понедельник, 23 августа 2010 г.

Так где же все-таки взять текст 330-го постановления правительства?!


Я много чего мог бы написать в этом посте, однако промолчу. Вместо этого - покажу вам, дорогие читатели, ответ на запрос во ФСТЭК по поводу получения копии пресловутого 330-го постановления правительства РФ. Внимание, в студию:


Оказывается, ФСТЭК обеспечением организаций этим документом НЕ ЗАНИМАЕТСЯ! Чудеса... А вопрос остается открытым.

вторник, 10 августа 2010 г.

Совместное исследование


После выхода статьи на CNews мы с Евгением Царевым получали всякие комментарии. В том числе и такие (цитата):

"...очень ждал в вашей статье описания того, как конкретные проблемы неточностей и двусмысмленностей нашего ФЗ (например, обсуждаемые на fz-152.org) уже решены в странах, где законодательство в области ПДн, гораздо умудреннее в годах. Не нашел ..."

Посидели мы с коллегами - toparenko и Евгением Царевым, подумали - а тема-то и вправду интересная, особенно в преддверии предстоящего второго чтения законопроекта Резника. И придумали написать что-нибудь по этому поводу - раз читателям интересно. Скажу больше - "проблемы неточностей и двусмысленностей нашего ФЗ" будущие читатели могут сформулировать сами: для этого достаточно зайти на Блог Евгения Царева и оставить там "след" в специальном опросе.

Всем, кому интересно поучаствовать - добро пожаловать!

понедельник, 9 августа 2010 г.

Пора менять вывеску


На сайте zakonoproekt2010.ru началось обсуждение проекта закона "О полиции". По мнению издания "Коммерсант", если он будет принят в его нынешнем виде, то в стране уже в следующем году появится фактически новый правоохранительный орган. Его сотрудники получат довольно широкие полномочия, в том числе на проникновение в жилище со взломом замков в любое время суток, беспрепятственное ознакомление с необходимыми документами в организациях и внесение представлений в органы госвласти, что ранее было закреплено за прокуратурой. При этом полицейские не смогут критиковать свое руководство и окажутся под сомнительным общественным контролем.

Б.Грызлов, комментируя начавшиеся общественные слушания, заявил: "нам вместе предстоит определить, какие именно новые права, обязанности, гарантии и меры ответственности обретут силу закона в рамках реформы МВД, какое правосознание и какой уровень профессиональной подготовки должны быть у людей, работающих в этой системе. И уже сегодня нужно попытаться спрогнозировать, как все принимаемые меры в конечном итоге отразятся на взаимоотношениях и на взаимном доверии общества и органов правопорядка. Для этого сейчас и готовится базовый законопроект - не в кулуарах, а в атмосфере открытой дискуссии. Только за первые сутки начатой в сети Интернет дискуссии поступило более 1,5 тыс. комментариев. Могу пообещать, что высказанные мнения не будут "похоронены" в папках - ни в столах, ни в компьютерах. Парламентское большинство обеспечит, чтобы все конструктивные пожелания и идеи были учтены..."

Я очень надеюсь, что общественные слушания этого законопроекта будут проходить активнее, чем откровенно вялотекущие общественные слушания другого, известного всем операторам и иже с ними законопроекта "О персональных данных". И дай Бог, чтобы слова господина Грызлова не оказались очередным громким, но пустым звуком, теряющимся в лабиринтах огромной денежной массы...

ЗЫ Комментариев реально много - я проверял. Почитать тоже есть что интересного...

пятница, 6 августа 2010 г.

Неавтоматизированная обработка: точка или многоточие?


Мой хороший знакомый Kostik, главный администратор сайта mmite.3dn.ru (на котором я иногда модерирую :), вчера получил ответ на письмо, отправленное им на e-mail территориального управления Роскомнадзора. Ответ этот очень обрадовал форумчан, поэтому публикую его здесь:

Вопрос:

От: Kostik
Отправлено: 5 августа 2010 г. 16:41
Кому: Канцелярия ТУ_ВологодскаяОбл_35
Тема: Неавтоматизированная обработка ПДн и архивное дело

Здравствуйте,

Не могли бы вы пролить свет, на несколько вопросов, связанных с защитой персональных данных:

1. Можно ли признать распечатку договоров и отчетов на ПК не автоматизированной обработкой ссылаясь на определение закона: Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
P.S. Сведения заносятся в документ формата *.doc, который впоследствии распечатывается (без использования БД). Все действия выполняются на изолированном от локальной сети ПК.
2. Вопрос по архивному делу: в администрации имеется архивный отдел. Действие 125-ФЗ не распространяется на "отношения, возникающие при: организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации"; но в архивном отделе есть база, в которой есть ПДн граждан обратившихся в архив за справкой Архивные запросы, т.е. регистрируются все запросы и ответы в архиве. Нужно ли оформлять все документы на эту ИСПДн? или закон на нее не распространяется?

