пятница, 31 декабря 2010 г.

С Новым годом!


Дорогие читатели блога! Уважаемые друзья! Позвольте мне от всей души поблагодарить Вас за огромное внимание, оказанное моему скромному увлечению, за те мысли и комментарии, которые Вы на протяжении этого года писали в блог и мне на почту! Без Вас - каждого из Вас - этот блог был бы ничем. В следующем году я постараюсь не "сдавать позиции" и, как говорится, и дальше "оправдывать Ваше высокое доверие" :)

Как и обещал, я завершил подготовку страницы "Как я дошел до жизни такой" - всех, кому интересно, приглашаю почитать часть под названием Back to the Roots :).

Мои коллеги уже опубликовали "предновогодние посты": Александр Бондаренко коротко "прошелся" по основным событиям уходящего года, Евгений Царев представил свое видение года наступающего, а Алексей Лукацкий нарисовал "карту главных ИБ-мероприятий" на 2011 год.

Остался невыясненным момент относительно законопроекта 456304-5 "О внесении изменения в статью 3.12 Кодекса Российской Федерации об административных правонарушениях..." - того, что позволял любому проверяющему приостановить деятельность предприятия на срок до 90 суток. Этот документ прошел 3 чтения в Думе и одобрен Советом федерации, однако на сегодняшний день не опубликован. Может, кто из читателей что-то знает, а если и нет - пусть этот "должок" останется на совести законодателей.

Всего Вам хорошего, успехов в труде, счастья, здоровья, праздничного настроения и - до скорой встречи!

среда, 29 декабря 2010 г.

Четыре в ЖЭ


Я уже писал о проблемах создания в РФ сетей мобильной связи четвертого поколения, и вот сегодня состоялось обещанное министром связи и массовых коммуникаций И.Щеголевым совещание ГКРЧ. Однако судьбоносным оно не оказалось: по решению ГКРЧ, с внедрением сети 4G решено "повременить".

Компании «Основа Телеком» поручено «создать опытную зону мобильной широкополосной связи в диапазоне 2 300–2 400 МГц с подсистемой конфиденциальной связи, используемой для нужд государственного управления, в том числе президентской связи, обороны страны, безопасности государства и обеспечения правопорядка».

Кроме того, ГКРЧ приняла решение провести исследование возможности внедрения сетей 4G с использованием частот 800, 900, 1 800, 2 100 и 2 500–2 700 МГц, которые могут получить операторы "большой тройки" в результате конверсии спектра. Специалистам поручено определить условия электромагнитной совместимости 4G-сервисов с действующими и планируемыми сетями связи. Исследованием займутся операторы «большой тройки» и «Ростелеком», а результаты должны быть представлены до 1 июля 2011 года.

О дате следующего совещания ГКРЧ по этому вопросу не сообщается.

Как я дошел до жизни такой. Дядя Федор и все-все-все.


Продолжаю публиковать жизнеописание :) В этой серии Вы узнаете ответ на вопрос, откуда есть пошел русский Nmap, и почему армия и я оказались в итоге несовместимы.

вторник, 28 декабря 2010 г.

Дрожи, Microsoft!


Потому что в 2015 году потеряешь ты свою власть над государственными и муниципальными органами 1/6 части суши, ибо все они переходят на Свободное Программное Обеспечение.

Никаких шуток - вот распоряжение премьер-министра, а вот и план перехода.

Теперь Microsoft нужно действовать очень осторожно, вспоминая историю с концерном Daimler ;)

Как я дошел до жизни такой. Интернет-наркоман.


Для того, чтобы встретить Новый год без долгов, продолжаю отдавать долг студенческой и читательской аудитории :)

Продолжение здесь.

понедельник, 27 декабря 2010 г.

Как я дошел до жизни такой. Начало.


В процессе преподавания в университете на каждой вводной лекции студенты, а с момента ведения блога - и читатели, в переписке просят рассказать свою "историю успеха". Некоторые (особо пытливые) читатели блога, путешествуя по просторам Интернета, откопали мертвый проект "Русский NMAP", автором которого (по странному совпадению ;) являлся некий Алексей Волков из города Череповца, и конечно, стали задавать соответствующие вопросы. Что ж - попытаюсь удовлетворить возникшее любопытство. Для этого решил создать соответствующую страницу - буду обновлять по мере возможности :)

Принят, подписан и опубликован


359-ФЗ от 23.12.2010: "Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года".

Ждем более глубоких изменений...

пятница, 24 декабря 2010 г.

Будь готов!


Все уже сообщили, отмечусь и я.

План проверок Роскомнадзора на 2011 год здесь.

План проверок ФСТЭК на 2011 год здесь.

Приятного просмотра :)

среда, 22 декабря 2010 г.

Почему я ничуть не удивляюсь?


Сегодня в газете "Комсомольская правда" корреспондент Ольга Король опубликовала статью под названием "В казанских поликлиниках разглашают личную информацию о пациентах". Увидев, что талоны на запись к врачу используются дважды (бланк талона напечатан с двух сторон листа), девушка сильно возмущалась, и даже обратилась в Горздрав с просьбой провести проверку. Не смотря на то, что в конечном счете обратилась она не по адресу, ее возмущение вполне обоснованно.

Однако пациенты череповецких поликлиник, прочитав эту статью, могут лишь ухмыльнуться. Вот типичная картина, отснятая одним из читателей блога в детской поликлинике №4.


На этой фотографии - не что иное, как "стол самозаписи к участковым терапевтам", на котором в хаотичном порядке разбросаны "папки самозаписи". Стол и папки находятся в свободном и открытом доступе, и каждый родитель, записывая свое чадо на прием, обязан указать его ФИО, год рождения, число полных лет и домашний адрес:


Читатель говорит, что он был свидетелем, как листы из этих папок ветром разбросало по всему холлу поликлиники, а суровые служительницы регистратуры поленились оторваться от чаепития и болтания языком даже тогда, когда он сообщил им о беспорядке.

Попробую переслать ссылку на этот пост в Роскомнадзор, может, что-нибудь ответят...

Хваленая, демократия...


Вчера, 21 декабря, Федеральная комиссия США по связи (FCC) приняла решение, которое, как полагают многие, определит дальнейшее развитие сети Интернет. По сообщению агентства Reuters, тремя голосами против двух члены Комиссии одобрили давно обсуждаемый закон о нейтралитете Сети. Этот закон обязывает компании, оказывающие услуги широкополосного доступа, предоставлять пользователям возможность взаимодействия со всеми законными ресурсами на одинаковых условиях.

Нормы этого Закона запрещают телекоммуникационным компаниям преднамеренно ухудшать связь при просмотре определённых ресурсов и блокировать конкурирующие с их собственными онлайновые сервисы и веб-приложения (в том числе системы IP-телефонии и потоковой передачи видео), однако позволяют провайдерам управлять трафиком для решения проблем с перегрузкой каналов (при этом провайдеры должны предоставлять клиентам информацию о способах управления трафиком).

Изначально закон был направлен на защиту небольших онлайн-компаний от нечестной конкуренции со стороны интернет-гигантов, однако общественное мнение упорно придает ему статус "основополагающего" документа, обеспечивающего соблюдение демократических принципов в Сети. Вспоминая массовое блокирование интернет-ресурсов после выборов в Белоруссии (отечественные методы воздействия на интернет-контент порой ничем не отличаются), о принятии такого документа в России пока остается только мечтать.

понедельник, 13 декабря 2010 г.

Еще на полгода


Законопроект Аксакова принят в прошлую пятницу во втором и третьем чтениях. Если его утвердит Совет федерации и подпишет президент, то до 1 июля 2011 года часть 3 статьи 25 Федерального закона "О персональных данных" № 152-ФЗ следует читать как:

Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.

И ждать принятия законопроекта Резника до 1 июля 2011 года.

пятница, 10 декабря 2010 г.

Игры патриотов


Вряд ли кто-то будет оспаривать тот факт, что всемирная сеть "Интернет" очень и очень плотно интегрирована в жизнь современного человека. Электронная почта, социальные сети, музыка, видео, игры, наконец - огромная масса информации - все это "подсаживает" прогрессивное человечество на "информационный крючок", и порой вызывает скрытую, а в ряде случаев - явную симптоматику, называемую "интернет-зависимость". А как без этого - скажете вы? Действительно: на работе - Интернет, дома - тем более, в телефоне (смартфоне, коммуникаторе) - тоже он. Даже холодильник, телевизор и медиаплеер - и те к Интернету подключены. Некоторые социологи уже говорят о том, что наступает переломный момент, и скоро не Интернет будет интегрирован в жизнь человека, а жизнь человека интегрирована в Интернет.

Однако пока никто этому не сопротивляется, а значит - инфомасса, возможности и скорости постоянно набирают обороты, а человек, как часть Сети, выражает естественное и все более возрастающее желание потреблять все ее реальные и мнимые блага, и выкладывать за это свои кровные. Осознавая происходящее, телекоммуникационные компании наперебой предлагают услуги широкополосного доступа в Интернет, а с недавних пор в эту гонку включились и операторы сотовой связи: используя технологии (W)CDMA, 3G (HSDPA), WiMAX они стали представлять для "проводных" телекомов весьма серьезных соперников.

С появлением технологии LTE (4G), позволяющей выходить в Интернет без проводов на невообразимых скоростях, операторы сотовой связи рассчитывали нанести сокрушительный удар по традиционным телекомам и, конечно, получить хорошие доходы. Поэтому за относительно свободный частотный диапазон 2,3-2,4 ГГц, необходимый для развертывания сети 4 поколения, разразилась настоящая битва с участием операторов "большой тройки" (МТС, МегаФон, Билайн) и... Министерства обороны. Спросите - при чем здесь МО?

