суббота, 31 декабря 2011 г.

Новогоднее


Уходящий год был весьма интересным и богатым на события - об этом уже написали в своих предновогодних постах мои коллеги Алексей Лукацкий и Александр Бондаренко. Не стану повторять их мысли - вместо этого пожелаю всем вам, дорогие читатели, самого главного - ЗДОРОВЬЯ. Пусть каждый из Вас сделает в новом году что-то, что поспособствует его улучшению: кто-то вылечит старую болячку, кто-то бросит курить, кто-то пойдет в спортзал и приведет себя в форму, кто-то, кто считает себя абсолютно здоровым - поможет обрести здоровье своим близким или совершенно постороннему человеку. В общем - здоровья всем нам, и если предсказания индейцев Майя верны, то лучше встретить конец света здоровыми )))

Наконец, подарки. Помните, в июне 2011 года я выступал на 4 межотраслевом форуме директоров по ИБ (я еще сказал тогда, что не могу выложить текст доклада, ибо меня связывают некоторые обязательства)? Настало время раскрыть карты:


Да-да, это именно журнал "Информационная Безопасность" и именно моя физиономия на обложке ))) Сам текст оформлен редакцией в виде интервью (10 страница), думаю, всем интересно будет почитать. Огромное спасибо главному редактору "IS" Ольге Рытенковой и замечательному фотографу Юле Поповой за такой классный новогодний выпуск. А с вами, дорогие читатели, я прощаюсь на целый год - до новых встреч в Новом 2012 году )))

суббота, 24 декабря 2011 г.

Партия, в которую не стыдно вступить


Как известно, одним из основных факторов, сгубивших Коммунистическую партию Советского Союза (а позднее - и сам Союз), явился затяжной застой: полное отсутствие молодых кадров и свежих идей, современных подходов к управлению страной, неспособность адекватно оценивать картину меняющегося мира и как следствие - отсутствие какого-либо развития. Все это, один-в-один, мы наблюдаем со стороны государства и сейчас - в области, которая по определению своему должна быть, что называется, "на острие прогресса". Я говорю об ИБ (БИ, ЗИ, БИТ - называйте как хотите, здесь речь о другом). И вроде бы все ничего - на перестройку сознания нужно время, смена поколений, адаптация к новым подходам и т.д. Да вот только времени-то совсем нет: ИБ неразрывно связана с ИТ, которые развиваются семимильными шагами, и получается, что "неразвитая" ИБ сильно тормозит инновации или делает их использование небезопасными на уровне государства. Однако ИБ здесь - вторична: в нынешних условиях, когда в стране непростая ситуация с экономикой и политикой, ИТ как инструмент управления и развития государства и различных отраслей бизнеса  являются определяющими и должны диктовать условия, а ИБ под них подстраиваться, где-то в ущерб самой себе. К сожалению, на государственном уровне достичь компромисса удается крайне редко, и в результате ИТ либо не работают, либо их функционал никому не нужен но зато безопасен, либо ИТ внедрены так, что их использование само по себе представляет весьма существенную угрозу.

Как исправить ситуацию, если главные решения принимаются на уровне государственных органов, ответственных за ИТ, и фактически силовых структур, ответственных за ИБ и не особо жалующих "гражданских" экспертов? Есть несколько вариантов:
  1. Не делать ничего и ждать, пока мы дойдем наконец до того, что сможем подать заявление в ЗАГС в электронной форме, в то время как развитые страны будут предлагать туры на Луну; персональные данные граждан станут общедоступными на манер Северной Кореи, где, по слухам, запрещено закрывать окна шторами, так как "рабочему классу нечего скрывать"; главным государственным секретом станет фамилия владельца нефтегазовой трубы; армия объединится с полицией в одну структуру и будет защищать государство от собственного народа. После этого все проблемы рассосутся сами собой.
  2. Попытаться повлиять на ситуацию сейчас, создав некое экспертно-политическое объединение, программной платформой которого станет развитие ИТ и, как следствие, ИБ в нашем государстве. Зачем лезть в политику? Ответ прост: уже сейчас существует огромная масса экспертных объединений, но практика показывает, что никакого веса и влияния на развитие ИБ они не имеют - их (нас) попросту никто не слушает. На то, чтобы переломить ситуацию, может уйти много времени но, как говорится, вода камень точит.
Лично я - за второй вариант: необходимо использовать любой шанс, чтобы повлиять на сложившуюся в отрасли ситуацию, когда эксперты (мухи) - отдельно, а котлеты ... ну, вы понимаете. Поэтому я целиком и полностью поддерживаю инициативу Евгения Царева о создании "Партии развития информационных технологий". Тем, кто разделяет мою точку зрения - предлагаю поддержать это начинание. Пока (на радость критикам-злословам) в виде комментариев и "лайков" в Facebook: это всего лишь начало Идеи, даже не первый шаг, но без поддержки Идеи ему не суждено свершиться. Так что голосуем за Идею )))

воскресенье, 11 декабря 2011 г.

