четверг, 30 июня 2011 г.

Поправки в 152-ФЗ. Собраться с мыслями.

Июнь был интересным месяцем с точки зрения развития безопасности: Принят Закон о национальной платежной системе, МинФин опубликовал порядок выставления и получения счетов-фактур в электронном виде по телекоммуникационным каналам связи с применением электронной цифровой подписи… Не говоря о втором квартале в целом.
Но разговор пойдет сегодня о поправках в 152-ФЗ Резника.
Для меня все началось с сообщения Евгения Царева "Поправкам в закон о персональных данных – быть! И без ФСТЭК?"
Коротко: Аркадий Дворкович подтвердил наличие поручения Президента. И сказал, что во-первых очередного переноса сроков не будет и во-вторых поручение будет выполнено к 1 августу.
И все было хорошо и понятно до 15 июня, когда на сайте ГосДумы в Электронной регистрационной карте обнаружили предлагаемую дату рассмотрения ГД 17.06.2011. Очень похоже, что дату определили 14 июня.
Наступило 17 июня, теперь уже 30 июня, а воз и ныне там.
Более того, Алексей Волков обнаружил, что из регистрационной карты исчез текст законопроекта. Хотя надежда еще есть на 1 июля 2011 года, но в планах ГД пока этот вопрос не стоит. Кстати карте стоит предполагаемая дата 1 июля.
Так что ждем 1 июля с удвоенным интересом.

upd: Опубликовали новый вариант ко второму чтению. Впечатления можно посмотреть у Алексея Лукацкого. Но, IMHO не все так плохо...

upd2: Законопроект включен в предварительный вариант Порядка работы Государственной Думы под № 47. Смотреть здесь.

воскресенье, 26 июня 2011 г.

Об электронном документообороте

Пока ждем решения по законопроекту Резника, решил почитать внимательно закон об ЭЦП ЭП. Подробности будут потом, а пока столкнулся с одним любопытным фактом. Как утверждает законодатель, одной из причин появления нового закона является фактический провал 1-ФЗ с точки зрения использования коммерческими организациями. Так по некоторым данным за время действия закона только 10% юридических лиц использовало ЭЦП в своей деятельности.
Особенностью нового, 63-ФЗ, закона можно назвать либерализацию требований к электронной подписи. Так например признается юридически значимой не только подпись в соответствии с ГОСТом, но и любые другие соответствующие требованиям закона. Так же законными становятся подписи иностранного происхождения.
В общем говоря, кажется уже ничто не стоит на пути к полному электронному документообороту между юридическими лицами. На самом деле, стоит и даже можно сказать блокирует.
Одним из ключевых моментов в делопроизводстве любой организации является создание и обработка документа "счет-фактура". Фактически этот документ составляет львиную долю в документообороте. И тут мы выясняем, что есть в Налоговом кодексе ч. 2 есть статья 169. Счет-фактура. Среди прочего есть два пункта:
6. ... Счет-фактура, составленный в электронном виде, подписывается электронной цифровой подписью руководителя организации либо иных лиц, уполномоченных на это приказом (иным распорядительным документом) по организации или доверенностью от имени организации, индивидуального предпринимателя в соответствии с законодательством Российской Федерации.
9. Порядок выставления и получения счетов-фактур в электронном виде по телекоммуникационным каналам связи с применением электронной цифровой подписи устанавливается Министерством финансов Российской Федерации. Форматы счета фактуры, журнала учета полученных и выставленных счетов-фактур, книг покупок и книг продаж в электронном виде утверждаются федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов.