Ответ на этот вопрос кроется в письме президенту РФ, написанном министром обороны А.Сердюковым в мае 2010 года. В нем Сердюков просил выделить частотный диапазон компании "Основа Телеком", 25% которой принадлежит подведомственному Минобороны "Воентелекому", предоставляющему услуги связи МО. Остальные 75% принадлежат компании "Айкоминвест" предпринимателя Виталия Юсуфова - сына бывшего руководителя Росрезерва и Минэнерго.

Битва длилась долго, и вот - развязка. По сообщению министра связи и массовых коммуникаций И.Щёголева, 28 декабря 2010 г. Государственная комиссия по радиочастотам рассмотрит вопрос выделения набора частот 2,3-2,4 ГГц в пользу Минобороны, так как это необходимо для решения задач, сформулированных Советом безопасности. Ресурс может быть использован не только военными, но и для оказания услуг госорганам. Министр подчеркнул, что Минобороны само определит, какая из компаний будет заниматься строительством сети, и в решении, которое разослало министерство, "нет ни одного названия компаний".

Операторы "большой тройки", очевидно, что-то подозревают, и потому настроены категорически против такого "междусобойчика". Они предлагают разыграть частоты на "прозрачном" конкурсе, а не отдавать их Минобороны. В противном случае, Минобороны и его аффилированные частные компании получат всё даром, а "большая тройка" может войти в проект только за очень большие деньги.

Поэтому граждане, с нетерпением ожидающие приход 4G, вряд ли быстро и по приемлемой цене получат качественную услугу широкополосного доступа. Как показывает практика, отсутствие конкуренции, "откаты" и прочие нюансы так или иначе ложатся на плечи конечных потребителей.

вторник, 7 декабря 2010 г.

Имитация бурной деятельности


Наверное, все уже в курсе, что разумная законодательная инициатива депутата Государственной думы А.Г.Аксакова, связанная с продлением срока приведения ИСПДн, созданных до 26.01.2007 г. в соответствие с требованиями Федерального закона "О персональных данных" еще на один год - до 01.01.2012 г., и выраженная в соответствующем законопроекте, обрела массовую поддержку: сегодня законопроект прошел первое чтение.

Однако Государственная дума продолжает радовать нас своими инициативами. Одновременно с указанным выше законопроектом, в ней прошел первое чтение другой, не менее важный документ. Это законопроект 456304-5 "О внесении изменения в статью 3.12 Кодекса Российской Федерации об административных правонарушениях (в части ограничения перечня лиц, наделенных правом налагать административное наказание в виде административного приостановления деятельности)", исправляющий недоработки весенней сессии ГД, приводившие к тому, что любой контролирующий орган с 1 января 2011 года мог приостановить деятельность любого хозяйствующего субъекта без решения суда на срок до 90 дней (об этом я писал пару дней назад).

ЗЫ: Говорят, под Новый год, что ни пожелается?..

четверг, 2 декабря 2010 г.

Финт ушами


Весной этого года Алексей Лукацкий рассказывал о своем коллеге из одного иностранного банка, действующего на территории РФ, обратившего внимание на закон N 57-ФЗ "О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства".

Суть проблемы заключается в том, что если у компании, действующей на территории РФ, есть лицензия ФСБ, и в нее хочет инвестировать иностранная компания, то у последней могут быть весьма существенные сложности в реализации этой затеи. У банка, предоставляющего услуги дистанционного банковского обслуживания, такая лицензия должна быть по определению, так как эти услуги предусматривают использование криптографических средств. Это означает, что любой банк, оказывающий услуги ДБО, является хозяйственным обществом, имеющим стратегическое значение для обеспечения обороны страны и безопасности государства.

На этот пост были комментарии вроде цитаты П.А.Вяземского: "в России суровость законов умеряется их неисполнением." И вот, наконец, настал момент истины: по сообщению "Коммерсанта", ЗАО "Королевский Банк Шотландии" (бывший АНБ "Амро") отказывается от лицензии на шифрование и приостанавливает услуги ДБО для того, чтобы один из его владельцев - The Royal Bank Of Scotland, принадлежащий правительству Великобритании, смог увеличить свою долю до контрольного пакета.

В соответствии с законодательством РФ, RBS еще в начале 2010 года направил в Федеральную антимонопольную службу письмо о намерении совершить эту сделку, ФАС же, в свою очередь, отказала, ссылаясь именно на указанный выше закон. По сообщению ФАС, еще летом был подготовлен законопроект, вносящий изменения в 57-ФЗ, и сейчас он находится на согласовании в Правительстве РФ. Однако, учитывая особенности российского законотворчества, банк вынужден был отказаться от ДБО в пользу решения собственной бизнес-проблемы.

Ну а до клиентов этого банка - гражданах РФ, в один момент переставших получать услуги ДБО, как уж заведено, никому дела нет.

среда, 1 декабря 2010 г.

На три месяца без суда и следствия


Меньше месяца осталось до очередной "страшной даты" 01.01.11, начиная с которой (если ничего не изменится) у операторов уже не будет возможности "отлынивать" от исполнения всех требований 152-ФЗ. Одновременно с этим, у регуляторов появятся ТАКИЕ полномочия, о которых они давно забыли и даже мечтать перестали.

Речь идет об изменениях в Кодексе об административных правонарушениях (КОАП), внесенных Федеральным законом 171-ФЗ от 23.07.2010 года. Поправки в КОАП разрабатывались для ужесточения Ростехнадзором контролирующих функций на опасных объектах (после аварии на шахте "Распадская"). Однако закон Госдума принимала под "занавес" весенней сессии, депутаты спешили в отпуск, и потому поправки были сформулированы "абы как". В результате этого, были расширены полномочия ВСЕХ контрольных органов, обладающих полномочиями по приостановлению деятельности хозяйствующих субъектов (Роскомнадзор, ФСТЭК и ФСБ входит в их число).

Сейчас абзац 1 ч. 1 ст. 27.16 КОАП выглядит следующим образом:

Временный запрет деятельности заключается в кратковременном, установленном на срок до рассмотрения дела судом прекращении деятельности филиалов, представительств, структурных подразделений юридического лица, производственных участков, а также эксплуатации агрегатов, объектов, зданий или сооружений, осуществления отдельных видов деятельности (работ), оказания услуг.

Статья 27.17 выглядит так:

1. Срок временного запрета деятельности не должен превышать пять суток.
2. Срок временного запрета деятельности исчисляется с момента фактического прекращения деятельности филиалов, представительств, структурных подразделений юридического лица, производственных участков, а также эксплуатации агрегатов, объектов, зданий или сооружений, осуществления отдельных видов деятельности (работ), оказания услуг.

Пункты 7 и 8 Федерального закона 171-ФЗ вносят следующие коррективы:

в абзаце первом части 1 статьи 27.16 слова "до рассмотрения дела судом" заменить словами "до вступления в законную силу постановления по делу об административном правонарушении"; часть 1 статьи 27.17 признать утратившей силу.

Действующие нормы КОАП разрешают административное приостановление деятельности хозяйствующих субъектов при выявлении грубых нарушений на 90 дней ИСКЛЮЧИТЕЛЬНО на основании судебного решения. В новой редакции КОАП, для приостановления деятельности на максимально возможный срок 90 дней (5 суток, предусмотренных ч. 1 ст. 27.17, исключили) достаточно решения должностного лица контролирующего органа (формулировку ч. 1 ст. 27.16 изменили), а его постановление о приостановлении деятельности будет действовать вплоть до решения суда.

Все эти риски видят как в Минэкономики, так и в аппарате правительства. "Необходимо срочно провести работу над ошибками и не допустить ситуации, при которой должностные лица органов контроля получат возможность, по сути, "закрывать бизнес"",— сказал в интервью газете "Коммерсант" врио замглавы департамента развития малого и среднего предпринимательства Минэкономики Евгений Ковтун.

Однако пока ни о каких изменениях в законодательстве ничего не слышно. Что ж, впереди - 30 дней - время еще есть. Будет ли оно использовано с толком - посмотрим.

ЗЫ: С первым днем зимы Вас, дорогие читатели!

пятница, 26 ноября 2010 г.

Сила мысли


Пару месяцев назад я опубликовал заметку относительно программного продукта DeviceLock. Сегодня зашел на их сайт посмотреть, вышла ли новая версия (обещали в конце 3 квартала), и приятно удивился. Оказывается, выход новой версии отложен, а разработчики проводят публичное бета-тестирование! Уж не знаю, что их сподвигло на такой шаг (может, мой пост?), однако я скачал бету и попробую провести тот же эксперимент, что ранее проводил один из студентов-дипломников. Особо активным бета-тестерам разработчики в виде бонуса предлагают бесплатную лицензию, поэтому у кого есть время и желание - принимайте участие, вдруг повезет :)

суббота, 13 ноября 2010 г.

Как корабль назовете - так и поплывет


Просила намедни одна знакомая помочь ей с заполнением уведомления в Роскомнадзор. Магазин у нее небольшой по продаже парфюмерно-косметической продукции и, хоть работает он под вывеской известного бренда, в реальности это - обычная франшиза. Таким образом, мы имеем отдельное, самостоятельное юридическое лицо со всеми вытекающими. И все бы ничего, но юрлицо это обязано по договору франшизы оформлять клиентам дисконтные карты, с передачей их персональных данных, что называется, в "центр".