Оппозиция Че


Писать о политике - дело неблагодарное, тем более в этом блоге. Но, как говорят, один раз в год и палка стреляет, и сегодня - именно такой раз. Вообще я - человек либеральных взглядов, сторонник демократии, свободы слова и приверженец гражданского общества: в общем, всего того, чего в нашем государстве нет и в ближайшие 12 лет, судя по всему, не предвидится. К этому я отношусь совершенно спокойно - наверное, смирился и привык. Но бывают случаи, когда, что называется, "край", и нынешние выборы - один из них. Не то чтобы я слепо поддерживал лозунг "партия жуликов и воров" - отнюдь, я считаю, что в "профильной" партии их не больше, чем в остальных. Просто "ЕдРо" - партия де-факто самая многочисленная, и в количественном выражении "их там" хватает, а вот в процентном - может, даже и поменьше, чем в остальных политических объединениях.

четверг, 8 декабря 2011 г.

Информационное письмо АРБ


Алексей Лукацкий опубликовал у себя в блоге очень хорошую новость - не могу не поделиться. 2 декабря на сайте Ассоциации российских банков было размещено информационное письмо за номером 5 «Об организации работы CИБ банковских учреждений России в связи с принятием Федерального закона от 25 июля 2011 года № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Хоть я и не банкир, но почерпнул из него много полезного. В частности:
  • Пункт 8, говорящий о том, что срок приведения ИСПДн к требованиям нового ФЗ в нем самом не определен, а потому и регулятор его не знает;
  • Пункт 10, о статусе сертифицированных СЗИ и СКЗИ;
  • Пункт 12, подтверждающий возможность обработки резюме и анкет соискателей без письменного согласия последних;
  • Пункт 27, ставящий точку в вопросе о том, является ли фотография биометрическими ПДн: да, если она соответствует ГОСТ Р ИСО/МЭК 19794-5-2006, иначе - нет.
И много, много другого интересного. Всем рекомендую!

среда, 7 декабря 2011 г.

Защита персональных данных: что год грядущий нам готовит?


Так называется моя статья, вышедшая в декабрьском номере журнала "Директор по безопасности".


Статья в PDF, в открытом доступе. Надеюсь, будет интересно почитать :-)

Лицензия на огнетушитель


Конец года - традиционное время для аврального доделывания тех дел, которые по каким-то причинам ежемесячно "отодвигались" на более поздний срок (поэтому интенсивность постов в блоге несколько снизилась). Таких дел за год скапливается достаточно много, и в силу того, что ваш покорный слуга, помимо прочих сомнительных "достоинств", еще и обладает определенным опытом в области обеспечения технической безопасности объектов инфраструктуры (речь идет о системах пожарной сигнализации, пожаротушения и оповещения, телевизионного наблюдения, охранной сигнализации и комплексного управления доступом в различных их сочетаниях), по долгу службы мне приходится быть ответственным за выполнение определенных мероприятий, так или иначе связанных с этими вопросами. Недавно, присутствуя на ежегодной перемотке пожарных рукавов в составе комиссии и глядя на происходящее действо, мое подсознание вдруг слегка укололо меня тоооненькой иголкой: "иди и смотри" - сказало оно мне. И я пошел... Но обо всем по порядку.

среда, 30 ноября 2011 г.

С профессиональным праздником, коллеги!


"В 1988 году американская Ассоциация компьютерного оборудования объявила 30 ноября Международным днем защиты информации (Computer Security Day). Целью Дня является напоминание пользователям о необходимости защиты их компьютеров и всей хранимой в них информации. Провозглашая День, Ассоциация намеревалась напомнить всем о необходимости защиты компьютерной информации и обратить внимание производителей и пользователей оборудования и программных средств на проблемы безопасности. С тех пор в этот день по инициативе Ассоциации компьютерного оборудования проводятся международные конференции по защите информации, сопровождаемые массой интересных и полезных мероприятий. Ежегодно День проводится под определенным девизом, который помещается на плакаты и другую печатную продукцию, выпускаемую к празднику. На протяжении нескольких лет основной идеей всех проводимых мероприятий стало напоминание, что каждый пользователь должен лично отвечать, обеспечивать и поддерживать защиту информационных активов и ресурсов... "

Взято отсюда.

среда, 16 ноября 2011 г.

Не секрет для производства


Тем из вас, дорогие друзья, кто читает блоги коллег и комментарии к их постам, должно быть хорошо известно мое скептическое отношение к так называемым DLP-системам. Не буду сейчас пересказывать все ранее написанное в комментариях - скажу основную мысль. Аббревиатура DLP расшифровывается как Data Leak (Loss) Prevention - предотвращение утечки (утери) данных. Ключевым словом в определении является "prevention" ("предотвращение") и, по моему глубокому убеждению, термин этот является чистой воды маркетинговым ходом: для того, чтобы научить такую систему действительно предотвращать утечки, нужно ровно столько же времени, сколько научить ишака разговаривать.

вторник, 1 ноября 2011 г.

Чудны дела твои


Прелюбопытные материалы по результатам проверки Роскомнадзором соблюдения правил обработки ПДн в одной из организаций довелось мне сегодня почитать. Все как обычно: из указанного ведомства пришла "бумага" о предстоящей внеплановой проверке, цели, сроках - в общем, все как положено. А вот дальше начались "чудеса": изначально в графе "привлекаемые эксперты" значилось "не привлекаются" но, спустя некоторое время, в организацию пришло дополнение о том, что к проверке привлекается ... специалист УМВД РФ.