П.6 делает легитимными счета-фактуры в электронной форме. П.9. устанавливает порядок оборота счетов-фактур, который был утвержден, внимание!, 25 апреля 2011 г. N 50н. Зарегистрирован в Минюсте 25 мая 2011, опубликован данный приказ 3 июня 2011г. Название приказа "Об утверждении порядка выставления и получения счетов-фактур в электронном виде по телекоммуникационным каналам связи с применением электронной цифровой подписи".
Этот приказ устанавливает единственную возможность электронного обмена счетами-фактурами только через "Оператора электронного документооборота". И никак иначе. Оперативность работы оператора потрясающая – документы передаются в течении одного рабочего, так сказано в этом приказе.
Ценник на услуги тоже способный отбить всякую охоту связываться с этой фишкой - 5000 руб. за передачу 250 документов. Например, здесь.
Ну о таких вещах как ссылка на старый 1-ФЗ я не говорю, поскольку его отмена будет только 1 июля 2012 года, то вроде как в праве.
Возникает несколько вопросов:
1. Пунктом 1.13 предусмотрена обязанность участников электронного документооборота хранить электронные документы в соответствии с требованием закона в течении 5 лет. Оператор такой же участник документооборота. При этом нигде в приказе нет требований по обеспечению конфиденциальности документов клиента. Не упоминается это и в регламенте первого попавшегося оператора. Более того, есть подозрение, что налоговая инспекция предполагает иметь простой доступ к этой базе данных. Мы здесь все, конечно законопослушные и верим в кристальную честность налоговой, но это все является хорошим аргументом против использования системы.
2. пункт 1.9 требует подписывать счета-фактуры по отдельности, в то время как 63-ФЗ разрешает подписывать пакеты документов. Зная объемы оборота счетов-фактур в предприятиях средней руки подписывание электронной подписью каждого документа в отдельности станет еще большей проблемой для руководителя, чем чиркнуть ручкой в бумажном аналоге. Так почему бы не разрешить подписывать пакеты документов? Аргумент, что подписывающий будет их читать, выглядит, скажем, так не серьезно. Чаще всего документы с суммой менее определенной подписываются после беглого просмотра. То же можно сделать и с пакетом документов.
3. Пункт 1.7 позволяет, цитата, "осуществляется продавцом и покупателем в зашифрованном или в незашифрованном виде". Т.е. я могу пересылать через оператора шифровки? Тогда как будет выглядеть процедура сверки счетов-фактур в цепочке продавец-оператор-покупатель? Для вскрытия шифровки требуется ключ который к моменту проверки может быть уже утерен, т.к. требований к хранению ключей законом и положением не устанавливается, более того алгоритмы шифрования, в соответствии с 63-ФЗ может отличаться от алгоритма электронной подписи, который прописан жестко в Приказе и должен совпадать с применяемым в налоговой. Или шифровать все же запрещено?
4. Ну и в конце, документ называется "порядок выставления и получения счетов-фактур в электронном виде по телекоммуникационным каналам связи с применением электронной цифровой подписи" если я буду возить подписанные электронной подписью, в соответствии с 63-ФЗ, счета-фактуры на флэшке, то он на меня не распространяется?

четверг, 16 июня 2011 г.

По поводу законопроекта Резника

Спасибо Александру Бондаренко за версию 152-ФЗ с выделенными правками. Взято здесь.
После прочтения "по диагонали" все же осталось ощущение очень сырого документа. Посмотрим, что произойдет во втором и третьем чтении. Комментировать пока не буду…

DDOs на электронные площадку

Сегодня утром "порадовал" Александр Бондаренко написав на linkedin про DDOs-атаку на Единую электронную торговую площадку. Да-да ту самую одну из 5-ти, которые обслуживают аукционы в электронной форме по 94-ФЗ.
О возможном "распиле" бюджета с использованием передовых технологий хакерской мысли я писал еще в старом журнале. Очень уж суммы интересные проходят через аукционы. При этом 94-ФЗ дает возможность использовать результаты хакерских атак для заключения контракта. Однако DDOs этого не позволяет, единственный результат DDOs это приостановка и перенос аукциона на другую дату.

Площадка, следуя традициям Российского бизнеса, как всегда опубликовала до невозможности минимальную информацию. По ссылкам два xls файла с номерами аукционов.

