четверг, 29 июля 2010 г.

Российские проблемы защиты ПДн - на международный уровень!


26 июля Роскомнадзор на своем сайте разместил анонс о том, что он проведет 26-28 октября в Москве I Международную конференцию «Защита персональных данных» с участием представителей заинтересованных ведомств, общественных организаций, профессиональных сообществ, а также уполномоченных органов из стран СНГ. В совещании, прошедшем под председательством заместителя руководителя Роскомнадзора, приняли участие представители Госдумы, Минкомсвязи, ФСБ, ФСТЭК, Ассоциации российских банков, Ассоциации защиты информации.

По заверениям Роскомнадзора, предстоящая конференция – первое масштабное мероприятие, организуемое российской стороной с приглашением представителей уполномоченных органов по защите персональных данных государств – членов СНГ, либо органов государственной власти, которые выполняют эти функции в странах Содружества.

Пока не понятно, как простым смертным туда можно попасть, и можно ли будет попасть вообще, но само намерение, безусловно, благое. Правда, мне не очень ясны цели проведения этой конференции, поскольку я не читал ни одной новосит о том, что в какой-нибудь из стран СНГ принимали какие-либо законодательные акты по вопросам защиты персональных данных. Видимо, Росмкомнадзор желает сподвигнуть партнеров ускорить эту работу и, очевидно, предложить использовать российскую нормативную базу в качестве шаблона.

ЗЫ. На картинке кадр из фильма Марка Захарова "12 стульев": Остап Бендер в Васюках провозглашает "межпланетный шахматный турнир". Как известно, потом его будут бить. Ногами... :)

Жесткая профилактика


Уже совсем скоро ФСБ сможет официально выносить предостережения физическому лицу о недопустимости действий, создающих условия для совершения преступлений, и штрафовать и сажать на 15 суток за неповиновение требованиям. По сообщению РБК, сегодня президент РФ подписал подписал закон об увеличении полномочий ФСБ.

В соответствии с ним, закон "О федеральной службе безопасности" дополняется новой статьей "Применение органами Федеральной службы безопасности мер профилактики", определяющей, что руководитель органа ФСБ России или его заместитель, уполномоченные объявлять официальное предостережение, в течение 10 дней после получения сведений о совершении физическим лицом указанных действий по результатам проверки этих сведений принимают решение об объявлении официального предостережения. Не позднее чем через пять дней со дня принятия этого решения официальное предостережение направляется или вручается физическому лицу. При этом такое предостережение может быть обжаловано в суде.

Кодекс об административных правонарушениях дополняется нормой об административной ответственности за неповиновение законному распоряжению или требованию сотрудника органов ФСБ в связи с исполнением им служебных обязанностей, а равно воспрепятствование исполнению им служебных обязанностей (за исключением случаев применения в отношении граждан мер профилактики). Такое правонарушение влечет наложение штрафа на граждан в размере от 500 до 1 тыс. руб. или административный арест на срок до 15 суток, для должностных лиц предусмотрен штраф в размере от 1 тыс. до 3 тыс. руб., для юридических - от 10 до 50 тыс. руб.

Мне лично интересно, если, например, кто-нибудь не использует сертифицированных средств криптографической защиты информации для защиты персональных данных - являются ли такие действия создающими условия для преступлений против субъекта ПДн (например, кража имущества субъекта ПДн в результате перехвата ПДн о его адресе проживания, доходах и материальном положении, передаваемых по публичным каналам связи без использования СКЗИ) ?

среда, 28 июля 2010 г.

Защита персональных данных: пригодится ли нам британский опыт?


Спешу поделиться радостью: сегодня в интернет-издании CNEWS был опубликован результат нашего с Евгением Царевым совместного творчества: статья под названием "Защита персональных данных: пригодится ли нам британский опыт?" В ней мы рассказываем о результатах анализа выпущенного BSI Group в 2009 году британского стандарта BS10012:2009 "Защита данных – Спецификация системы управления персональными данными" на предмет соответствия его российскому законодательству и даем оценку возможности его применения отечественными операторами персональных данных. Не смотря на то, что первоначальный вариант статьи был несколько урезан для публикации, полную авторскую версию статьи можно скачать здесь. Ваши комментарии, дорогие читатели, оставляйте на наших блогах - с удовольствием выслушаем ваши мысли о материале, в том числе и мнения типа "фтопку" :)

Отмечу, что совместная работа с Евгением над материалом далась нам легко и непринужденно: так, шутками-прибаутками, материал был готов еще в июне - гораздо больше времени ушло на работу с редактурой, но оно, конечно, того стоило. Евгению - большой, огромный просто "респект-уважуха", и от меня ему - подарок (размещен на его блоге в аналогичном анонсе). Сам себе и вам, дорогие друзья, желаю, чтобы любая работа делалась так же легко и с удовольствием, как писалась эта статья, ну и таких же плодотворных творческих союзов!