пятница, 28 октября 2011 г.

Сертифицированная охранная сигнализация


В мае этого года знаменитая своим альтернативным названием партия приняла в первом чтении законопроект № 534519-5 О внесении изменений в Федеральный закон "О противодействии терроризму" и Федеральный закон "О транспортной безопасности"(в части совершенствования общегосударственной системы противодействия терроризму путем усиления профилактической составляющей этой деятельности). Суть этого законопроекта сводится к появлению в Федеральном законе от 6 марта 2006 года № 35-ФЗ "О противодействии терроризму" пункта 4 в части 2 статьи 5, наделяющего правительство РФ правом устанавливать "обязательные для исполнения требования к антитеррористической защищенности объектов", и части 3 прим в той же статье, согласно которой "граждане (физические лица), в том числе осуществляющие предпринимательскую деятельность без образования юридического лица, а также юридические лица обеспечивают выполнение установленных требований к антитеррористической защищенности объектов, находящихся в их собственности или используемых ими на ином законном основании."

вторник, 25 октября 2011 г.

Вероятное неочевидно


На дворе глубокая осень, у многих - пора защиты бюджета, и в течение долгих лет мне приходится слышать печальные, навевающие уныния не меньше, чем опавшие листья и пожухнувшая трава, истории от коллег по цеху, приблизительно следующего содержания: мы планировали, считали, старались, но нам сказали что дорого, неэффективно и нецелесообразно. И ведь не идиоты придумывали мероприятия и считали затраты, и не ради себя любимых, но почему же тогда так происходит? Почему безопасность и бизнес не могут найти общего языка друг с другом, не смотря на то, что первая работает для стабильности и развития второго, а второй за это платит деньги? Попробуем разобраться на небольшом, но крайне важном примере.

понедельник, 17 октября 2011 г.

Кто последний за лицензией на ТЗКИ?


В начале мая я, видимо, вдохновленный хорошей погодой, солнцем и неизбежно надвигающимся летом, писал о предстоящим принятии нового закона №99-ФЗ "О лицензировании отдельных видов деятельности". Тогда я радовался появлению части 4 статьи 9, говорящей о том, что "к лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом" - и радость эта разбилась в августе об скалы ФСТЭК-овского проекта документа под названием "Положение о лицензировании деятельности по технической защите конфиденциальной информации". Тогда же, в мае, глядя на часть 1 пункта 5 99-ФЗ, я сожалел об отсутствии довеска про "собственные нужды" и, уже в августе, предположил, что на этом в скором времени сыграют.

пятница, 14 октября 2011 г.

Служебное пользование


Наверное, каждый из вас, дорогие читатели, помнит, как на заре защиты персональных данных, в далеком 2008 году, существовал почти оккультный труд под названием "четверокнижие". ФСТЭК рассылала труд сей по запросу, ибо имел он гриф "ДСП", да за вознаграждение малое - ибо печать и пересылка.  И каждый экземпляр труда этого был пронумерован и прогрифован соответствующим образом - не дай бог супостату в руки попадет. Времена те давно ушли, да и труд давно неактуален - да вот только гриф "Для Служебного Пользования" остался, и периодически дает о себе знать.

пятница, 7 октября 2011 г.

Экспо без инфо


Дабы подвергнуть свой слегка расслабившийся после отпуска организм встряске для скорейшего вхождения в деловое русло, ваш покорный слуга, по приглашению М.Ю. Емельянникова, направился давеча на выставку INFOBEZ-EXPO. Признаюсь честно, раньше на подобных мероприятиях мне бывать не доводилось - прежде всего потому, что не было особого желания: куда охотнее я посещаю конференции и семинары. Но надо же когда-то начинать, и тут как раз подвернулся удобный случай.

среда, 5 октября 2011 г.

Противоборство тайн


Споры о том, насколько правомочна передача банками просроченных кредитов (а вместе с ними и сведений о должниках) коллекторским агентствам ведутся не один год с переменным успехом для противоборствующих сторон - граждан и банкиров. И вот сегодня Президиум Высшего арбитражного Суда Российской Федерации опубликовал информационное письмо, которое, по мнению некоторых экспертов (в частности, Алексея Лукацкого и toparenko), ставит точку в этом вопросе. Попробуем разобраться, так это или нет и, по сложившейся традиции, конечно же будем препарировать.

четверг, 29 сентября 2011 г.

И снова в бой


Передохнув пару недель от военных действий на морском побережье, Ваш покорный слуга рад сообщить, что вновь приступает к исполнению своих обязанностей по ведению этого блога, чего бы ему это не стоило :) Конечно, возвращаться из такого окружения


 вот в такое


особой охоты не было, но дом есть дом (да и путевка закончилась :), и потому - я здесь и снова с Вами, дорогие читатели.

За время моего отсутствия произошло много важных событий, главное из которых - де-факто состоявшиеся выборы президента РФ. Сюрприза никакого не случилось - формальная власть перейдет к тому, кто обладает ею фактически, и все прогнозы относительно "закручивания гаек", в том числе и в области ИБ, с лихвой оправдаются в ближайшие 12 лет. Но унывать не будем - все равно пойдем на выборы и проголосуем за то будущее, которое нам больше нравится.