Надо отдать должное этому самому "центру" - во всех анкетах предусмотрены соответствующие пункты-согласия, разработан полный комплект документации ("центр" прислал типовые формы - она только подписывала), на рабочих станциях - пароли и антивирус, а с "центром" организован VPN через железку, выполняющую и функции межсетевого экрана. Правда, приобреталось и настраивалось все это добро за кровные хозяйки магазина - но ничего не поделаешь: иначе, по ее словам, "центр" лишил бы ее франшизы.

Проблема заключалась в том, что в комплекте документов, присланных "центром", было все (даже образец акта классификации), кроме типовой формы уведомления. "Центр" сообщил, что уведомление можно заполнить на сайте Роскомнадзора, все исходные данные для этого есть в документах. Вот этим, собственно, мы и стали заниматься.

Исходные данные действительно были в документах. Дойдя до пункта "Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке", в документе под названием "Политика информационной безопасности" я отыскал следующее:

11. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Защита персональных данных физических лиц организуется в соответствии с требованиями законодательства РФ и достигается с помощью организационных мер и технических средств.
11.2. Организационные меры защиты персональных данных определяются "Положением по организации системы защиты персональных данных".
11.3. Защита ПДн, обрабатываемых в ИСПДн организации, осуществляется техническими средствами, реализующими:
  • защиту СВТ ИСПДн от несанкционированного доступа (см. п. 7.1);
  • защиту СВТ ИСПДн от вредоносного кода (см. п. 7.3);
  • защиту ИСПДн от внешних угроз посредством межсетевого экранирования (см. п. 7.2);
  • защиту каналов связи, по которым передаются ПДн (см. п. 7.4);
Пункт 7.1 Политики говорит о парольной защите рабочих станций: в нем указаны требования, предъявляемые к сложности пароля, частоте его смены и аудите событий ОС. Пункт 7.3, как многие уже догадались - об антивирусном ПО. С пунктом 7.2 все понятно.

Самый большой интерес вызывает пункт 7.4, я привожу его с небольшими изменениями:

Для предотвращения несанкционированного доступа в корпоративную сеть "центра" используются средства защиты каналов связи, основанные на технологии VPN. Создание и администрирование защищенных каналов связи для организации удаленного доступа в корпоративную сеть является исключительной прерогативой "центра". Использование средств удаленного доступа в корпоративную сеть "центра" любыми другими лицами в любых целях не допускается.

Тут же в моей памяти пронеслось все прочитанное мной на форумах и блогах про криптографию, VPN-ы, SSL-и связанные со всем этим баталии. Тут же я вспомнил требования ФСБ, для обеспечения безопасности персональных данных при их обработке в информационных системах предписывающие использовать криптосредства, сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации), и один из постов Алексея Лукацкого под названием "шифрование и обезличивание", где Алексей предлагает поиграть терминологией. И поразился красоте решения...

Оказывается, VPN построен не для того, чтобы обеспечивать безопасность ПДн - он был организован ДЛЯ ЗАЩИТЫ КАНАЛОВ СВЯЗИ, а это, в свою очередь, необходимо ДЛЯ ПРЕДОТВРАЩЕНИЯ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В КОРПОРАТИВНУЮ СЕТЬ. А это означает, что железка эта находится не в ведомстве ФСБ, так как формально не предназначена для шифрования данных, а в ведомстве ФСТЭК, поскольку цель ее установки - защищать канал от НСД. Вот и получается, что благодаря VPN, персональные данные по Интернету НЕ передаются, а благодаря такому целеуказанию - шифровальные (криптографические) средства для защиты данных НЕ используются! Кроме того, немного изменив формулировки, аналогичную логику можно использовать и для SSL.

Если бы у меня на фото в профиле была надета шляпа, я бы поработал в Фотошопе и "снял"ее: браво, коллеги из "центра"!

А что думаете Вы, дорогие читатели блога?

Персональные данные: от Европы до России. Часть пятая, заключительная.


Говорят, гостям бывают рады два раза: первый - когда приходят, второй - когда уходят. Сегодня есть повод порадоваться у всех, кто читал наш "сериал", опубликованный в интернет-издании iBusiness: пятая, заключительная, часть нашей масштабной публикации представлена Вашему вниманию (здесь - ссылки на первую, вторую, третью и четвертую части).

От себя лично хочу сказать огромное спасибо Александру Токаренко и Евгению Цареву за совместную работу и пожелать нам всем творческих и профессиональных успехов в нашем нелегком деле.

Всех наших читателей хочу поблагодарить особо: мы работаем для Вас, и если бы не Ваше желание познавать новое, читать статьи, блоги, комментировать, критиковать и излагать свои мысли - труды эти были бы напрасны. Уходить, конечно, мы с коллегами-соавторами никуда не собираемся, будем дальше трудиться на благо (как нам кажется :) общего дела.

ЗЫ: на всякий случай, выкладываю авторский текст всей публикации (PDF).

четверг, 11 ноября 2010 г.

Судьба барабанщика


Летом в блоге я делился своими мыслями относительно разгоревшегося шпионского скандала между Росией и США, и последовавших за ним серией разоблачений и утечек конфиденциальных данных. И вот теперь, очевидно, настало время нам, простым смертным, узнать некоторые подробности произошедшего, что называется, "изнутри".

Как стало известно изданию "Коммерсант", предателем, "сдавшим" российских агентов, был полковник Щербаков, долгое время служивший в СВР начальником американского отдела управления "С", ведающего работой с нелегалами. На фото - один из нелегалов - самый "матерый" и ценный из тех, что раскрыли: попробуйте угадать, кто (подсказка: у него в руках фотоаппарат).

Мне лично не понятно, как же все-таки в СВР подбирают кадры - неужели после заполнения анкеты для устройства на работу в СВР через Интернет тебя автоматически зачисляют в штат? И как в СВР организовано хранение личных дел сотрудников-нелегалов - ведь это наивысшая степень конфиденциальности, и вот так просто можно вывезти любое дело за рубеж?

Одна голова - хорошо, а много - лучше


Народная мудрость, конечно, звучит несколько иначе, но смысл ее остается незыблемым уже многие века: есть проблемы, с которыми в одиночку не справится. К такой области относится и проблематика защиты персональных данных - не только в России, но и во всем мире.

Конечно, есть действительно классные, просто суперспециалисты по защите информации в общем и персональных данных в частности, подкованные и в юридических, и в технических, и во всех остальных вопросах, однако даже гениальному доктору Хаусу из одноименного сериала была нужна команда хотя бы для того, чтобы обсуждать его теории. Я искренне считаю, что любое знание имеет право на жизнь только тогда, когда его разделяет (или не разделяет, но все-же обсуждает) общество - и чем оно (общество) больше, тем дольше знание живет, а значит - живет и его источник - человек (вот он, путь к вечной жизни :).

Узнавать что-то новое самому и делиться своими знаниями с другими, обсуждать, подтверждать или опровергать их - процесс, доставляющий думающей части моего тела ни с чем не сравнимое удовольствие, и, как я надеюсь, приносящий пользу окружающим. Именно для того, чтобы надежды эти были не напрасны, и для того, чтобы принять свое посильное участие в решении проблем, связанных с защитой персональных данных, я принял решение о вступлении в "Ассоциацию ДАТУМ" - и сегодня стал ее полноправным участником.

Ассоциация находится еще в самом начала пути, кое-что сделано (жаль, без моего участия) - но по сравнению с тем, сколько еще предстоит сделать - это всего лишь песчинка, крупица. Однако, вспоминая еще одну народную мудрость - "курочка по зернышку клюет" - лично я верю, что труд не напрасен, и цели, продекларированные Ассоциацией, будут реализованы.

Персональные данные: от Европы до России. Часть 4


Интернет-журнал iBusiness продолжает серию статей (ох, и понаписали мы, все же...), посвященных проблемам законодательства в сфере обработки персональных данных. Напомню, на первом этапе совместного исследования на блоге Евгения Царева мы провели небольшой опрос и выявили семь проблем в действующем законодательстве, потребность в устранении которых наиболее остро испытывают отечественные операторы персональных данных.

Всех, кто принял участие в этом опросе и оставлял свои комментарии мы считаем полноправными соавторами этой публикации  - и потому в iBusiness всем Вам - респект-уважуха :).

На всякий случай - ссылки на первую, вторую и третью части публикации. Продолжение следует!

понедельник, 8 ноября 2010 г.

Персональные данные: от Европы до России (Часть 3)


iBusiness продолжает публикацию нашего совместного исследования. В третьей части мы начнем исследовать действующее законодательство в области персональных данных — источник целого ряда проблем, с которыми сталкиваются все участники взаимоотношений.

Для тех, кто пропустил - привожу ссылки на первую и вторую части публикации.

среда, 3 ноября 2010 г.

Персональные данные: от Европы до России (Часть 2)


Интернет-журнал iBusiness продолжает публикацию цикла статей, подготовленных по результатам совместного исследования. Вторая часть исследования посвящена истории защиты персональных данных в России.

Первая часть исследования, посвященная проблематике защиты персональных данных в международном праве, доступна по этой ссылке.

вторник, 2 ноября 2010 г.