вторник, 27 июля 2010 г.

Продолжатели дела Маркуса Вольфа


Не прошло и двух недель с момента завершения шпионского скандала в США, как разгорелся очередной шпионский скандал с участием сотрудников российских спецслужб, на этот раз в Чехии. Сегодня чешские СМИ сообщили о раскрытии Военной разведкой Чехии деятельности российского разведчика, охотившегося на военные секреты страны. По данным чешских газет, российская разведка больше всего интересуется вооружением чешской армии и, что наиболее примечательно, крупными контрактами вроде достройки АЭС "Темелин".

По сообщению РБК, российский агент работал психологом одного из государственных ведомств Чехии, перед разоблачением ему удалось сбежать в Россию. Из-за скандала из чешской армии были уволены три высокопоставленных военачальника: руководитель Военной канцелярии президента Чехии, военный представитель Чехии при Высшем командовании НАТО в Европе и первый заместитель начальника генштаба страны.

Самое интересное, что разведчик получал важнейшую информацию о военных секретах через свою близкую знакомую - майора армии Чехии, которая работала руководителем канцелярии трех высокопоставленных генералов чешской армии. В данном случае, очевидно, была использована проверенная и практически стопроцентно эффективная методика генерала Маркуса Вольфа: в окружении каждого высокопоставленного чиновника, владеющего государственными секретами, есть женщина (секретарша, уборщица, любовница или жена), слабостями которой можно воспользоваться.

Давно известно, что самым уязвимым звеном любой наисовершеннейшей системы безопасности является человек. Господин Вольф знал это как никто другой, и самое главное, сумел возвести методику добывания разведданных путем воздействия на наиболее уязвимые элементы прекрасной половины человечества в степень искусства (статья о нем есть даже на сайте СВР).

Наш "ответ Чемберлену"


В воскресенье, 25 июля, на ресурсе WikiLeaks были опубликованы 91 000 секретных документов Пентагона, относящихся к периоду с января 2004 г. до конца 2009 г., и, по заявлению ресурса, в ближайшее время будет опубликовано еще 15 000 документов и отчетов. Большая часть опубликованных документов — первичные и вторичные отчеты с мест боевых действий. Администрации президента США пришлось признать подлинность этих документов, хотя там и осудили интернет-издание за их публикацию, а также отметили, что большинство из них относится ко времени правления Джорджа Буша.

На фоне недавно завершившегося шпионского скандала между США и Россией эта "утечка" выглядит весьма выигрышно: поскольку все без исключения критиковали "бригаду российских нелегалов" за добывание разведданных в Интернете, WikiLeaks наглядно продемонстрировал критикам, что в этом самом Интернете можно отыскать. Конечно, вряд ли у WikiLeaks имеется собственная шпионская сеть, добывающая подобные документы и публикующая их (эдакие Робин Гуды шпионажа), поэтому ресурсу WikiLeaks кто-то помог... ;-)

понедельник, 26 июля 2010 г.

Защита персональных данных и обязательное медицинское страхование


Один хороший знакомый поведал о том, что в середине июля различные организации стали получать от страховой компании, предоставляющей услуги обязательного и добровольного медицинского страхования, письма следующего содержания:


Озадаченные специалисты кадровых служб организаций-работодателей, обязанных страховать своих сотрудников в соответствии с Федеральным законом "О медицинском страховании граждан в Российской Федерации" от 28 июня 1991 года № 1499-1, при посещении этой страховой компании, получали на руки заполненный и готовый для подписания пакет документов, состоящий из собственно договора:

и приложения к нему:

Поскольку коллеги просят высказать комментарии по этому вопросу, ниже я изложу свои, а вам, уважаемые читатели, предлагаю присоединиться.

По поводу письма. В терминологии Федерального Закона "О персональных данных" № 152-ФЗ оператором персональных данных своих сотрудников, подлежащих обязательному медицинскому страхованию, является организация-работодатель (в договоре - Страхователь), он же и обязан получать согласие обработку персональных данных и передачу их третьей стороне, каковой в данном случае является страховая компания (Страховщик).

В соответствии с п. 1 ч. 2 ст. 6 152-ФЗ, на необходимость выполнения требований которого ссылается Страховщик, обработка им персональных данных сотрудников Страхователя в случае с ОМС может в принципе вестись БЕЗ получения какого-либо согласия, поскольку она осуществляется в соответствии с указанным выше Федеральным Законом «О медицинском страховании граждан РФ».