Проведя беглое сопоставление, можно охарактеризовать аукционы:
1. Перенесено 90 аукционов на общую сумму чуть более 104 млн. руб.
2. Самые значимые аукционы на сумму 10.5 млн. руб. на капитальный ремонт склада комбината "Рубин" Оренбургская обл, г. Бузулук и на 9,8 млн. руб на обустройство теневых навесов и прилегающей к ним территории дошкольных учреждений департамента образования, я так понимаю это беседки в детских садиках г. Сургут.
3. Есть еще множество торгов от здравоохранения Томской области, Курганского соцстраха и др., которые в сумме будут значимы, но в целом суммы не сравнимы с максимальными суммами некоторых лотов, например на 5,86 млр. руб. и почти 6 млрд. руб.
4. В целом сумма "зависших" аукционов составляет около 0.01% от объявленных аукционов на площадке.

Сама атака длилась 14.06.2011 с 7.13 до 7.57 мин. – 44 минуты. И лично меня настораживает эта скоротечность DDOs.

Попробуем угадать цели этого DDOs.
Целей может быть несколько:
1. Отложить на сутки-двое проведение процедуры аукциона.
2. Продемонстрировать заказчику свои возможности.

Первый вариант имеет смысл, если одному из участников хорошо известен background процесса, в том числе и у основных конкурентов. Зная особенности российского бизнеса и бегло посмотрев на проводимые аукционы можно с высокой степенью уверенности, что это не наш случай.

Оценить второй вариант, сейчас, практически невозможно - покажет время и повторяемость DDOs на электронные площадки.

Так что как обычно меня мучает ровно один вопрос – Зачем?

p.s.
Правда есть еще один интересный момент – в случае сбоя оборудования оператор площадки получает существенный штраф. Есть подозрение, что DDOS снимает проблему штрафа. И пока я склоняюсь именно к этой версии.

Ну и как обычно можно помечтать, о том что площадка выложит техническую информацию о инциденте и методах противодействия.;)

среда, 15 июня 2011 г.

Второе чтение законопроекта Резника

Как и ожидалось, жизнь вокруг тем персональных данных и защиты персональных данных в преддверии наступления 1 июля начала бить ключом. О втором чтении Законопроекта Резника отписались многие коллеги, но как оказалось многие читающие этот блог не читают другие, поэтому по многочисленным просьбам даю ссылку на Электронную регистрационную карту на законопроект Резника.
Ну и скрестив пальцы ждем 17 июня 2011 года.

воскресенье, 12 июня 2011 г.

Есть ли логика в 152-ФЗ?

Каждый раз, когда заходит речь о защите персональных данных специалисты и не очень начинают критиковать закон, мол де завышенные требования, не четкие определения, явные ошибки в требованиях.
Когда-то давно из одной книги я почерпнул одну простую мысль: в мере очень мало отъявленных мерзавцев. Каждый борется за светлое будущее в меру его понимания. Другое дело, что "хотели как лучше, а получилось как всегда"©.
Давайте попробуем разобраться с тем, что дал нам законодатель. Лучше всего мои мысли нашли отражение в книге "Обеспечение информационной безопасности бизнеса". Альпина Паблишерз, 2011.
"Российская и мировая практика регулирования информационной безопасности недавнего прошлого состояла из обязательных требований национальных уполномоченных органов, оформленных в виде руководящих документов. Поэтому для топ-менеджмента и владельцев организации существовала только одна проблема соответствия им (комплаенс) и только один способ, ее решения – как с минимальными затратами выполнить предлагаемые требования. Для уполномоченных органов существовала своя проблема – как в силу невозможности охвата всех возможных видов деятельности и условий их реализации, а так же существенных различий в целях деятельности предложить универсальный набор требований…
Дальнейшая эволюция моделей ИБ была связана с усилением роли собственника
(владельца) и сводилась к тому, что он сам выбирал (на свой страх и риск) из предложенного ему стандартного набора защитных мер те, которые ему необходимы, т.е. такие, которые, по его мнению, могут обеспечить приемлемый уровень безопасности… Однако конструктивного механизма для владельца предложить не удалось, кроме как создания каталога объектов с выбранными типовыми защитными мерами (профилей защиты)"... © Обеспечение информационной безопасности бизнеса.
Мое мнение, что в случае 152-ФЗ мы имеем дело с недоделанной моделью "второго поколения". Есть ощущение не завершенного второго шага от регулирующих органов. Все таки сложно отпустить контроль, психологически сложно. И именно поэтому при создании СЗИ ИСПДн велика роль интегратора – можно данную задачу решить как минимум двумя способами: дешево и сердито, и дорого и бесполезно. Очевидно есть еще масса вариантов, в том числе дорого и качественно, но в реальности я такие решения не встречал.