Палка о двух началах, или еще раз о классификации ИСПДн


О классификации информационных систем персональных данных (ИСПДн) написано немало: целые статьи, сайты и форумы посвящены этой животрепещущей теме. При этом, подавляющее большинство рекомендаций сводится к уменьшению количества записей, обрабатываемых в ИСПДн, переводу ряда категорий ПДн в "бумажную" или дроблению одной "большой" ИСПДн на части.

С выходом "Приказа № 58" ФСТЭК с классификацией стало несколько проще, потому как особой разницы между требованиями к технической защите ИСПДн 2 и 3 класса в "Положениях о методах и способах..." не наблюдается, чего нельзя сказать о требованиях, предъявляемых к ИСПДн 1 класса: организация, обладающая такой ИСПДн, должна серьезно раскошелиться на ее защиту. При этом, весьма досадно осознавать, что если в твоей ИСПДн обрабатываются 99999 записей - то это К2, а если на обну больше - то К1. Автор этого блога, внимательно перечитав "Приказ Трех" от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных", понял, что, в принципе, существует и альтернативная модель классификации, о которой все почему-то говорят весьма неохотно или не говорят вообще. Свои рассуждения на эту тему я выношу на суд читателей.

Итак, нам необходимо классифицировать некую гипотетическую ИСПДн, назначение которой - обработка персональных данных сотрудников некоего большого, территориально распределенного  учреждения. Поскольку мы легких путей не ищем, пусть эта ИСПДн будет "огромной": она обрабатывает большое количество записей (выше 100 тысяч), территориально распределена по всей России, и обрабатывает персональные данные 2 категории - то есть позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. Спецкатегории в нашей ИСПДн не обрабатываются: не зря эти ПДн вынесены в ЗоПД в отдельный раздел - они напрямую пересекаются с Конституцией, дающей право на тайну частной жизни, поэтому их наличие автоматически переводит любую систему в класс К1. 

Прежде всего, что нам необходимо сделать согласно Приказа - собрать исходные данные об ИСПДн. К их числу относятся:
  1. Категория обрабатываемых в информационной системе персональных данных Хпд = 2;
  2. Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) Хнпд = 1
  3. Структура информационной системы - распределенная;
  4. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена - есть;
  5. Режим обработки персональных данных - многопользовательский;
  6. Режим разграничения прав доступа пользователей информационной системы - с разграничением прав доступа;
  7. Местонахождение технических средств информационной системы - в пределах Российской Федерации.
Кроме того, для нашей ИСПДн, помимо конфиденциальности, необходимо обеспечить и другие характеристики безопасности, например, целостность и доступность, а значит, наша ИСПДн носит гордое название СПЕЦИАЛЬНАЯ. Вроде, все характеристики собраны - давайте посмотрим, ради чего мы потратили наше время.

Приказ предполагает классификацию ИСПДн на основе оценки возможного ущерба субъектам ПДн, чьи данные в ней обрабатываются: чем выше возможный ущерб - тем выше класс и, соответственно, тем выше должны предъявляться требования к технической защите. Пункт 14 Приказа говорит о 4 классах: отсутствие негативных последствий (4 класс), незначительные негативные последствия (3 класс), негативные последствия (2 класс) и значительные негативные последствия (1 класс). Присвоение того или иного класса ИСПДн, согласно того же пункта, осуществляется по результатам анализа исходных данных. Что ж, подход вполне справедливый.

Однако внимательное прочтение 14 пункта Приказа повергает в некоторое смятение: оказывается, такая классификация предусмотрена ДЛЯ ТИПОВЫХ ИСПДн: дословно - "По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов...", и дальше идет перечисление. Стоп, но у нас же специальная ИСПДн - исходя из буквы закона (Приказ зарегистрирован в Минюсте и, стало быть, имеет юридическую силу), пункт 14 ее не касается, и значит - должна быть какая-то другая классификация?

В еще более глубокое смятение повергает пункт 15, фактически нивелирующий глубокий смысл 14 пункта относительно "анализа исходных данных". Пресловутая "табличка", которая позволяет оценить класс типовой ИСПДн, фактически оперирует всего лишь двумя ее характеристиками - Хпд и Хпнд. Про остальные исходные данные ИСПДн можно просто забыть! Позвольте, но зачем же тогда мы их собирали? Будь наша ИСПДн типовой, то, согласно этой табличке, она попала бы в К1, однако наша ИСПДн - специальная, и табличку эту, равно как и весь пункт 15, мы можем просто не принимать во внимание. Что же делать?

Ответ на эти два вопроса кроется в пункте 16, который, согласно букве закона, заложенной в алгоритме классификации, нужно смотреть после пункта 13 (не взирая на пункты 14 и 15), говорит нам о том, что класс СПЕЦИАЛЬНОЙ ИСПДн определяется на основании исходных данных, собранных в соответствии с данным Приказом, и на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с п. 2 ПП 781 - а это ни что иное, как "Базовая модель угроз..." и "Методика определения актуальных угроз..." - необязательные к исполнению остатки ФСТЭКовского четверокнижия.

Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем придти к обоснованному выводу, что НЕГАТИВНЫЕ последствия может нанести нарушение целостности и доступности сведений о табельном учете и финансовой информации, так как это приведет к несвоевременной (неполной, неправильной) выплате заработной платы субъекту. Реализация всех остальных угроз (включая нарушение конфиденциальности) приведут к НЕЗНАЧИТЕЛЬНЫМ НЕГАТИВНЫМ последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2! Таким образом, мы законно и справедливо имеем возможность классифицировать специальные ИСПДн вне зависимости от того, как классифицируются типовые.

Я перерыл много нормативных документов, излазил много форумов и сайтов в поисках опровержения такой методики классификации - и не нашел ничего такого, что могло бы хоть как-то ее опровергнуть. Наконец, я решил обратиться в Роскомнадзор с разъяснениями, и вот какой ответ получил (с незначительными смысловыми правками):

Составление модели угроз - компетенция ФСТЭК, нашей службе необходим от оператора только акт классификации. А уж к какому классу он отнес свою ИСПДн, дело оператора и ФСТЭК. Но, по логике, вроде бы теория имеет право на существование. Действительно, по специальным ИСПДн класс определяется на основании модели угроз и соответственно может быть изменен в сторону уменьшения или увеличения. Есть одно НО: по нашим сведениям, ФСТЭК трактует таким образом: можно класс повышать, а вот понижать ниже типовой нельзя. Надо им задавать вопросы.

Что ж, резонно. Значит, у Роскомнадзора вопросов к классификации не будет, тем более, если модель угроз составляла организация, имеющая лицензию на ТЗКИ. У меня есть все основания полагать, что и у ФСТЭК в этом случае вопросы вряд ли возникнут - на мой взгляд, логика в изложенной методике имеется. Очень хотелось бы узнать мнение читателей блога - потому прошу Ваши комментарии, коллеги!

понедельник, 1 ноября 2010 г.

Персональные данные: от Европы до России


Спешу обрадовать всех читателей, изрядно уставших ожидать, когда "эти трое" Волков, Toparenko и Царев уже опубликуют свое не раз обещанное "совместное исследование": сегодня интернет-журнал iBusiness начал публикацию нашего "подзалежавшегося" совместного труда, в авторском варианте имевшего название "Персональные данные по-европейски и по-русски".

В связи с тем, что работа получилась достаточно масштабной - порядка 17 листов авторского текста, iBusness публикует ее как цикл статей - но зато без сокращений и абсолютно бесплатно. От лица всех авторов работы извиняюсь перед читателями за длительное ожидание - материал был полностью готов 30 августа 2010 года, однако публикация, сами понимаете, дело не быстрое.

Мы старались, чтобы Вам понравилось. Любые мнения, комментарии, мысли - приветствуются!

пятница, 29 октября 2010 г.

Отечественный рынок услуг в области защиты персональных данных. Новая статья.


Да, уважаемые читатели блога, это именно анонс нашей с Евгением Царевым новой публикации в авторитетном издании - "Connect! Мир связи". Именно в 9 номере этого журнала вышла очередная наша совместная работа - название в теме поста, PDF-версия статьи здесь. Всем рекомендую сей номер приобрести: помимо нашей работы, в нем Вы найдете очень много интересного, так как тема номера - "Информационная безопасность". Вот, Евгений мне прислал "авторский" бумажный экземпляр (в нашем городе его просто не продают) - новенький, хрустящий и пахнущий свежей типографской краской - за что ему огромное спасибо.

Потенциальным читателям хочу сказать что, по нашему мнению, получилось достаточно интересно, хотя бы потому, что авторский коллектив состоит из представителей с различных сторон баррикад: Евгений - интегратора, продающего услуги по ПДн, и я - оператора, потенциального их покупателя. Итог нашего "противоборства" - в 9 номере "Коннекта"!

ЗЫ. Тем же, кто уже заждался результатов "совместного исследования", хочу сказать, что это не "они". "ОНИ" будут СКОРО, следите за анонсами!

среда, 27 октября 2010 г.

ФСТЭК не доверяют?


13 октября 2010 года в Министерстве юстиции под номером 18704 был зарегистрирован прелюбопытнейший документ - приказ ФСБ РФ и Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования".

Требования Приказа распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет.

Как всегда, не обошлось без терминологической неразберихи. Так, Andrey_CM отмечает, что, согласно 149-ФЗ, существуют государственные информационные системы (федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов) и муниципальные информационные системы (созданные на основании решения органа местного самоуправления), Приказ же распространяется на федеральные государственные информационные системы, и такой "синтез" не совсем понятен. Кроме того, Приказ является обязательным для операторов информационных систем общего пользования при их разработке и эксплуатации информационных, однако расшифровка термина "оператор ИСОП" в нем отсутствует, поэтому приходится только догадываться, о ком же идет речь.