Некоторые особо "дотошные" юристы справедливо отмечают, что в текущей редакции закона "О медицинском страховании" нет того, что требует 152-ФЗ: законом в явном виде не установлена цель обработки, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также не определены полномочия оператора (хотя если попытаться, то все это можно обнаружить "между строк"). В ответ на это можно привести следующие аргументы. Как справедливо заметил уважаемый toparenko, по всей обработке ПДн в рамках ОМС есть только один оператор ПДн - Фонд ОМС. Все остальные по сути являются обработчиками, так как не определяют цели обработки и состав обрабатываемых ПДн. Поэтому в проходящем общественные слушания законопроекте "Об обязательном медицинском страховании граждан", устраняются имеющиеся пробелы и противоречия, связанные с обработкой ПДн. Поэтому для медицинского страхования по программе ОМС согласия работодателю брать не нужно - это мнение разделяют и представители Роскомнадзора, неоднократно отвечавшие на такой вопрос на различных конференциях и приводя такие же точно аргументы.

Что же касается добровольного медицинского страхования, то тут имеет место другая ситуация, прежде всего потому, что добровольное страхование является, как правило, элементом системы мотивации, и под эту программу в организациях попадают далеко не все сотрудники. Для этой цели в согласии, получаемой Страхователем от своих сотрудников, должен быть предусмотрен пункт о передаче ПДн третьей стороне (Страховщику) в объеме, достаточном для оформления полисов ДМС. Таким образом, в случае, если Страхователь передает ПДн сотрудников Страховщику в рамках процесса оформления страховых полисов, обязанность получения согласия на передачу этих ПДн и вытекающая ответственность за передачу ПДн третьим лицам без согласия субъектов ПДн лежит именно на Страхователе.

Для того, чтобы выполнить оставшиеся требования, в соответствии с ч. 4 ст. 6 152-ФЗ,  необходимо дополнить договор между Страхователем и Страховщиком обязанностью обеспечения последним (на мой взгяд, взаимность этих обязательств, указанная в документе, излишняя) конфиденциальности персональных данных и безопасности персональных данных при их обработке. Что лично меня смущает в договоре - так это формулировка "обеспечивающих их защиту (неразглашение)". Я предложил бы использовать формулировку 152-ФЗ: "… и соблюдать меры обеспечения конфиденциальности ПДн и безопасности ПДн при их обработке."

В целом же весь комплект документов, поскольку он касается исключительно обязательного медицинского страхования, считаю излишними перестраховочными мерами со стороны страховой компании, которые, к тому же, будут дополнительно "нагружать" сотрудников кадровых служб организаций-работодателей, которые вынуждены будут "подсунуть", помимо собственного, еще одно согласие принимаемому на работу сотруднику, разъяснить зачем оно нужно, убедить гражданина заполнить его, и каким-то образом доставить документ в страховую компанию. Помимо этих неудобств, в представленном наборе документов нет ничего страшного.

воскресенье, 25 июля 2010 г.

Отпускникам на заметку


Раскрою вам, дорогие читатели, страшную тайну - последние две недели я находился в очередном отпуске. Ну как, в отпуске... поменял на время место работы с офиса на более приятное - дачу :) А в остальном - те же звонки, та же почта, те же проблемы, в общем - почти все то же самое. Благо - технологии удаленного доступа позволяют решать практически любой геморрой, был бы нетбук да 3Г-модем за пазухой. Иногда, конечно, хочется все это выкинуть в ближайшую помойку, но как-то подумаешь... и не выкидываешь: казенное все-таки, да и контрактом предусмотрено...

Одна из приятных вещей (конечно, не самая - были гораздо приятней ;), что я мог позволить себе в отпуске - посмотреть фильмы, которые друзья, зная мою страсть к качественной кинопродукции, таскают мне в огромном количестве на дисках, флешках, внешних HDD и черт его знает чем еще. И вот это все копилось, копилось и, наконец, настало время добраться до этого контента. Обо всем увиденном я, конечно, рассказывать не буду - а вот о том, что, на мой взгляд, достойно внимания и, возможно, придется читательской аудитории, собирающейся в отпуске посмотреть пару-тройку хороших картин, по вкусу, я решил рассказать - не все же на профтемы постить :) О мэйнстриме, что идет в кинотеатрах, рассказывать не буду - я больше люблю своего рода "андеграунд". Хотя и мэйнстрим, конечно, смотрю - с удовольствием, но далеко не все.

Итак, третье место в моем "отпускном кинорейтинге" заняли сразу две картины. Первый фильм под названием "Не оглядывайся" являет собой умопомешательно-шизофреническое повествование о раздвоении личности, вызванной экстремальными событиями, не у кого-нибудь - а у самих Софи Марсо и Моники Белуччи. Классный сценарий, состряпанный французами, и блестящая операторская работа, плюс великолепные актрисы - весь этот замес дает зрителю отличный психоэкшен и замечательное времяпровождение на 2 часа.