В новом сезоне постараюсь не опускать высоко взятую планку и, так сказать, соответствовать, тем более, что есть интересные идеи и обязательно будут интересные события. Ну а в ближайшей перспективе - посещение мной выставки INFOBEZ EXPO, если ничего критического не произойдет.

ЗЫ. Извиняюсь за отсутствие комментариев со своей стороны - не со зла :)

вторник, 6 сентября 2011 г.

Ein Zwei Policy


Много было сказано негатива в отношении принятых к 152-ФЗ поправок, настало время и положительные моменты осветить. Речь пойдет об одном из таких моментов - требовании, указанном в части 2 статьи 18.1, обязывающее оператора опубликовать или иным образом обеспечить неограниченный доступ к Политике в отношении обработки персональных данных и к сведениям о реализуемых требованиях по защите персональных данных, а оператора, осуществляющего сбор ПДн в Интернете - публиковать Политику на своем сайте. После появления поправок именно это требование вызвало некоторую волну возмущения: дескать, все "методы и способы" защиты теперь придется раскрывать, и злоумышленникам даже не надо будет тратить время на сбор информации для осуществления атаки. Давайте попробуем разобраться, так ли это, да и вообще - что это за документ "Политика в отношении обработки ПДн".

четверг, 1 сентября 2011 г.

Гранит науки sweet and tasty


Знаю, что блог читает много студентов, и потому не могу обойти вниманием столь важную аудиторию и не поздравить всех учащихся с наступившим Днем знаний - 2011. Впрочем, с ним же можно поздравить и читателей-родителей, чьи чада сегодня собрались в школы, институты и другие учебные заведения, да и остальных читателей - с первым днем осени.

В этот день нельзя обойти вниманием такое важное событие, как урок медиа-безопасности, проводимый по инициативе уполномоченного по правам ребенка при президенте РФ в российских школах впервые за всю историю. На этом уроке учащиеся узнают, какие правила безопасного поведения существуют в современной информационной среде, какие способы защиты имеются в интернете и мобильной связи от посягательств. Проводить его будут уполномоченные по правам ребенка или сотрудники полиции и, честно сказать, качество его проведения лично у меня вызывает определенные сомнения, но первый блин - сами понимаете. К сожалению, провести или поприсутствовать на нем в этом году мне не доведется, однако в следующем году я обязательно постараюсь провести такой урок для школьников какой-нибудь школы.

PS: Ваш покорный слуга уже смахнул пыль с пластиковой зеленой папки и вовсю готовится к проведению занятий в университете. Так что - увидимся ;)

четверг, 25 августа 2011 г.

Лицензирование и сертификация как средство ограничения конкуренции


Весьма любопытным решением Федерального арбитражного суда Северо-Западного округа поделился на днях Андрей Абрамов, за что ему большое спасибо. Решение вынесено по делу А56-17858/2010 "УФССП против ЗАО "ПетерСтар" и может быть легко найдено в базе Высшего Арбитражного Суда РФ (по простому текстовому поиску). Как говорится, будем препарировать.

вторник, 23 августа 2011 г.

Впереди планеты всей


Пока Минкомсвязь думает над количеством и составом подзаконных актов, которые необходимо будет принять во исполнение "нового" 152-ФЗ, уполномоченный орган по защите прав субъектов персональных данных, известный так же как Роскомнадзор, по ходу, уже со всем определился, издав 19 августа 2011 года приказ № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» (за ссылку спасибо Сергею С.). Документ прелюбопытнейший и достоин "препарирования", чем мы, собственно, сейчас и займемся.

воскресенье, 21 августа 2011 г.

Откуда есть - пошло. Часть 3.


Как я и обещал, публикую третью, заключительную часть изысканий относительно Идеи, из которой может происходить предполагаемый состав и содержание подзаконных актов, реализующих требования статьи 19 закона 152-ФЗ. И для начала - апгрейд картинки.

От печали до радости


Пока мы решаем третью часть головоломки относительно будущего подзаконных актов, касающихся 152-ФЗ, ФСТЭК, опубликовав проект постановления правительства, утверждающего "Положение о лицензировании деятельности по технической защите конфиденциальной информации", похоже, решило за нас предыдущую головоломку, имевшую место быть в новом законе 99-ФЗ "О лицензировании отдельных видов деятельности". Некоторые соображения по этому поводу есть у Александра Бондаренко и Руслана Пермякова.

Что касается меня - то лично я не разделяю осторожного оптимизма и считаю этот документ не лучше и не хуже, чем его действующая редакция. Требование получать лицензию определяется не постановлением, а законодательством, поэтому любые попытки отыскания в тексте отсутствующих терминов вроде "эксплуатация" являются хоть и интересными, но весьма бессмысленными. Это постановление предназначено в качестве руководства для тех, кто, изучив законодательство и решив что он таки осуществляет лицензируемый вид деятельности, собрался ее получать.