В целом, подход стандартный: целостность и доступность (конфиденциальность по понятным причинам не рассматривается), антивирусы, обнаружение атак, запись и хранение сетевого трафика, контроль доступа, МЭ, криптография, ТСО, видеонаблюдение, резервное копирование, гарантированное питание. Однако есть и интересные моменты.

Первое, что стоит отметить, это пункт 4 документа: "информация, содержащаяся в информационной системе общего пользования, является общедоступной". Стало быть, любые персональные данные, размещаемые в таких системах, (например, информация о доходах чиновников и их родственниках), являются общедоступными.

Документ предусматривает разделение ИСОП на 2 класса, самый критичный (первый класс) ИСОП - нарушение целостности и доступности информации в которых может привести к угрозе безопасности страны. Сам по себе факт признания госрегуляторами того, что не только нарушение свойств конфиденциальности информации, но и ее целостности и доступности, способно привести к угрозе безопасности страны, вызывает удивление. Но есть более интересный тренд.

Все (!) технические средства защиты, используемые в системах 1 класса, должны иметь сертификат ФСБ. Повторюсь - не только криптография, а ВСЕ - включая антивирусы, межсетевые экраны и средства обнаружения атак. Сертифицированные ФСТЭК средства защиты могут использоваться только во 2 классе ИСОП (те, что не попали в 1 класс), да и то с приставкой ИЛИ: дословно - "сертифицированные ФСБ России и (или) ФСТЭК России с учетом их компетенции".

До сих пор компетенции по сертификации средств защиты информации были четко поделены между ФСТЭК и ФСБ. Не означает ли появление этого документа начала передела сфер влияния между государственными регуляторами?

Еще на год?


22 октября 2010 года в Государственную Думу был внесен законопроект № 444277-5 "О внесении изменений в статью 25 Федерального закона "О персональных данных", которым предлагается продлить мораторий на применение положений части 3 статьи 25 Федерального закона "О персональных данных" на срок до 1 января 2012 года.

Автор документа — депутат Госдумы А. Аксаков, мотивирует свою законодательную инициативу тем, что выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований к информационным системам персональных данных потребует резкого увеличения расходов из бюджетов всех уровней. В то же время расходы для приведения информационных систем в соответствие с требованиями закона не предусмотрены Федеральным законом "О федеральном бюджете на 2010 год и на плановый период 2011 и 2012 годов". Следствием указанных проблем, очевидно, станет массовое несоответствие требованиям Федерального закона. При этом с начала 2011 года государственные регуляторы будут вправе осуществлять проверки исполнения требований закона в отношении информационных систем персональных данных и привлекать к ответственности нарушителей.

В общем, мотивация та же, что была и год назад: денег нет, и ничего с тех пор не изменилось.

понедельник, 25 октября 2010 г.

Персональные коммунальные


Все, кто имеет счастье платить за квартиры, знают, что тарифы на коммунальные услуги растут ежегодно где-то на 15-20%, не смотря на "рисованную" инфляцию в 7-8%. При этом, государственные чиновники приводят кучу обоснований увеличения тарифов "выше" официально установленной инфляции. Обоснования эти из года в год повторяются, и большинство населения, потирая полупустой бумажник, к формулировкам уже привыкли.

Однако сфера ЖКХ еще способна удивить. Автор этого блога, получив на прошлой неделе квитанцию на оплату услуг ЖКХ, увидел в ней следующее послание.

Интерес, безусловно, вызывает все содержание послания, однако мы обратим внимание на пункт 2. Понятно, что управляющие компании обязаны соблюдать требования законодательства по защите персональных данных жильцов обслуживаемых ими многоквартирых домов, однако реализованы эти требования будут... за счет самих жильцов!

Ну и конечно, давайте посчитаем, во что это обойдется населению. Существующий тариф на содержание и ремонт жилья в моем городе составляет 14,33 руб. с одного квадратного метра в месяц. Увеличение за счет соблюдения требований по защите ПДн составит 1,8% - это означает, что каждый собственник будет платить 26 копеек в месяц с квадрата, при средней площади квартиры в 50 кв.м. сумма будет составлять 13 рублей в месяц. Не так много - половинка буханки черного хлеба.

Что получат управляющие компании. Средняя площадь многоквартирного дома - 5000 кв.м., умножаем на 26 копеек - получаем 1300 рублей в месяц, или 15600 рублей в год. При наличии в распоряжении УК 10 домов в обслуживании, сумма составит 156 тыс. руб. в год.

Трудно сказать, насколько эффективно сможет УК организовать на эту сумму защиту персональных данных жильцов обслуживаемых ей домов, однако, на мой взгляд, эта сумма пойдет совсем на другие цели...

четверг, 14 октября 2010 г.

Узнай, кто ты: гражданин или параноик?


Работа, безусловно, накладывает свои отпечатки на человека. Особенно работа в сфере безопасности: будь то государственная или частная структура - все "безопасники" со временем становятся в той или иной степени параноиками. Да-да, коллеги, и не прикрывайтесь терминами вроде "разумная осторожность" и пословицами вроде "береженого Бог бережет" :)

Автор этого блога с твердой уверенностью может сказать, что уже сейчас наблюдает в отношение себя определенную тенденцию, связанную с проявлением параноидальных наклонностей. Сегодня ко мне домой пришли переписчики, и я проявил гражданскую несознательность: не пустил их на порог.

Теперь о самом главном - о причинах моего такого поведения. Во-первых, не смотря на поправки к закону 152-ФЗ, дающие право переписчикам собирать персональные данные граждан без их согласия, я считаю, что государство и так знает обо мне достаточно, чтобы еще в одном (по моему убеждению - весьма ненадежном) месте "следить" ими. Во-вторых, мне совершенно непонятна формулировка целей переписи, то и дело "кричащих" с экранов телевизора: дескать, чтобы потом, в послекризисные годы (!), спланировать детские сады, школы, поликлиники. Последняя перепись проводилась в 2002 году - я тогда по-честному "переписался" по телефону, и хоть годы были не "кризисные", с тех пор в нашем городе не появилось ни одного детского сада, детской поликлиники или школы - зато детей (и соответствующих проблем) прибавилось существенно. Ну и в третьих - мне просто неприятно пускать к себе домой совершенно посторонних людей и рассказывать им про себя в течение 15 минут.

Смущает еще вот что. По данным новостных агентств, в переписи населения по всей России примут участие 600000 волонтеров. Каждый из них получит зарплату в 5500 рублей. По утверждению руководителя Росстата А.Суринова, затраты на зарплату этим работникам составляют 66% всей сметы. Нехитрым расчетом получаем сумму в размере 3 млрд 300 млн рублей, стало быть вся смета переписи -  5 млрд рублей. Правда, я не учел еще инструкторов и руководителей переписных участков - на них отведем еще миллиард. Еще один - на прочий персонал. Однако, как известно, весь бюджет переписи составляет 17 млрд рублей. Возникает вопрос: куда ушли остальные 10 миллиардов?

среда, 13 октября 2010 г.

Конклюдентное несогласие


В сентябре месяце, когда шел очередной раунд активных баталий уважаемых специалистов по многим животрепещущим темам, автор этого блога решил обратиться к регулятору с вопросом об одной весьма и весьма спорной проблеме - получение согласия оператором на обработку персональных данных субъекта ПДн:

Добрый день, уважаемые коллеги!

Возник вопрос в отношении различных форм согласия и возможности использования их в рамках требований 152-ФЗ. Как известно, гражданским кодексом, помимо письменной формы договора предусмотрено еще 2 формы: "устная" (то есть когда какие-либо действия в рамках гражданско-правовых отношений осуществляются сторонами на основании устных договоренностей) и "конклюдентная" (когда действия осуществляются на основании т.н. "молчаливого" согласия - при этом сторона выражает договорные намерения своими действиями).

Некоторые юристы склонны полагать, что согласие на обработку ПДн между субъектом и оператором определено 152-ФЗ и является "наследником" понятия "договор" ГК. Общим условием обработки ПДн является согласие на это субъекта ПДн. В ч.1 ст.9 ФЗ 152 сказано, что субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку своей волей и в своем интересе. При этом ФЗ 152 предусматривает семь случаев, когда такое согласие должно быть выражено в письменной форме:

1. Включение ПДн в общедоступные источники ПДн (ч.1 ст.8);
2. Когда в случае недееспособности субъекта ПДн согласие на обработку его ПДн дает его законный представитель (ч.6 ст.9);
3. Когда в случае смерти субъекта ПДн согласие на обработку его ПДн дают его наследники, если такое согласие не было дано субъектом ПДн при жизни (ч.7 ст.9);
4. Для обработки специальных категорий ПДн (п.1 ч.2 ст.10);
5. Для обработки биометрических ПДн (ч.1 ст.11);
6. При трансграничной передаче ПДн на территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов ПДн, если такая передача не относится к тем предусмотренным Законом случаям, когда она может осуществляться без согласия субъекта ПДн (п.1 ч.3 ст.12);
7. В случаях, когда на основании исключительно автоматизированной обработки ПДн субъекта может быть принято решение, порождающее юридические последствия в отношении него или иным образом затрагивающее его права и законные интересы, если возможность принятия такого решения не предусмотрена федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

Некоторые специалисты склонны полагать, что если случай не подпадает под эти требования, то, соответственно, письменное согласие получать нет необходимости, но поскольку оно должно быть обязательно, то может быть выражено в устной или конклюдентной форме. Например, как мы видим, в списке нет "передачи третьим лицам". Более того, раз закон устанавливает жесткие требования только к содержанию письменного согласия, то устное или конклюдентное согласие могут быть вообще любыми. Вопрос 1: каково Ваше мнение по указанной выше позиции?