Второй фильм, расположенный на той же ступеньке пьедестала, называется "Впусти меня". Если ваша подруга, жена, дочка или все они втроем отъели вам мозги суперпопсовой сагой "Сумерки" - покажите им этот фильм (и, конечно, не забудьте посмотреть его сами). Замечательная режиссерская работа, видео местами на грани закона, минимум бюджета и спецэффекты способны творить со зрителем все что угодно: эта картина - ярчайший тому пример. История про двенадцатилетнюю девочку и такого же пацана, имеющих определенные отклонения на почве жажды крови, на раз выбьет из зачумленных мозгов ваших женщин Роберта Пэтисона и все, что связано с "Сумерками". Картина великолепна своим сюжетом и потрясающей игрой юных актеров - я лично смотрел, раскрыв рот, и поражался - почему это сняли шведы, а не Голливуд?

Почетное второе место заняла отечественная картина под названием "Морфий" режиссера Алексея Балабанова, снятая по сценарию Сергея Бодрова - младшего. Блевотно-хирургический наркоманский триллер, повествующий о событиях, произошедших в 1917 году в одном из провинциальных уездов, элементы софт-порно и голая Ингеборга Дапкунайте, а также скрывающийся за всем этим мракобесием глубокий философский смысл о гигантской психологической нагрузке, которую вынуждены тянуть слабые люди и быть при этом исключительно сильными, и цена, которую приходится платить за прыжки выше головы - безусловно, никого не оставят равнодушными. У меня есть товарищ - замечательный врач, работает в ожоговом центре - обязательно ему посоветую. Хотя он, наверное, видел.

И, наконец, первое место. Фильм под названием "Незнакомка". Замечательная во всех отношениях картина, снятая итальянцами, с Ксенией Рапопорт в главной роли украинской проститутки и Микеле Плачидо в роли "лысого урода" (очевидно, сыграл самого себя :) рассказывает о том, что способен сделать человек, поставивший перед собой цель и одержимый ее достижением. Особенно, если человек этот - женщина, и женщина эта - мать. Самый яркий фильм, увиденный мной в это лето - однозначно рекомендую посмотреть.

Что ж, завтра - на работу. В жаркие офисные будни. И, судя по присланной электронной корреспонденции, пару интересных вещей на тему защиты персональных данных опубликую в ближайшее время. Отдыхайте, дорогие друзья, полноценно!

пятница, 23 июля 2010 г.

Инноградские энтэвэшники


В который раз в обеденное время смотрю на НТВ в блоке экономических новостей  (дело в том, что ни по РЕН, ни по РБК в это время нет ничего интересного ;) их рубрику под названием ИННОГРАД. Время выхода - где-то около 13.20. Ведущий Игорь Полетаев с пафосом представляет эту рубрику как рассказ об инновационных российских компаниях, использующих современные технологии, ноу-хау и что-то там еще.

Неделю назад был репортаж о предприятии, выпускающем электрооборудование - розетки, выключатели, короба и т.д. Два дня назад Полетаев рассказывал о предприятии, выпускающем оптоволоконные кабели для телекома. Сегодня - о конторе, выпускающей детали для мостостроения. При этом с апломбом заявлял, что на всех предприятиях используется английское, французское и немецкое оборудование, а продукция вобщем-то пользуется спросом и за рубежом.

Лично у меня возникает резонный вопрос: а где собственно инновации? И вообще - при чем здесь они? Или по мнению НТВшников, инновационным видом деятельности считается тот, который не "подох" во время кризиса и как-то еще держится на плаву за счет импортного оборудования и экспортных заказов?

среда, 21 июля 2010 г.

Новая Государственная тайна


Вчера средства массовой информации с удовольствием смаковали очередную новость, пришедшую сразу из нескольких ведомств: Федеральной службы безопасности (ФСБ), Федеральной службы охраны (ФСО), Службы внешней разведки (СВР), Министерства иностранных дел (МИД) и Федеральной таможенной службы (ФСТ).

Все дело в том, что в конце сентября прошлого года Президент РФ издал указ, согласно которому, декларации о доходах чиновников должны быть поданы до 30 апреля и опубликованы на сайтах ведомств не позднее 14 мая. Однако сотрудники ФСБ, ФСО, ФТС, МиД РФ и СВР отказались обнародовать информацию о доходах, ссылаясь на Федеральный закон "О государственной тайне". По словам силовиков, «гостайна» запрещает им раскрывать кадровый состав своих ведомств, а, следовательно, и доходы сотрудников.

Однако, как пишут «Ведомости», никому так и не удалось добиться объяснения, почему государственной тайной является «принадлежность к кадровому составу» директора ФСБ Александра Бортникова и его шести заместителей, чьи имена общеизвестны. Что касается ФСО, то там запросы попросту проигнорировали, видать, и бланки для письменного ответа являются гостайной.

По мнению председателя Национального антикоррупционного комитета Кирилла Кабанова, кадровый состав силовых ведомств и доходы сотрудников, по закону, не могут быть отнесены к гостайне: они не публикуют деклараций, поскольку не хотят показывать, как много у них имущества. Силовики, на которых лежит ответственность за борьбу с коррупцией, могли бы показать пример, вместо этого они игнорировали инициативу президента, сетует Кабанов, а сопротивляться силовой бюрократии даже президент не в силах.