Теперь о головоломке. Помните, я писал (и многие были солидарны) о своей радости по поводу части 4 статьи 8 99-ФЗ и приводил какие-то умозаключения относительно того, что считать лицензионными требованиями? Так вот: радость была преждевременной, и я (как и сторонники позиции) ошибался, ибо лицензионные требования - это требования, которые должен выполнить соискатель для получения лицензии, и именно такие требования изложены в пункте 5 проекта положения. Более того, я ошибался дважды, сказав о том, что позиция "нет прибыли - нет деятельности - нет лицензии" была негласно принята: отсутствие термина "эксплуатация" в пп. "е" п. 4 проекта положения явно свидетельствует об обратном.

Так что ожидать дальнейших послаблений вряд ли стоит: ситуация развивается по сценарию, предусматривающему "закручивание гаек", а значит "кормушкин двор" готовится к своему торжественному открытию.

четверг, 18 августа 2011 г.

Откуда есть - пошло. Часть 2.


Продолжаем тему поиска идеи реализации ст. 19 152-ФЗ, которая в дальнейшем смогла бы стать системообразующей для подзаконных актов, в скором времени должных быть изданными под эгидой Минкомсвязи РФ. Повторюсь, дорогие коллеги: то, что здесь излагается и обсуждается - ни в коей мере не может претендовать на какой-то сформулированный документ или даже его черновик. Сейчас, пока ТАМ думают о составе подзаконных актов, мы с вами должны предложить этот состав, но не высосанный из пальца, а основанный на определенных соображениях, которые я называю ИДЕЕЙ.

вторник, 16 августа 2011 г.

Откуда есть - пошло. Часть 1.


Как я и обещал, эту неделю посвящаю подготовке некоей идеи, способной "вписаться" в нагромождения действующего с 1 июля 2011 года закона 152-ФЗ и подзаконных актов, имеющих непонятный статус. Публиковать материал буду тремя частями: поскольку третьей части еще нет, вторая сделана наполовину, но зато есть первая - соображения о направлении полета мысли законотворцев для выполнения правительством части 3 статьи 19 - это сегодня и предлагаю обсудить.

пятница, 12 августа 2011 г.

ISO помогает решать проблемы 152-ФЗ


Если бы не сообщение SecurityLab, то я бы, например, еще долго не узнал, что 17 июня 2011 года ISO опубликовала (точнее, начала продавать) стандарт ISO/IEC 24745:2011 "Информационные технологии - Методы обеспечения безопасности - Защита биометрической информации", который, как следует из названия, регламентирует обеспечение безопасности и конфиденциальности биометрической информации при обработке и хранении в информационных системах. Стандарт, в частности, описывает следующие процедуры:
  • анализ угроз и средств противодействия им, актуальных для различных биометрических систем;
  • требования к защищенности данных, позволяющих установить соответствие между биометрическими измерениями и конкретной личностью;
  • моделирование биометрических систем с учетом различных сценариев хранения и сравнения результатов измерений;
  • обеспечение конфиденциальности в процессе обработки биометрической информации.
Любопытно, но очень похожий документ правительство РФ, по идее, должно будет разработать в обозримом будущем в целях выполнения требований пункта 3 части 3 статьи 19 152-ФЗ.  Воспользуется правительство "рыбой" или нет - покажет время. Но с учетом того, что ни на стандарт BS10012:2009, ни на проект международного стандарта, принятый на 31-й конференции комиссаров по персональным данным со всего мира в 2009 году в Мадриде, ни на остальные адекватные документы по защите ПДн наши законодатели упорно не желают обращать внимание и продолжают идти своим путем - вероятность этого практически равна нулю. Тем не менее, мы с коллегами не оставляем надежд и прикладываем возможные усилия для направления проблемы в адекватное русло. Поэтому на следующей неделе я, скорее всего (но не обещаю - если будет готов), опубликую некий материал, связанный с подготовкой документов в рамках сотрудничества с Минкомсвязи для Вашей, уважаемые читатели, оценки и обсуждения.

воскресенье, 7 августа 2011 г.

Блины и комья


Пока мы с вами, дорогие читатели, в ожидании "подзаконников" неспешно оцениваем масштабы бедствия и пытаемся пропустить "через себя" каждое слово поправок, есть люди, которым уже приходится жить по-новому, и весьма активно. Эти люди - представители регуляторов, которые как молодые медвежата, вывалившиеся из берлоги, в одночасье оказались в новом мире и, обладая весьма внушительным видом и способностью причинить немало бед существам поменьше, стараются выжить в нем, как умеют. О чем, собственно, речь: 4 августа на сайте саратовского Роскомнадзора появилась публикация относительно недавно проведенной выездной плановой проверки ООО «Центр здоровья «Европласт» на предмет соблюдения требований действующего законодательства в сфере персональных данных. Проверка проводилась после принятия поправок в 152-ФЗ, и ее результаты просто не могут быть не проанализированы более детально.

суббота, 6 августа 2011 г.

По совету друзей


Дорогие читатели! Для того, чтобы создать комфортные и равные условия для всех Вас и несколько упорядочить работу с комментариями для себя (Google очень часть "кидает" комментарии в спам, даже Капча не спасает - ее я отключил), по совету Александра Бодрика я подключил к блогу "движок" DISQUS, антиспам Akismet, и по совету Алексея Лукацкого запретил комментировать сообщения анонимным пользователям. Я по-прежнему не собираюсь ничего модерировать - это цензура и я ее противник, но (особенно с учетом последних "трендов") все мы хотим знать, кто иногда поплевывает нам в лицо. Авторизоваться для комментирования можно с любым из имеющихся аккаунтов на Facebook, Twitter, Google или OpenID. Надеюсь, работа с блогом, обсуждение насущных проблем и общение с коллегами будет доставлять всем Вам еще бОльшее удовольствие! :)

пятница, 5 августа 2011 г.