Далее. 152-ФЗ возлагает обазанность доказания получения согласия субъекта (в любой форме) на оператора. С письменным согласием - все понятно: показал документ установленной формы - доказал согласие. Вопрос 2: как быть с доказательствами иных форм, если они приемлемы? Какие доказательства для этих форм Вы примете?

Заранее благодарю Вас за ответ.

----
Алексей Волков,
Старший преподаватель
Институт менеджмента и информационных технологий
Череповецкого государственного университета

И вот сегодня мной был получен следующий ответ:


Такая вот логика. Без договора нет ни устного, ни конклюдентного согласия, а с договором оно и не требуется.

Как всегда, благодарю коллег из Роскомнадзора, а от community жду комментариев. Что делать будем, товарищи? Чем возразим?

суббота, 9 октября 2010 г.

Хорошо, не забытое - старое!


8 октября 2010 года Государственная дума приняла в первом чтении законопроект "О лицензировании отдельных видов деятельности". Автор проекта - Минэкономразвития -  предлагает упростить нынешний обременительный для бизнеса порядок выдачи лицензий: число видов деятельности, требующих их получения, сократится, а сами лицензии при этом станут бессрочными. Число видов бизнеса, требующих лицензий, сокращается с 80 до 49. При этом по семи видам речь идет об их полной отмене за счет перехода к уведомительному порядку начала деятельности. Бизнесу гарантируется бесплатность процедур лицензирования (за исключением уплаты госпошлины).

Что касается наших с Вами барановэтих тоже), дорогие читатели, то здесь, увы, ничего не изменится: цитируя часть 1 статьи 9 Законопроекта, можно только разочарованно вздохнуть:

В соответствии с настоящим Федеральным законом, лицензированию подлежат следующие виды деятельности:

   1) разработка, производство, реализация и техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, а также выполнение работ (оказание услуг) в области шифрования информации;
   2) разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации;
   3) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации;
   4) разработка и производство средств защиты конфиденциальной информации;
   5) деятельность по технической защите конфиденциальной информации

Тем не менее, есть и хорошие новости. Оппонентам, уверенно утверждавшим, что закон этот не имеет отношения к Гражданскому кодексу, а сам ГК перед ним не имеет никаких преимуществ, рекомендую обратиться к этой статье:

Статья 4. Законодательство Российской Федерации о лицензировании

Законодательство Российской Федерации о лицензировании основывается на положениях Конституции Российской Федерации, Гражданского кодекса Российской Федерации и состоит из настоящего Федерального закона, федеральных законов, регулирующих отношения в отдельных сферах деятельности, и принимаемых в соответствии с ними нормативных правовых актов Российской Федерации.

Таким образом, мы имеем еще одно подтверждение того, что ГК является документом, имеющим бОльшую юридическую силу, и стало быть, согласно ГК, термин "деятельность" эквивалентен термину "предпринимательская деятельность", со всеми вытекающими...

суббота, 2 октября 2010 г.

Письма. Лично. На почту.


В одном из моих любимых фильмов "Неприкасаемые" ("The Untouchables"), герой Роберта де Ниро, Аль Капоне, сказал замечательную фразу: "В квартале, где я вырос, говорили - добрым словом и пистолетом можно достичь гораздо больше, чем просто добрым словом." Мы с вами живем в стране, применительно к которой можно, перефразировав это выражение, сказать: матерным словом и автоматом можно достичь гораздо больше, чем просто матерным словом. Справедливость этого утверждения с успехом подтвердили сотрудники Федеральной службы судебных приставов (ФССП) во время проведения операции против "недружественного" и "опасного объекта" - одного из московских отделений ФГУП "Почта России", расположенного на Малой Грузинской улице.

Началось все с того, что 29 сентября, около 10 часов утра, в отделение Почты России ступила нога заместителя начальника межрайонного отдела ФССП, первым делом попросившего зарегистрировать некое ценное письмо и проставить на нем штемпель от 24 сентября. Сотрудники почты, по понятным причинам, ему отказали, и тогда началось самое интересное.

В ультимативной форме зам. начальника ФССП потребовал выдать ему документ с наличием оттиска календарного штемпеля почтового отделения, но уже от 24 июля 2010 года, а также списка операторов почтовой связи, работавших в отделении в этот день, и сообщить сведения о всей корреспонденции, которая отсылалась через почтовое отделение в адрес одного из банков, и подкрепил свое требование официальным письменным запросом. Сотрудницы вызвали заведующую отделением, которая уведомила его, что некоторые из запрашиваемых им данных охраняются законами "О персональных данных" и "О почтовой связи", и их предоставление возможно только по решению суда, а остальная информация будет предоставлена руководством межрайонного почтамта в соответствии с законом, в течение нескольких дней.

По рассказу заведующей отделением, реакция ФССП-шника оказалась абсолютно неадекватной. Он стал стучать кулаком по стойке, орать и материться, а потом вызвал наряд милиции. Милиционеры, выслушав заведующую, удалились, предварительно объяснив приставу, что не могут оказать ему содействия в проникновении в помещения почты, где находится особо охраняемая законом личная корреспонденция граждан. И тогда начались маски-шоу.

"Огромные жлобы с автоматами перепрыгнули через стойку с криками "Всем оставаться на местах! Не сопротивляться!". Автоматчики разбрелись по всей почте, везде рылись, сломали несколько абонентских ящиков клиентов" - рассказывает газете "Коммерсант" заведующая отделением.  Прекратить противоправные действия сотрудников ФССП удалось только с приездом представителей службы безопасности "Почты России", которые потребовали объяснений, на каком основании судебные приставы вторглись в служебные помещения почты. На это был дан ответ о проведении проверки, но никаких документов, подтверждающих ее правомочность, представлено не было.

В официальном заявлении ФССП сказано, что "сотрудники отделения почтовой связи как минимум фантазируют на тему бандитизма судебных приставов, как максимум вводят в заблуждение". На почту приставы прибыли для проверки достоверности факта отправления документа через данное почтовое отделение. Все действия совершались в рамках требований закона "Об исполнительном производстве".

Но самое главное не это, а то, что сотрудники почты - как правило, молодые девушки и женщины (далее выдержки из официального заявления) "отказавшись в нецензурной форме предъявлять приставам какие-либо документы, оскорбляя судебных приставов бранными словами, почтальоны начали вести себя неадекватно, забаррикадировались в отделении почтовой связи. Судебным приставам просто пришлось прибегнуть к помощи группы быстрого реагирования",— сообщила руководитель пресс-службы московского управления ФССП. По ее словам, "по факту оскорбления и оказания судебным приставам противодействия в отношении сотрудниц почтового отделения, судебными приставами были составлены протоколы об административном правонарушении по статье 17.14 КоАП РФ ("Нарушение законодательства об исполнительном производстве"). Протоколы были направлены в суд, который должен дать оценку действиям сотрудников почты.

Не знаю, дорогие читатели, как у вас, но лично у меня картина, в которой девушки при виде ФССПшников сначала грубо матерятся, потом выгоняют их из отделения и баррикадируют двери, да так, что приходится вызывать автоматчиков, в голове совсем не укладывается. Я полагаю, не укладывается она и в головах того наряда милиции, что приезжал на вызов, хотя из журнала дежурной службы УВД его, скорее всего, изымут. И тогда сотрудницы почты в глазах суда обязательно будут выглядеть как социально опасные элементы, требующие незамедлительной изоляции от общества.

А Вы кому верите?

четверг, 16 сентября 2010 г.

Как обойти DeviceLock, или еще раз о пользе тестирования


Один мой институтский дипломник решил взять тему "внедрение системы контроля съемных носителей на предприятии". Проводя исследование проблематики вопроса, встал перед выбором программного продукта для технической реализации поставленной задачи и решил остановиться на ПО под названием DeviceLock компании SmartLine: продукт известнейший и обладающий массой регалий, включая всевозможные сертификаты (в том числе и ФСТЭК). Как полагается, развернул тестовую мини-лабораторию из 4 машин (три клиентских с разными версиями ОС Windows, одна - сервер управления), и скачал с сайта демонстрационную версию. Потратив время на изучение достаточно толстого мануала, начал разбираться в настройках, "развернул" ПО на всех четырех машинах и начал понемногу тестировать.

И вроде бы все работало хорошо: на стареньких машинах с Windows XP блокировались и принтеры, и флешки, и сидиромы, и весь остальной функционал проходил "на ура". Однако все резко изменилось, когда дело дошло до более мощной машины с Windows 7. При подключении к ней коммуникатора с Windows Mobile "на борту" система никаким образом не реагировала и свободно давала возможность подключить, синхронизировать контент, получить доступ к памяти устройства и даже запустить Internet Sharing. При этом, на других машинах с аналогичными устройствами, синхронизация и Internet Sharing тоже работали, однако доступ к внутренней памяти был заблокирован. Что он только не делал: и переустанавливал софт, и сто раз перепроверял настройки - бесполезно. Параллельно выяснилось, что доступ к принтеру на W7 ПО также не блокировало. И наконец, настало время обратиться в техподдержку...