Стоит отметить, что известная всей читательской аудитории служба ФСТЭК по-честному опубликовала сведения о доходах своих сотрудников. Оно и понятно - чего тут стесняться, когда можешь "сваять" очередной шедевр нормотворчества, ограничить к нему доступ, а потом совершенно "в открытую" брать деньги за пересылку "призакрытых" руководящих документов, за неисполнение которых сам же потом и будешь "драть" их покупателя. Учитывая потенциальное количество и печатный объем руководящих документов категории ДСП и реальное число хозяйствующих субъектов, обязанных исполнять указанные в них требования, неплохой "бизнес", не правда ли?

понедельник, 19 июля 2010 г.

Электронный документ


Не знаю, как у вас, дорогие друзья, а лично у меня сегодня праздник. Все дело в том, что, по сообщению агентства "Интерфакс", Совет Федерации одобрил законопроект, вносящий в законодательство понятие "электронный документ".

Сенаторы на заседании в понедельник, 19 июня 2010 года, внесли соответствующие поправки в ряд законодательных актов, а также в действующий закон, касающийся организации предоставления государственных и муниципальных услуг. Ранее этот законопроект был одобрен Госдумой.

Закон вводит определение понятия "электронный документ". Кроме того, в соответствии с законом "электронный документ, электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признаются равнозначными документу, подписанному собственноручной подписью в случаях, если иное не установлено федеральными законами".
 
Неужели страсть господина Президента к подписанию распоряжений в электронной форме все-таки сыграла свою роль? Если так, то лично для меня "Проблема 2012" постепенно находит свое естественное решение...

воскресенье, 18 июля 2010 г.

Перед прочтением сжечь


Помните ту историю с инспектором ГИБДД, запершимся в машине ДПС и сожравшим 2 тысячи рублей взятки на глазах у изумленной публики из прокуратуры и под объективом телекамер? Очевидно, так же следует поступить с постановлением Правительства РФ за номером 330 и под длииииинным названием "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)".

О нем никто из моих знакомых не знает и даже не слышал о таком документе. Ссылок на него нет никаких, и единственным информатором по этому документу стал Алексей Лукацкий. Прочитав его блог на эту тему, я озадачился получением дополнительных сведений об этом документе и набрал его название в поисковике. Каково же было мое удивление, когда я увидел следующее:

Постановление Правительства Российской Федерации от 21 апреля 2010 г. N 266 г. Москва "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации"

Первая мысль: неужели Гуру (Лукацкий) ошибся (причем так жестоко), или намеренно вводит в заблуждение? Протерев глаза и перечитав все снова, я не поверил тому что увидел: номера постановлений разные, но названия практически одинаковые, а главное смысловое отличие, определяющее область действия документов, заключается фактически в одном предлоге!

Итак, 330-е ПП:

"Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, НЕ СОДЕРЖАЩЕЙ сведения, составляющие государственную тайну"
 
266-е ПП:
 
"Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, СОСТАВЛЯЮЩИХ государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа"
 
При этом, последний документ, для гостайны, находится в открытом доступе, а первый - не для гостайны - носит гриф ДСП! Зачем нужно это "призакрытое" 330-е постановление, какие оно скрывает тайны, спросите вы - и я вам отвечу. Это именно тот документ, о скором выходе которого стало известно на конференции по вопросам защиты персональных данных, проходившей 14 апреля в Санкт-Петербурге. Я ошибочно назвал его 333-м - то ли неправильно услышал, то ли неправильно записал со слов представителя ФСТЭК, но это именно оно - то самое.
 
Действие его распространяется на государственные информационные ресурсы и персональные данные, и самое главное - то, что оценка соответствия СЗИ осуществляется в форме обязательной сертификации и государственного контроля. То есть, тайный смысл 58-го приказа ФСТЭК, благодаря 330-му постановлению, стал явью: обязательного использования сертифицированных средств защиты информации в ИСПДн операторам не избежать...
 
ЗЫ. Официальный запрос во ФСТЭК подготовлен и ждет отправки. Ожидаю, что в прибывшем пакете документов будет вкладка "Это письмо самоуничтожится через 5... 4... 3... 2... 1..." :)

ЗЫЫ. Предваряет статью карикатура Андрея Саенко "Бюрократ". Применительно к теме  поста, плачущая на коленках тетенька есть собирательный образ российских операторов ПДн. Собирательным образом чего является непробиваемый мужик за столом - предлагаю догадаться самим читателям ;)

среда, 14 июля 2010 г.

Ширмачи государства Российского


12 июля 2010 года свершилось одно из знаковых событий в мире массовых интернет-технологий: российская инвестиционная компания DST - Digital Sky Technologies (в некоторых СМИ называемая инвестиционным фондом) закрыла сделку по приобретению сервиса мгновенных сообщений ICQ у корпорации AOL. Ранее в DST объявили, что соглашение о покупке ICQ за $187,5 млн. достигнуто.

