о конкретных целях атаки имеет право на существование. Просто нужно отдавать себе отчет, что правильный ответ знают лишь те, кто организовывал атаку. Все остальные собеседники радиостанций, печатных изданий и сайтов интернет-СМИ могут по этому поводу выступать лишь в роли слепой прорицательницы Ванги, делясь с журналистами своими видениями и прозрениями".
Вот здесь я согласен на все 100%. Но давайте посмотрим в его блоге:
"Почему сегодня им понадобилось валить весь ЖЖ — думаю, тоже догадаться нетрудно. Увы, если я прав, то это была только репетиция"...
Эээ… ну ладно.
"Достаточно просто взглянуть, кого за эти годы атаковала наша неуловимая и вездесущая киберпреступность, и понять принцип формирования этого пестрого списка. Мы увидим в нем сайты госслужб Грузии и Эстонии, серверы «Коммерсанта» и «Газеты.ру», сообщества НБП, блоги известных оппозиционеров (в последние месяцы чаще других «под раздачу» предсказуемо попадает Алексей Навальный — но в иные годы ломали журналы Владимира Прибыловского, Андрея Мальгина, Марии Арбатовой и Олега Панфилова, а из-за грузинского блогера cyxymu положили в один день ЖЖ, Facebook и Twitter. В предвыборный сезон «ломали» почту и блоги известных людей, так или иначе связанных со «Справедливой Россией»".Это опять со "Сноба".
По словам СУПа атаковали сервис, причем здесь все это? То, что на сервисе есть блоги разных людей, не говорит, что их решили завалить. Вообще давайте предположим, что на сей раз решили завалить правдоруба Носика.
Этот впечатляющий список блогов мы встречаем и в "Ъ":
"DoS-атаки не новость в практике ЖЖ: в разные годы им подвергались дневники и сообщества нацболов, ЖЖ грузинского пользователя cyxymu, блог Навального". А что цели кончились. Т.е. за столько лет не набралось разных целей на две статьи?
Там же: "Поскольку такое развитие событий давно прогнозировалось различными комментаторами на предвыборный сезон 2011/12, самой распространенной на сегодняшний день версией является политическая
"
Блин да ЗАЧЕМ? Ответ в том же "Ъ": "Представители компании "Суп", которой принадлежит ЖЖ, видят в этой атаке попытку спровоцировать отток блогеров на другие платформы, гораздо более атомизированные и слабо приспособленные для ведения общественно-политических дискуссий".
Какой отток пользователей из-за двух 7-ми часовых перерывов в работе? О чем вы? И самый главный вопрос: А что из ЖЖ начался отток пользователей? Вот здесь уже становиться интереснее.
Читаем Носика:
"А вот, кстати сказать, другое упражнение на ту же тему, уже не хакерское, а пропагандистское.
В разделе «Техника» сегодняшнего АиФа — статья «Куда податься блогеру из надоевшего ЖЖ», где под видом технического обзора нехитрыми средствами кухонного НЛП читателю навязывается одна простая мысль: из ЖЖ нужно бежать, срочно и безотлагательно
". Взято отсюда.
Ага, после прочтения АиФ блогер Навальный покинул ЖЖ, ну-ну.
"Теперь вбрасываются три простых, как мычание, идеи: во-первых, ЖЖ давно сдох, и никому не интересен. Во-вторых, именно по этой причине никто его не DDoSил. В-третьих, из ЖЖ пора валить, потому что криворукий<суп> его так или иначе угробит" отсюда.
А это уже из СУПа :
"Причина атаки, таким образом, вполне может быть и такой: кому-то очень хочется, чтобы ЖЖ перестал существовать как площадка для открытых и серьезных дискуссий, а аудитория была размазана по другим площадкам (социальным сетям и отдельно стоящими платформами и стендэлонами), где очень просто воздействовать, так сказать, на отдельно взятые группы пользователей". Здесь.
А что у вас таки уходят пользователи и причиной тому стали 7-ми часовые атаки в количестве 2-х штук и статьи в АиФ и некоторый сетевых СМИ типа "Соль"?
Да ладно Вам! Если задавать правильные вопросы, то получаешь правильные ответы.
Вопросов несколько:
1. К каким последствиям привели 2 DDOS атаки на ЖЖ по 7 часов каждая?
2. Почему нет заявления в полицию? Хоть нашу, хоть Американскую.
3. Почему нет конкретной технической информации? Думаю, многим бы реально интересно было посмотреть.
4. Почему не нет соответствия между комментариями представителей СУП? Кто в запальчивости приврал или умолчал?
IMHO весь цирк проплачен, но не Кремлем. Так что, уважаемый galmir-irk, серой увы пахнет, только черт другой. Этой же серой пахло в Египте и Ливии... Список знает каждый, кто следит за новостями.

Ну и что бы не заканчивать, на это конспирологической ноте, еще одна цитата:
"Недели две назад, СУП решил раздобыть немного бабала и интегрировать в себя фейсбук и т.д.., инсталировав в жж сторонние ресурсы и т.д.
В этот момент в сети, в топах, появились интересные блогеры вроде того же Фимы, которые поднимали интересные темы и т.д.. Нахлынувший поток сторонних"вконтактников" "фейсбукинят" "твиттеров" и т.д. - намертво положил серверы жж, тем более, что в тот день пошли выборы Новой в сетевой парламент, тёма Лебедев делал интересные посты, Фима и техномад мочили свои разоблачения и сбылся сон Драгунова
".
Взято отсюда.
Бритва Оккама говорит мне, что это ближе всего к правде. Просто кое-кто решил воспользоваться обстановкой.