Ответ:

Добрый день.

По первому вопросу- это неавтоматизированная обработка.
По второму вопросу: можно относить это к архивному делу.
Позиция ФСТЭК по этому вопросу не известна, поэтому как они будут смотреть на этот вопрос не ясно.

Управление Роскомнадзора по Вологодской области, (8172)54-89-20 rsockanc35@rsoc.ru

Что положительного - так это то, что Роскомнадзор ОТВЕЧАЕТ на вопросы, посланные по электронной почте (и достаточно быстро), чего, к сожалению, пока нельзя сказать о ФСТЭК. Ключевая фраза ответа РКН выделена жирным шрифтом. Получается, что раз РКН не считает указанные случаи автоматизированной обработкой, то они находятся в его юрисдикции. Однако предупреждает, что может приехать ФСТЭК и точно так же станет все это проверять, потому как может признать такую обработку автоматизированной (с использованием средств автоматизации): по мнению ФСТЭК, персональный компьютер, установленный на рабочем месте, именно таким средством и является.

Что ж, главный вывод таков: до тех пор, пока ведомства не договорятся о разделе полномочий и не выработают единое консолидированное мнение, у операторов есть все шансы, что такие "пограничные" вопросы будет проверять и Роскомнадзор, и ФСТЭК.

понедельник, 2 августа 2010 г.

Наш "ответ Чемберлену" - 2


Совсем недавно я публиковал материал о том, что в Чехии разоблачен российский разведчик. Как и в случае со шпионским скандалом в США, "случайное стечение обстоятельств" привело к раскрытию государственных секретов. При этом, способ раскрытия был выбран совершенно аналогичный предыдущему: по сообщению агентства "Интерфакс" со ссылкой на издание «Млада Фронта Днес», Институт исследований тоталитарных режимов Чехии "по ошибке" выложил в Интернет списки агентов военной разведки периода с 1948 по 1989 годы.

При этом, никто не принял во внимание, что с 1989 года многие сотрудники разведки сохранили места и продолжают работать для нынешних спецслужб. Когда ситуация получила огласку, сайт института, на котором были вывешены списки, заморозил соответствующую страницу, а затем совсем убрал имена агентов из Интернета.

Два факта незамедлительного публикования в Интернете секретов государств, обидевших российских разведчиков - это уже тенденция, однако...

Двадцать лет мучений и полторы тысячи долларов


На всемирно известной хакерской конференции DefCon 18, проходившей в казино Ривьера в Лас-Вегасе (США) с 30 июля по 1 августа, хакер Крис Пейджет представил собственноручно собранную систему, с помощью которой смог перехватить около 30 вызовов мобильных телефонов, направив антенну на базовую станцию сотового оператора AT&T. Представленная система, стоимость которой, по заявлению разработчика, составляет не более 1,5 тыс. $, состояла из двух направленных метровых антенн и мощностью 25 мВт, а также ноутбука.

Пейджет на выступлении заявил, что его система может надежно расшифровывать сигналы только GSM диапазона и не может перехватывать звонки в сетях 3G и 4G, однако потом пояснил, что система все-же может может работать с сетями 3G — для этого ему нужно перегрузить базовую станцию, после чего она временно переходит в 2G-режим. «Если вы хотите защищенной связи, используете эти стандарты или, например, смартфоны BlackBerry», - отметил разработчик.

Следует отметить, что на черном рынке давно уже предлагаются мобильные комплексы для перехвата звонков в сетях сотовой связи, однако их стоимость крайне высока. В этом свете сумма в полторы тысячи долларов выглядит весьма удивительной. Хотя, учитывая, что технология GSM начала активно развиваться с 1993 года, удивляться приходится больше другому: почему на эффективный, дешевый и публичный взлом понадобилось почти 20 лет? Скорее всего потому, что "ломанули" ее давненько, а раскрыть разрешили только сейчас, когда GSM постепенно начал "отходить в небытие" и появилась необходимость стимулировать и абонентов, и операторов переходить на новые, более современные технологии.

ЗЫ Российские мошенники (в казино Лас-Вегаса их, как правило, немало), наверное, от счастья плачут, и рыщут по Америке в поисках Пейджета и его ноутбука :)