Компанию DST, безусловно, можно поздравить, а вместе с ней - и весь российский интернет с маленькой победой на фоне непрекращающихся баталий и удручающих поражений России в борьбе с прогрессивным миром за право быть признанной и принятой в мировое высокотехнологичное сообщество. В Digital Sky, безусловно, открыли в этот день не одну бутылку шампанского - еще бы: к пакетам акций Mail.Ru, Facebook, Одноклассники, Вконтакте, HeadHunter, Free-Lance и многим другим добавился такой внушительный "довесок". И все бы хорошо, если бы не цепь событий, предшествующая собственно покупке.

В середине июня высокопоставленный сотрудник одной из правоохранительных структур США сообщил, что американские правоохранительные органы серьезно обеспокоены предстоящей сделкой по покупке DST сервиса ICQ. По его словам, сейчас, когда серверы ICQ находятся в собственности американской компании, спецслужбы страны могут иметь доступ к переписке интересующих ее людей. Не смотря на давление со стороны спецслужб, Комитет по иностранным инвестициям США (CFIUS), который мог бы заблокировать сделку, сообщил, что делать этого не собирается.

Второй шаг был сделан 27 июня, когда ФБР арестовало 10 человек, проживающих на восточном побережье США, и обвинило их в шпионаже в пользу России. Самой важной персоной в глазах спецслужб США являлась "разведчица" Анна Чапман, в одночасье ставшая эдаким секс-символом СВР во всем мире. Не смотря на то, что никто из преступников ICQ давно не пользуется, этот спектакль, видимо, был единственным способом как-то повлиять на решение CFIUS. Решение, как мы знаем, осталось неизменным, и AOL благополучно продала ICQ.

На этом история сделки с ICQ заканчивается, однако не заканчивается другая история, параллельно развивавшаяся на наших с вами глазах. До сих пор нет ответа на главный вопрос - кто, собственно, все эти люди, арестованные в США по подозрению в шпионаже? Почему они признали свою вину и были не просто депортированы, а обменяны на российских заключенных, осужденных за шпионаж в пользу западных стран? Почему со стороны МИД РФ и спецслужб нет ни единого комментария по этому поводу?

Сотрудники ФБР, предъявлявшие обвинения "русским шпионам", напротив - гораздо более разговорчивы. Они отмечают, что все арестованные нелегалы имели практически нулевые шансы завладеть какими-нибудь страшными секретами.  Судя по заданию "Центра" (видимо, за этим термином скрывается СВР), от нелегалов требовалась информация, которую можно было бы куда дешевле получить из открытых источников. Едва ли не самый крупный успех (по крайней мере, из тех, о которых говорится в документах, переданных ФБР суду) — информация о положении на рынке золота, переданная шпионами летом и осенью 2009 года в "Центр". "Центр" ответил посланием, в котором говорилось: "Информация о золоте — оч. полезна, была направлена непосредственно (после соответствующей обработки) в минфин и минэкономразвития".

Эксперты в области шпионажа не понимают, зачем СВР нужно было тратить столь огромные средства и усилия на то, что можно вполне получить, просто включив компьютер и выйдя в интернет. Однако, соединив все факты вместе, получается совсем неприглядная картинка. Вряд ли прямой целью операции "поймай шпиона" было давление на Комитет по иностранным инвестициям США - это, скорее, могло бы стать побочным эффектом. Смысл здесь в другом.

Не будем забывать, что спецслужбы являются государственными структурами и существуют за счет бюджетного финансирования. Естественно, бюджетные деньги (и весьма немалые) нужно как-то отрабатывать. ФБР, очевидно, светит большой бонус в виде увеличения расходов на борьбу со шпионажем, а сотрудникам, принимавшим непосредственное участие в проведении операции - повышение по службе, как говорится в армейской поговорке, "просят лычки и значки". Наших товарищей, очевидно, ожидает первая часть армейской поговорки.

Анализируя все публикации СМИ по шпионской теме невольно приходишь к аллегории с подготовкой спортсменов к олимпиаде в Ванкувере. Как и профессионального спортсмена, разведчика-нелегала нужно готовить долгие, долгие годы, потратить уйму средств на его пребывание в интересующем государстве и еще больше на выполнение специальных операций. Как и спортсмен-олимпиец, разведчик-нелегал - это высшая каста, и раскрытие одного нелегала, как правило, сопровождается громкими международными скандалами, разборами внутри спецслужб, отставками и увольнениями.

Не смотря на гигантские затраты на подготовку, олимпийцы в Ванкувере не показали ничего выдающегося, зато чиновники "оттянулись" на славу. Шпионская сеть была чисто формальной и выполняла формальные задания - об этом говорят и сотрудники ФБР. Однако она БЫЛА, а это значит, что на нее выделялось финансирование, по результатам деятельности сети составлялись отчеты и донесения, ее кто-то курировал (и далеко не один человек) и кто-то передавал им деньги, причем в самой удобной форме - наличной.