Еще одна надежда


В дополнении к указу Президента РФ от 12 июля 2011 г. N 929 "О внесении изменения в Положение о Министерстве юстиции Российской Федерации...", который обеспечивает участие бизнеса в экспертизе ведомственных нормативных актов с целью выявления в них положений, затрудняющих инвестиционную и предпринимательскую деятельность, сегодня на сайте правительства РФ было обнаружено постановление № 633 от 29.07.2011 г., которое называется "Об экспертизе нормативных правовых актов федеральных органов исполнительной власти в целях выявления в них положений, необоснованно затрудняющих ведение предпринимательской и инвестиционной деятельности...". Теперь дело за МЭР - ему поручено в двухмесячный срок разработать порядок проведения такой экспертизы, и будем надеяться, что они успеют разработать его раньше, чем примут "подзаконники" по "новому" 152-ФЗ.

четверг, 4 августа 2011 г.

Элвис-плюс и бурундуки-подписанты. Часть 2.


Сергей Викторович Вихорев опубликовал второе письмо, с более конструктивной критикой и без призывов к расстрелу. Пока читаете, я позволю себе пару конструктивных комментариев.

С.В.В.: "Во-первых, и это, наверное, главное, оппоненты сосредоточились в своей критике ответа, в основном, на ТЕХНИЧЕСКИХ вопросах защиты (критика ст. 19 Закона). Лейтмотив выступлений: «Регуляторы хотят защищать устаревшими (20-ти летней давности) СЗИ, требуют обязательную сертификацию, аттестацию и вообще все это дорого, неэффективно и отстает от современного прогресса!» При этом никто из участвующих в дискуссии не говорит, КАКИЕ интересы СУБЪЕКТА ПДн ущемлены в законе, и ПОЧЕМУ он плох для субъекта ПДн (хотя в блогах о-о-очень много разговоров именно о том, что права субъекта не защищены, и именно поэтому закон плох)."

Отмечу, что это не совсем так. Цитирую открытое письмо:

Биометрия, персональные данные и фотография


В предыдущем посте на тему биометрии я рассматривал биометрические ПДн в разрезе использования их оператором для установления личности и необходимости получения согласия на их использование в соответствии с ч. 1 ст. 11 152-ФЗ. Наиболее проблемной областью в большинстве случаев является использование фотографии, и в ходе долгих и плодотворных дискуссий большинство участников склонилось к мнению, что в 99,9% случаев ее использование не служит целью установить личность субъекта. Вот только одним 152-ФЗ законодательство в области ПДн не ограничивается, и как я ни ждал, что кто-нибудь вспомнит про остальное - увы, тщетно. Так что придется напомнить самому :)

Почему не действуют постановления правительства


Алексей Лукацкий недавно опубликовал заметку относительно того, надо или нет менять систему обработки и защиты ПДн, если она была реализована до 1 июля 2011 года и выстроена в соответствии со старыми нормативами; по этому поводу в комментариях была интересная дискуссия. Читателей этого блога интересует судьба постановлений правительства РФ за номерами 781, 512 и 687, "приказа Трех" и приказа ФСТЭК № 58 после принятия 261-ФЗ, а именно - действуют они или нет? Попробуем разобраться.

среда, 3 августа 2011 г.

Биометрия, идентификация и аутентификация


Читатель Breghnev просил осветить вопросы, связанные с обработкой биометрических ПДн. Хоть я и не Евгений, но попробую ответить :). Итак:

Ч. 1 ст. 11 152-ФЗ: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

вторник, 2 августа 2011 г.

Кормушкин двор. Часть 2.


Пока community в очередной раз обсуждает замусоленные до дыр вопросы оценки соответствия и сертификации, мы с вами, дорогие читатели, рассмотрим две оставшихся "темы", первая из которых - лицензирование деятельности по технической защите конфиденциальной информации (ТЗКИ).

Уж сколько раз твердили миру, что нельзя один закон выдернуть из всей правовой системы РФ и, тыча им в физиономию всем, кто самостоятельно пытается поставить пароль на вход в ОС, с пеной у рта доказывать необходимость получения лицензии, так как они проводят мероприятия, связанные с технической защитой конфиденциальной информации. Оно и понятно: лицензирование - мероприятие отнюдь не дешевое, и поголовное лицензирование сулило невероятные "барыши" различным окологосударственным структурам. Тема ПДн для этого подходила как нельзя лучше, и потому в знаменитейших "Основных мероприятиях..." есть пункт 3.14, который как раз и был предназначен для реализации этого коварного плана.

Новые комментарии к поправкам в 152-ФЗ


Постепенно начинают появляться новые комментарии к закону 261-ФЗ. Алексей Лукацкий опубликовал сегодня хороший пост в своем блоге, ZZubra прислал свои интересные "заметки на полях" (в буквальном смысле). Такими темпами, друзья, мы будем гораздо лучше разбираться в законе, чем те, кто его разрабатывал :)

понедельник, 1 августа 2011 г.