Относительно недолго пробиваясь сквозь support1, просившей файлы с настройками и проверявшей ключи в реестре, проблема была передана на support2, приславшей ключ, разрешавший сбор логов. Дипломник провел еще несколько экспериментов, и эти логи были отправлены разработчику. Тот соображал несколько дольше, и, наконец, последовал ответ техподдержки:

Дело в том, что для корректной работы функции контроля, которая внедряется в приложения, работающие с такими устройствами как iPhone, WinMobile, Palm, Printers, Blackberry, требуется хотя бы 5 секунд после запуска приложения. Допустим, открыв документ WORD и сразу же отправив его на печать, при закрытом доступе для Всех печать пройдет и в аудит логе ничего не отобразится. Но если открыть документ и подождать5-7 секунд перед отправкой на печать, то печать запретится. То же самое и с WinMobile: если WMDC довольно таки быстро запускает все свои сервисы и начинает синхронизацию, то она проходит, если немного замедляется, то инжект успевает перехватить действия. В будущей новой версии задействован уже новый механизм контроля, благодаря которому такая проблема решится. Сейчас же, когда ожидается выход новой версии (7.0) кардинально изменять код под 6.4.1 не имеет смысла, на это уйдет еще больше времени, чем подождать когда выйдет 7.0.

На резонное замечание о том, что во-первых, как заставить пользователей "подождать 5-7 секунд перед печатью после запуска приложения" (на практике Windows Mobile не блокировался и через минуту, и через пять), и, во-вторых, как такой "баг" позволил получить сертификат ФСТЭК, или сертифицированная версия чем-то отличается он несертифицированной, было отвечено пожиманием плечами и словами о том, что "поиск багов и глюков в продукте процедура сертификации не включает".

Так что, уважаемые коллеги, внимательно относитесь к процедуре тестирования любого ПО перед принятием решения о его использовании. Сторонникам "сертифицированного" ПО, мне кажется, также стоит несколько пересмотреть свои взгляды...

среда, 15 сентября 2010 г.

Чей Wi-Fi? Пройдемте...


Беспроводные технологии многие считают технологиями будущего, однако уже сейчас они успешно используются в быту: сотовый телефон или модем, ноутбук с "вай-фай", "блютуз"-гарнитура - всем этим пользуется очень и очень много людей, и даже если не пользуется, то слышали уж точно.  "Познай неограниченную свободу без проводов!" - под таким лозунгом беспроводные технологии внедряются сейчас во все мыслимое и немыслимое - даже в холодильники и телевизоры, и они действительно вносят комфорт в нашу и без того напряженную жизнь. Однако государство "неограниченную свободу" населению давать не спешит, и даже в этой казалось бы простой и понятной всем сфере вносит свои, пусть небольшие, но все же коррективы.

На сайте Роскомнадзора можно обнаружить следующее:

В соответствии с п.2 ст.22 Федерального закона от 07.07.2003 №126-ФЗ "О связи" оборудование радиодоступа диапазона 2400-2483,5 МГц подлежит регистрации. Исключение составляют оконечные (пользовательские) радиоэлектронные средства указанного диапазона с мощностью не более 100мВт (ноутбуки, сотовые телефоны с модулями Wi-Fi, Bluetooth и т.п.) (см.п.16 ППРФ от 12.10.2004 №539 "О порядке регистрации радиоэлектронных средств").

У многих, очень многих людей в квартире, коттедже, загородном доме развернута "домашняя сеть" с применением технологии Wi-Fi. Удобно и легко, а главное - дешево. Однако пользоваться такой сетью просто так нельзя: оказывается, согласно того же сайта Роскомнадзора,

Точки беспроводного радиодоступа, используемые владельцами радиоэлектронных средств для организации беспроводных сетей передачи данных, не являются оконечными устройствами и подлежат регистрации в органах Роскомнадзора.

Сегодня я посетил сайт Роскомнадзора с целью полюбопытствовать относительно того, что же необходимо сделать для регистрации точки доступа физическому лицу. И вначале был приятно удивлен: можно заполнить заявление прямо на сайте, распечатать его и отправить регулятору. На первый взгляд, заявление не выразило никаких вопросов. До тех пор, пока я не "ткнул" в поле "Список РЭС"...
 
Итак, для того, чтобы физическому лицу зарегистрировать имеющуюся в квартире точку доступа, помимо собственных персональных данных необходимо указать:
 
  1. Тип и наименование РЭС (ну, с этим понятно - на сайте тип один, и есть даже перечень, однако своей точки доступа ASUS WL-530gV2 я там не нашел);
  2. Заводской номер и условия эксплуатации (тоже вробе без проблем)
  3. Адрес места установки (ясно), желательно - географические координаты (ширина и долгота - без GPS не получить);
  4. Мощность на выходе передатчика радиоэлектронного средства (мощность высокочастотного устройства), Вт, либо эффективная изотропно излучаемая мощность радиоэлектронного средства, дБВт. В спецификациях на устройство указана излучаемая мощность 12-15 dBm - в переводе на русский дБмВт, что равно 0,012-0,015 дБВт. Порядок.
  5. Классы излучения 15M0G7D, 1M00F7D, 20M0G7D или "иное". Вот тут я "впал в ступор": единственное, что было в руководстве - это Operating Frequency (рабочая частота), Data Rate (скорость передачи данных) и Range (дальность связи) - но к классам излучения это не имеет отношения. Погуглил - не нашел ничего. Вопрос так и остался открытым.
  6. Идентификационный номер РЭС в сети связи - MAC адрес точки доступа, можно отыскать.
  7. Идентификационный номер сети связи - эммммм...?
  8. Тип антенны - специализированная или интегрированная - тоже непонятно: "интегрированная" - это встроенная или "шедшая в комплекте"? Скорее всего первое, да и антенна "накручивается" на разъем - стало быть "специализированная". Однако характеристик ее в руководстве нет, а стало быть - указать нечего.
В общем, с первой попытки, что называется, "с кондачка", физическому лицу заявление о регистрации не заполнить, а значит - придется обращаться к регулятору за разъяснениями.

Указанный "анонс" о регистрации был размещен на сайте Роскомнадзора в октябре 2009 года. Сегодня я обзвонил своих знакомых - владельцев Wi-Fi - и зашел в пару компьютерных магазинов. Ни один из моих знакомых не то что зарегистрировался - даже не знал о такой необходимости, а продавцы-консультанты в магазинах компьютерной техники делали круглые глаза при слове "Роскомнадзор". Так что последнему, очевидно, есть еще над чем работать, но вот ради чего - мне так и не понятно. Может, из читателей кто объяснит...

суббота, 11 сентября 2010 г.

Письма лично на почту? Да ну...


Сегодня анонимный читатель этого блога (друзья, пожалуйста, подписывайтесь - это занимает не очень много времени, но позволяет мне хотя бы сказать "необезличенное" "спасибо"), в продолжение темы "Письма лично на почту ношу..." прислал ссылку на очень интересную статью под названием "Собственные нужды оператора ПДн - миф или реальность?".
Размещена она на сайте fz152.ru, принадлежащем некоей организации "Ассоциация "Электронные системы" ООО "Научно-исследовательский центр "ФОРС", автор произведения - директор по развитию этого ООО, господин Шмелев Павел Владимирович.

Честно говоря, я не раз читал и слышал массу всяческих доводов в пользу необходимости и обязательности получения лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ), однако такого развернутого, масштабного и исчерпывающего объяснения мне встречать еще не доводилось. Творение, безусловно, заслуживает полного прочтения, что я и сделал - от корки до корки. А потому могу позволить себе высказать свои комментарии по поводу прочитанного.

Начнем с названия и привязки. Красной нитью в статье проходит мысль о том, что "собственные нужды" и "защита персональных данных" - вещи несовместимые. И это действительно так. Оператор, защищая персональные данные граждан, по идее действует не в своих интересах - а в интересах самих граждан. Но это только по идее. На самом деле граждане - вторичны, первично же - желание "не подставиться" перед регуляторами, а для этого необходимо соблюдать и ФЗ, и ПП и все остальное, что перечислено в статье.

Также не будем забывать, что логическая цепочка "Гражданский кодекс" - "128-ФЗ" является де-юро незыблемой, а это значит, что выражение "деятельность" в рамках лицензирования эквивалентно термину "предпринимательская деятельность". И это правда: ведь лицензия выдается именно на "деятельность", и поэтому ФСТЭК заставляет потенциального лицензиата внести в учредительные документы изменения, дающие последнему право такой деятельностью заниматься и, теоретически, извлекать из нее прибыль. Однако ни о ГК, ни о "деятельности" согласно ГК в статье вообще не упоминается и, следуя приведенной в статье логике, все без исключения операторы (включая некоммерческие организации и государственные учреждения) просто обязаны получать лицензию. Автор, очевидно, полагает, что все операторы осуществляют "деятельность", направленную не на извлечение прибыли, а на соблюдение законодательства.

Пропуская длиииииинное "бла-бла-бла" про "собственные нужды" (хотя много что заслуживает отдельного поста), я позволю себе остановиться на этом предложении:

Оппонентам, оставшимся после прочтения этой статьи при своей точке зрения, хотелось бы порекомендовать пойти чуть дальше в своих умозаключениях, раскрыв понятие «собственные нужды» в терминах действующего законодательства и с учетом положений ФЗ 152.