Одним из пунктов обвинения, предъявленного всем арестованным, является отмывание незаконно полученных денег. В документах ФБР подробно рассказывается, как крупные суммы денег передавались агентам при личном контакте (обмен сумками, передача из рук в руки, в ходе выездов за пределы США) или закладывались в определенных местах. Этим занимался Критофер Мецос - единственный из всех, который ударился в бега и был позднее арестован на Кипре. Уж кто-кто, а он-то мог догадываться о том, кому, что и как распределяется...

Из всей этой истории ясно только одно: уровень коррупции в России настолько высок, что оценка Transparency International выглядит достаточно щадящей. Ну а переноса серверов ICQ в Россию ФБР-овцам не стоит опасаться: практика показывает, что наше МВД действует проще и эффективнее, просто вырубая питание в хостинг-центрах и изымая оборудование для проведения проверок. Принимая во внимание эти риски, а также учитывая масштабность сервиса, нынешние владельцы должны крепко подумать, прежде, чем осуществить подобные мероприятия.

ЗЫ. Думал, какой картинкой сопроводить это сообщение. Сначала хотел ICQ, AOL и DST. Передумал и решил поместить фото Анны Чапман. Поглядел и передумал - милая девушка с лицом Дуни Пирожковой из третьего подъезда на секс-символ ну никак не тянет... Решил разместить эмблему СВР, под которой - ссылка на официальный сайт в раздел "как стать сотрудником"...

вторник, 6 июля 2010 г.

Письма лично на почту ношу...


Вселенная развивается по спирали. Вместе с ней по спирали развивается все, что есть во Вселенной, включая галактику Млечный путь, Солнечную систему, планету Земля, континент Евразия, страну Российская Федерация и ее государственные структуры - ФСТЭК и ФСБ. Хотя порой мне кажется, что витки спирали развития этих структур какие-то особенные: как в известной песне Константина Кинчева "Тоталитарный рэп", на один шаг вперед приходится два шага назад.

То ли летняя жара сыграла свою роль, то ли поговорить больше не о чем, но популярные блоггеры вновь, вновь и вновь возвращаются к теме необходимости получения лицензий ФСБ на СКЗИ и ФСТЭК на ТЗКИ для собственных нужд. Как и всегда, умы профессионалов снова и снова будоражат письма, то и дело всплывающие, как по весне, на поверхность интернета, в котором, как известно, ничто уже не утонет.

На этот раз поводом помусолить старину стали два письма. Первое - официальный ответ центра лицензирования ФСБ на запрос, сформулированный приблизительно следующим образом:

"Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств, если компания эксплуатирует шифровальные средства только для собственных нужд? Например, в случаях защищенного подключения удаленных филиалов и дополнительных офисов к центральному офису по VPN-каналам или в случаях шифрования резервных копий информации.

Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств для компании, которая, являясь участником (не оператором) системы электронного документооборота, самостоятельно и только для себя устанавливает средства шифрования и генерирует ключи шифрования? Например, в случае использования системы Интернет-банкинг, когда средства шифрования устанавливаются клиентом (часто в прозрачном режиме) и клиент (для исключения компрометации ключей со стороны банка) самостоятельно генерирует ключевую информацию?"
 
Ответ выглядит так:
 
Что ж, новизна очевидна. Оказывается, лицензия необходима в ЛЮБОМ случае, вне зависимости от чего бы то ни было, и даже вне зависимости от Гражданского кодекса, являющегося определяющим документом в отношении 128-ФЗ... Теперь еще один интересный документ, размещенный на сайте Минздравсоцразвития:

Здесь, помимо 128-ФЗ, появляется еще ссылка на Гражданский кодекс, являющийся "верхнеуровневым" документом для федерального закона, однако, в отличие от документа ФСБ, ничего конкретного не написано. Замечу, что многим ранее - в 2002 году, когда о защите персональных данных не велось и речи, Центральным банком РФ было получено аналогичное письмо следующего содержания:
   
Таким образом, концепция регуляторов изменилась: если в 2002 году можно было смело заявить о том, что лицензия для своих нужд не нужна, то сейчас, в 2010-м, этого уже не делают. Оно и понятно - кто же будет отказываться от такого куска пирога. К счастью, статьи 2 и 49 Гражданского кодекса РФ значительных изменений за это время не претерпели, а это значит, что логика применения 128-ФЗ осталась прежней: как не маскировали бы регуляторы истину, она очень четко отражена в письме ФСТЭК 2002 года:

"...получение соответствующей лицензии необходимо только юридическим лицам, осуществляющим предпринимательскую деятельность, связанную с технической защитой конфиденциальной информации."