Кормушкин двор. Часть 1.


Не далее как пару недель назад, "стараниями" законотворцев, профессиональное сообщество разделилось на два лагеря: сторонников и противников поправок к закону "О персональных данных", которые вот-вот готовы были накинуться друг на друга с перьями и бумагами, дисками и железками. Точка кипения была достигнута в момент публикации открытого письма президенту - именно тогда и начались открытые боевые действия по всем канонам информационной войны: с "троллингом", провокациями, сфабрикованными утечками и массовой истерией. Сейчас, как мы видим, все подутихло, "сторонники" отпраздновали победу, "противники" зализали раны и готовятся вести партизанскую борьбу.

четверг, 28 июля 2011 г.

В помощь страждущим


Что ж, друзья, закон принят и опубликован, жизнь - продолжается. Тем, кто уже сейчас собирается приводить локальные нормативные акты по ПДн в соответствие, очень рекомендую работу Eagle и Ronin. Первый сделал отличную сравнительную табличку былого и нынешнего, второй - состряпал полный текст действующего закона, местами снабдив его дельными комментариями (файл нужно скачивать). Если Вы и сами уже что-то сделали полезное - прошу, ссылки в комментарии.

P.S. Перечитал я сегодня свои документы по ПДн и понял...


среда, 27 июля 2011 г.

И вновь продолжается бой


Помните старую притчу про двух лягушек, попавших в кувшин с молоком? Мы впятером, как та лягушка, все еще продолжаем барахтаться в надежде хоть как-то исправить патовую ситуацию. Правда, субстанция, в которой приходится находиться, по цвету и запаху на молоко совсем не похожа, но это ничего - мы привыкши :)

На прошлой неделе представитель "подписантов" ходил на смотрины в Минкомсвязь. Главное, что удалось сделать - договориться о дальнейшем сотрудничестве при подготовке подзаконных актов. Мы, как всегда, ратовали за публичность и открытость процесса разработки "подзаконников", но на первом этапе коллеги из Минкомсвязи попросили подготовить предложения по внесению изменений в законодательство с учетом принятия поправок к 152-ФЗ. Что мы предложили:

1. Внести в КоАП и УК РФ ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции.

2. Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие «ущерб субъекту ПДн».

3. Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР, РСС и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.

4. Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов.

5. Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие фактов утечек ПДн субъектов.

Поскольку ваш покорный слуга уже отметился на поприще методик оценки то, судя по всему, именно вторым пунктом я и буду заниматься, не забывая об остальных четырех. Вас же, дорогие читатели, прошу по возможности принимать посильное участие в процессе - читать и комментировать то, что мы понапишем.

Об этом у коллег: Евгений Царев, Алексей Лукацкий.

Уголовный поиск


Как и ожидалось, после вала утечек силовики начали искать виноватых. Замечательная заметка по этому поводу вышла в газете "Коммерсант". Приведу лишь один абзац:

О том, что следственный комитет РФ, МВД и ФСБ занимаются поиском тех, кто непосредственно опубликовал персональные данные, рассказал источник в правоохранительных органах: "Очевидно, это делалось специально, кто-то писал скрипты, чтобы достать эти данные из "Яндекса". С какой целью это было сделано — пока не ясно, но вызывает некоторые подозрения тот факт, что это произошло накануне подписания президентом РФ поправок к закону "О персональных данных". Вопрос о возбуждении уголовного дела сейчас обсуждается; какое ведомство его возбудит — пока не ясно.

Во как! Оказывается, умение хорошо пользоваться поисковиком и составлять поисковые запросы нынче называется "писать скрипты" и является уголовно наказуемым деянием. А подозрения относительно "того факта" действительно небезосновательные, и какое "ведомство" за этим стоит - то и будет "возбуждаться".

вторник, 26 июля 2011 г.

Мат без шаха


По сообщению пресс-службы Кремля сегодня, 26 июля, в 10 часов 20 минут по московскому времени, Президент РФ подписал законопроект, вносящий поправки в закон № 152-ФЗ. Соответствующее сообщение размещено на сайте Президента в разделе "документы".

Спешу поздравить противоборствующую сторону (сторонников поправок) - они ожидаемо выиграли эту партию. Всем сторонникам (противникам поправок) хочу сказать огромное спасибо за поддержку: борьба была очень достойной, особенно учитывая, что силы заранее были не равны. Рыдать не станем, переведем дух, пожмем друг другу руки, и будем жить дальше. Сейчас необходимо внимательно вычитать новый закон, привести в соответствие внутреннюю организационно-распорядительную документацию и ждать "подзаконников" от Правительства РФ с "уровнями защищенности", "требованиями по защите" и "видами деятельности", которые могут контролировать регуляторы.

Полагаю, что самым увлекательным занятием в ближайшие месяцы станет скурпулезное изучение двойных толкований нового закона под девизом "найди 5 багов и получи +10 к экспириенсу" ;)

понедельник, 25 июля 2011 г.