среда, 8 июня 2011 г.

А тем временем внесены очередные поправки

04.06.2011 вышел закон N 123-ФЗ вносящий дополнения в основания обработки персональных данных без согласия субъекта:
5.1) обработка персональных данных необходима управляющим организациям, товариществам собственников жилья, жилищным кооперативам, жилищно-строительным кооперативам или иным специализированным потребительским кооперативам, осуществляющим в соответствии с Жилищным кодексом Российской Федерации управление многоквартирными домами, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении многоквартирным домом заключили договоры оказания услуг и (или) выполнения работ по содержанию и ремонту общего имущества в данном доме, либо лицам, с которыми собственники помещений в многоквартирном доме при непосредственном управлении или собственники жилых домов заключили договоры о предоставлении коммунальных услуг, либо лицам, привлеченным на основе договоров, для осуществления расчетов с собственниками помещений в многоквартирном доме, собственниками жилых домов, нанимателями жилых помещений государственного или муниципального жилищного фонда за содержание и ремонт общего имущества в многоквартирном доме, жилых домах и коммунальные услуги;
Перевод на русский: Теперь не требуется согласие при расчетах, начислениях и прочем связанным с ЖКХ.
Действует с 16 июня 2011 года

вторник, 7 июня 2011 г.

Агентство новостей ОБС «Одна бабка сказала»

За время командировок, накопилось много материала, мыслей и наблюдений. Начнем разгребать.
В связи с приближением 1 июня набирает обороты работа агентства новостей ОБС. Пример здесь.
Особо порадовало:
"Во-вторых, в связи с принятием Мосгордумы закона "О трансплантации органов несовершеннолетних" стоит задуматься о том, что медицинскими данными наших детей может воспользоваться любой человек, кто будет иметь доступ к информации: чиновники, криминальные структуры, вплоть до передачи данных заграницу и в интернет. А отобрать ребенка у родителей сейчас – «дело техники» (ювенальной)".
Как уже не раз отмечалось слабой стороной закона является постоянный сбор согласий с субъекта ПД. При этом ситуация рассматривалась с позиции юридического лица или в терминологии закона, оператора. Ситуация с аффилированными фирмами не улучшает общее положение дел.
Но не менее проблематична ситуация при взгляде со стороны субъекта. Количество согласий раздаваемых субъектом ПД относительно своих данных вызывает опасение, что в какой-то момент времени человек просто перестанет читать бумаги, которые он подписывает. Или перестанет подписывать. Тут мы можем вспомнить сказку про мальчика, который кричал "волки-волки".
При этом у человека возникает мнение, что персональные данные нельзя обрабатывать без согласия. Как–то забывается, что есть федеральное законодательство, заключенный договор с субъектом... Как следствие у человека создается впечатление о правовом нигилизме в стране, что в целом не улучшает обстановку в стране.
И здесь как раз и возникает острая необходимость в грамотной популяризации закона и разъяснение прав субъектов.