Поясню суть ответа. Основным законом РФ является, как известно, Конституция. Согласно правовой системы РФ, далее идут Федеральные кодификационные законы, иначе именуемые Кодексами, следующие за ними - Федеральные (некодификационные) законы, затем - подзаконные акты и т.д. Кодекс представляет собой "отраслевой" федеральный закон, положения которого могут раскрываться в некодификационных федеральных законах. Именно этот случай применим в отношении проблемы получения лицензии ФСТЭК и ФСБ на "осуществление деятельности".

Следует понимать, что термин "деятельность", в понятии обывателя означающий осуществление каких-либо действий, в законодательстве РФ звучит совсем по-другому. Поскольку 128-ФЗ является законом, раскрывающим п. 1 ст. 49 Гражданского кодекса (это красной нитью идет во всех письмах), давайте обратимся к первоисточнику - ГК - и посмотрим, что же такое "деятельность" в рамках этого документа? На этот вопрос нам ответит статья 2 ГК, которая называется "Отношения, регулируемые гражданским законодательством". В пункте 1 ст. 2 ГК РФ сказано:

"Гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность, или с их участием, исходя из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке."

Таким образом, действие ВСЕГО Гражданского кодекса распространяется на "деятельность" как исключительно на ПРЕДПРИНИМАТЕЛЬСКУЮ ДЕЯТЕЛЬНОСТЬ. Никакого другого определения "деятельности" в ГК нет. А стало быть, и в ст. 49 ГК РФ, и в 128-ФЗ между словами "деятельность" и "предпринимательская деятельность" нужно ставить знак равенства. Эта тема не раз обсуждалась на многих ресурсах - я рекомендую в продолжение посетить вот этот.
 
В качестве заключения хочется сказать одну замечательную, на мой взгляд, фразу: "Бабло побеждает зло". К сожалению, судя по тенденции, "злом" в глазах регуляторов является здравый смысл и законодательство РФ. А бабло... оно везде бабло. Успехов в борьбе, товарищи!

пятница, 2 июля 2010 г.

Интернет-безопасность: стратегия Лукашенко


В Беларуси с 1 июля вступило в силу постановление "Об утверждении Положения о порядке ограничения доступа пользователей интернет-услуг к информации, запрещенной к распространению в соответствии с законодательными актами". Положением устанавливается порядок ограничения интернет-доступа к информации, запрещенной к распространению в соответствии с белорусским законодательством. В частности, это касается информации, направленной на осуществление экстремистской деятельности; незаконного оборота оружия, боеприпасов, взрывных устройств и психотропных веществ; содействие незаконной миграции и торговле людьми; распространение порнографических материалов, а также пропаганду насилия и жестокости.

Этот нормативный акт также обязывает владельцев компьютерных клубов и интернет-кафе собирать и хранить паспортные данные посетителей. Воспользоваться Интернетом или поиграть в игры теперь в Белоруссии можно только после предъявления паспорта. Более того, сотрудникам интернет-кафе предписывается вести журнал, в который необходимо вносить сведения о «доменных именах или IP-адресах интернет-ресурсов, с которыми пользователь осуществил соединение».

Как бы не смеялись и не критиковали "батьку" Лукашенко, следует отметить, что идея эта витает во всем мире, и более того - получает развитие. 28 июня 2010 года на ресурсе PrisonPlanet появилась статья о том, что в США готовится законопроект, предусматривающий еще более жесткие ограничительные меры доступа к сети Интернет.

В статье говорится о том, что идея контроля правительством США киберпространства в настоящее время является одной из наиболее актуальных. Стратегия интернет-безопасности, которой, судя по всему, в скором времени будет дан "зеленый свет", основана на использовании так называемых "идентификационных токенов" (ID tokens), без которого ни один субъект не сможет получить доступ в Интернет. По мнению авторов статьи, эта концепция, совместно с продвигаемым сенатором Джо Либерманом (Joe Lieberman) законопроектом "убивающего выключателя" ("kill switch" bill) "похоронит" свободный Интернет раз и навсегда. Примечательно, что комментарии по этому поводу дает исследователь политического влияния сети Интернет Евгений Морозов, выходец из Беларуси.

По моему личному убеждению, так называемая "интернет-свобода", вокруг которой идет, что называется, серьезный "кипиш", осталась существовать исключительно в воображении людей, не осознающих или не готовых принять сложившийся существующий порядок мира - тотальный контроль государства над личностью.

Однако, принимая во внимание засилие в "свободном Интернете" ресурсов, связанных с уничтожением личности в угоду различного рода извращенцам (насильникам, педофилам и прочим нелюдям), лично я - целиком и полностью ЗА. Вот только меня почему-то терзают смутные сомнения в том, что после реализации инфраструктуры Интернет-ID-токенов в России, "контент" этот никуда не исчезнет, а хрупкие надежды на ростки демократии и свободы слова, теплящиеся в небольшом числе интернет-СМИ, будут окончательно растоптаны и похоронены.