Уважаемый Павел Владимирович! Я, безусловно, отношусь к любому труду с уважением.  Учитывая то, что Ваша организация занимается услугами в области защиты ПДн, и то, что получить лицензию простому желающему, самостоятельно, без посредников и "блата", весьма проблематично и ОЧЕНЬ дорого, Вы, публикуя такого рода материалы, отлично справляетесь со своим функционалом!

Однако, потратив время на прочтение, я остался при своей точке зрения, в силу, очевидно, "недалекого ума". Свои "недальновидные умозаключения" по поводу неправильности выбора вектора и смещения его от понятия "деятельность" к понятию "собственные нужды" я уже сделал. Позволю себе еще парочку. Фразы, предваряющие указанное выше предложение, выглядят совершенно чудесным образом:

Осмысление проблем, стоящих перед бизнесом в свете требований ФЗ 152 приводит к выводу о необходимости соблюдения баланса между интересами личности и интересами бизнеса. Введение отраслевых стандартов (а, в дальнейшем, вероятно, и института саморегулирования) в этой сфере - есть эффективный инструмент достижения этой цели. В то же время, несмотря на очевидный антагонизм прав личности и потребностей бизнеса, такие документы, бесспорно, обязаны учитывать не только «нужды» членов отрасли. В первую очередь они должны учитывать интересы личности.

Судя по всему, автор всерьез полагает, что наличие весьма дорогостоящей лицензии ТЗКИ у оператора дает гражданину - субъекту ПДн - возможность чувствовать себя как "у Христа за пазухой", передавая тому свои персональные данные? Или что владелец небольшого фотосалона с 5 сотрудниками и 300-ми клиентами сможет осилить полтора миллиона за лицензию плюсом к стартовому капиталу в 200 тысяч рублей за весь фотосалон? Вряд ли. Лицензия ТЗКИ ровным счетом ничего не дает субъекту, и отнимает средства у без того небогатых операторов в пользу государственных органов, которые, как показывает практика, и являются главными источниками утечек персональных данных граждан. Автору можно порекомендовать зайти на рынок, купить базу данных ГИБДД, отыскать там себя и обратиться в суд с иском против ГИБДД. Как вы думаете - отсудит ли что-нибудь автор в качестве компенсации морального ущерба? Вопрос риторический. И таким он останется даже в том случае, если ГИБДД получит лицензию ФСТЭК на ТЗКИ (прости Господи) - согласно дальновидных умозаключений автора, "гаишники" просто обязаны это сделать.

Всему виной терминологическая путаница: стоило назвать 128-ФЗ "О лицензировании отдельных видов ПРЕДПРИНИМАТЕЛЬСКОЙ деятельности" - вопросов бы ни у кого не возникло. Вряд ли кто-то из уважаемых экспертов сочтет мероприятия, связанные с защитой оператором ПДн субъектов, "предпринимательской деятельностью" - в противном случае все без исключения операторы, в том числе и ГИБДД, являются "предпринимателями" со всеми вытекающими. Однако эти нюансы исправлять никто не спешит - наоборот, постоянно идет "подогрев" общественного сознания - а значит, это кому-то выгодно. Поэтому, ни о каком балансе и ни о каких интересах личности говорить, увы, не приходится. Ну а для ООО, топ-менеждером которого является автор обсуждаемого материала, эта тема - хлеб, поэтому, как говорится, приятного ему аппетита!

PS. Всем, кому интересна еще одна тема - про казуистику российского законодательства в области автоматизированной и неавтоматизированной обработки ПДн - очень рекомендую зайти сюда.

понедельник, 23 августа 2010 г.

Так где же все-таки взять текст 330-го постановления правительства?!


Я много чего мог бы написать в этом посте, однако промолчу. Вместо этого - покажу вам, дорогие читатели, ответ на запрос во ФСТЭК по поводу получения копии пресловутого 330-го постановления правительства РФ. Внимание, в студию:


Оказывается, ФСТЭК обеспечением организаций этим документом НЕ ЗАНИМАЕТСЯ! Чудеса... А вопрос остается открытым.

вторник, 10 августа 2010 г.

Совместное исследование


После выхода статьи на CNews мы с Евгением Царевым получали всякие комментарии. В том числе и такие (цитата):

"...очень ждал в вашей статье описания того, как конкретные проблемы неточностей и двусмысмленностей нашего ФЗ (например, обсуждаемые на fz-152.org) уже решены в странах, где законодательство в области ПДн, гораздо умудреннее в годах. Не нашел ..."

Посидели мы с коллегами - toparenko и Евгением Царевым, подумали - а тема-то и вправду интересная, особенно в преддверии предстоящего второго чтения законопроекта Резника. И придумали написать что-нибудь по этому поводу - раз читателям интересно. Скажу больше - "проблемы неточностей и двусмысленностей нашего ФЗ" будущие читатели могут сформулировать сами: для этого достаточно зайти на Блог Евгения Царева и оставить там "след" в специальном опросе.

Всем, кому интересно поучаствовать - добро пожаловать!

понедельник, 9 августа 2010 г.

Пора менять вывеску


На сайте zakonoproekt2010.ru началось обсуждение проекта закона "О полиции". По мнению издания "Коммерсант", если он будет принят в его нынешнем виде, то в стране уже в следующем году появится фактически новый правоохранительный орган. Его сотрудники получат довольно широкие полномочия, в том числе на проникновение в жилище со взломом замков в любое время суток, беспрепятственное ознакомление с необходимыми документами в организациях и внесение представлений в органы госвласти, что ранее было закреплено за прокуратурой. При этом полицейские не смогут критиковать свое руководство и окажутся под сомнительным общественным контролем.

Б.Грызлов, комментируя начавшиеся общественные слушания, заявил: "нам вместе предстоит определить, какие именно новые права, обязанности, гарантии и меры ответственности обретут силу закона в рамках реформы МВД, какое правосознание и какой уровень профессиональной подготовки должны быть у людей, работающих в этой системе. И уже сегодня нужно попытаться спрогнозировать, как все принимаемые меры в конечном итоге отразятся на взаимоотношениях и на взаимном доверии общества и органов правопорядка. Для этого сейчас и готовится базовый законопроект - не в кулуарах, а в атмосфере открытой дискуссии. Только за первые сутки начатой в сети Интернет дискуссии поступило более 1,5 тыс. комментариев. Могу пообещать, что высказанные мнения не будут "похоронены" в папках - ни в столах, ни в компьютерах. Парламентское большинство обеспечит, чтобы все конструктивные пожелания и идеи были учтены..."

Я очень надеюсь, что общественные слушания этого законопроекта будут проходить активнее, чем откровенно вялотекущие общественные слушания другого, известного всем операторам и иже с ними законопроекта "О персональных данных". И дай Бог, чтобы слова господина Грызлова не оказались очередным громким, но пустым звуком, теряющимся в лабиринтах огромной денежной массы...

ЗЫ Комментариев реально много - я проверял. Почитать тоже есть что интересного...

пятница, 6 августа 2010 г.

Неавтоматизированная обработка: точка или многоточие?


Мой хороший знакомый Kostik, главный администратор сайта mmite.3dn.ru (на котором я иногда модерирую :), вчера получил ответ на письмо, отправленное им на e-mail территориального управления Роскомнадзора. Ответ этот очень обрадовал форумчан, поэтому публикую его здесь:

Вопрос:

От: Kostik
Отправлено: 5 августа 2010 г. 16:41
Кому: Канцелярия ТУ_ВологодскаяОбл_35
Тема: Неавтоматизированная обработка ПДн и архивное дело

Здравствуйте,

Не могли бы вы пролить свет, на несколько вопросов, связанных с защитой персональных данных:

1. Можно ли признать распечатку договоров и отчетов на ПК не автоматизированной обработкой ссылаясь на определение закона: Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
P.S. Сведения заносятся в документ формата *.doc, который впоследствии распечатывается (без использования БД). Все действия выполняются на изолированном от локальной сети ПК.
2. Вопрос по архивному делу: в администрации имеется архивный отдел. Действие 125-ФЗ не распространяется на "отношения, возникающие при: организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации"; но в архивном отделе есть база, в которой есть ПДн граждан обратившихся в архив за справкой Архивные запросы, т.е. регистрируются все запросы и ответы в архиве. Нужно ли оформлять все документы на эту ИСПДн? или закон на нее не распространяется?

Ответ:

Добрый день.

По первому вопросу- это неавтоматизированная обработка.
По второму вопросу: можно относить это к архивному делу.
Позиция ФСТЭК по этому вопросу не известна, поэтому как они будут смотреть на этот вопрос не ясно.

Управление Роскомнадзора по Вологодской области, (8172)54-89-20 rsockanc35@rsoc.ru

Что положительного - так это то, что Роскомнадзор ОТВЕЧАЕТ на вопросы, посланные по электронной почте (и достаточно быстро), чего, к сожалению, пока нельзя сказать о ФСТЭК. Ключевая фраза ответа РКН выделена жирным шрифтом. Получается, что раз РКН не считает указанные случаи автоматизированной обработкой, то они находятся в его юрисдикции. Однако предупреждает, что может приехать ФСТЭК и точно так же станет все это проверять, потому как может признать такую обработку автоматизированной (с использованием средств автоматизации): по мнению ФСТЭК, персональный компьютер, установленный на рабочем месте, именно таким средством и является.

Что ж, главный вывод таков: до тех пор, пока ведомства не договорятся о разделе полномочий и не выработают единое консолидированное мнение, у операторов есть все шансы, что такие "пограничные" вопросы будет проверять и Роскомнадзор, и ФСТЭК.