Крылья, ноги и хвосты


По всей видимости в "Яндексе", после не совсем удачного "пробного шара", провели работу над ошибками, и сегодня вечером представили миру новую порцию персональных данных, на сей раз несколько более скандальных и приближенных к термину "ПДн способные идентифицировать субъекта", и даже косвенно относящихся к высшей категории - "интимной жизни": в поиске «Яндекса» стали доступны статусы заказов из различных интернет-магазинов, включая секс-шопы. В публичном доступе оказались имена, фамилии и контактная информация клиентов.




В "Яндексе" по прежнему утверждают, что причиной утечки стал некорректно составленный файл robots.txt, благодаря которому персональные данные покупателей можно увидеть и в выдаче Google. И здесь опять возникает интересная ситуация.

По закону, субъекты должны подавать жалобы на операторов (т.е. интернет-магазины), допустивших утечки ПДн, которые, в свою очередь, автоматически становятся виноватыми, так как не смогут доказать наличие согласия на обработку ПДн собственных клиентов (по мнению регуляторов согласие, как мы помним, должно быть письменное и содержать определенные законом сведения о субъекте). С другой стороны, магазины могут возразить, что далеко не всегда данные получателя, указанные в заказе, соответствуют реальным данным гражданина РФ, а потому являются обезличенными и не требуют ни согласия, ни защиты. Поэтому Роскомнадзору придется попотеть, доказывая обратное: ведь идентификация для достижения цели (доставка товара) происходит, а значит, собранный через интернет объем данных достаточен для идентификации субъекта в рамках конкретной бизнес-процедуры.

Второй момент заключается в том, что даже если интернет-магазин докажет наличие согласия, напирая на конклюдентные действия или публичную оферту (что само по себе будет прецедентом), и покажет, что он удалил данные из собственной ИСПДн после достижения целей обработки - он опять сможет попытаться уйти от ответственности: ну кто ж знал, что есть какой-то Яндекс с его роботом. Здесь вступает в силу другой аргумент: отсутствие технической защиты ПДн, позволяющих идентифицировать субъекта и передаваемых по сети общего пользования фактически в открытом виде. Аргумент весомый и трудно оспоримый. Но как и в предыдущем случае с "Мегафоном", SSL "прикрутить" нельзя в силу "забугорности", да и от утечки он не спасает: нужно разрабатывать специальное клиентское ПО и ставить КриптоПРО, и вместе с ним - крест на деятельности интернет-магазина.

Ну и наконец, если в ходе разбирательств все же будет установлена вина оператора, не получившего согласие, не обеспечившего защиту и неправильно настроившего файл robots.txt - в случае, если это действительно так, и к утечкам не причастно программное обеспечение Яндекс.Бар, самому Яндексу по-прежнему ничего не грозит - ведь субъекты должны подавать жалобы на тех операторов, чьими услугами они воспользовались для заказа товаров.

Если же будет установлено, что утечку спровоцировал Яндекс.Бар или (в меньшей степени) Яндекс.Метрика - вот это будет действительно круто, так как получается, что пользователь поставил свободное, бесплатное, официально распространяемое НО непроверенное (несертифицированное) регуляторами ПО, и тем самым попал под удар. Именно такой вариант развития событий на руку всем "толкателям" законопроекта, но не на руку самому "Яндексу", чьи акции с недавних пор торгуются на Nasdaq. На графике видно, как после первой утечки, случившейся 18 июля, после достижения "критической информационной массы" рынок "отыгрывает" данные: небольшой "бабах" в полтора доллара на акцию 20 июля весьма существенно сказывается на объеме размещения. Хотя эксперты биржевой торговли склонны полагать, что бумага "шла в тренде" с рынком, и связывать падение с сообщением об утечке не стоит, да и восстановилась она достаточно быстро (если бы не "тренд" то, возможно, от отсутствия претензий со стороны регуляторов).


Посмотрим, как завтра отыграет рынок эту информацию. В любом случае, до компенсации ущерба субъектам дело вряд ли дойдет: в отличие от "Мегафона", готовящегося выплатить от 30 до 40 тысяч рублей государству за нарушение лицензионных требований, определяемых  федеральным законом "О связи", и добровольно согласившегося компенсировать моральный ущерб абонентам в виде бесплатных пакетов СМС и минут разговора (на этом фоне совершенно забавными выглядят начальные оценки ущерба в размере до 1 млрд долларов - это ж сколько можно СМС отправить), небольшие компании гораздо меньше пекутся о своей репутации, а взыскать с них ущерб в судебном порядке будет, увы, практически невозможно.

И самое главное - ни у кого нет ответа на вопрос: если бы интернет-магазин выполнил ВСЕ требования законодательства, включая оргмеры и техсредства (которые совершенно "глухи" к такого рода вещам как robots.txt), признал бы его суд виновным и присудил компенсацию ущерба, или дело ограничилось бы наказанием системного администратора за ненадлежащее исполнение своих обязанностей (которые не факт, что где-то надлежащим образом прописаны)? Лично я очень сильно сомневаюсь.

Именно поэтому вторая утечка еще раз показывает ущербность подхода "требования превыше всего", заложенного как в действующем, так и (в большей степени) предполагаемом законодательстве о персональных данных, но это видно только специалистам; основная масса граждан, по замыслу режиссера, снова должна впасть в истерику. Тем же, кто истерить не собирается, должно быть давно понятно: в Интернете нет и не может быть никакого прайвэси, и потому никакими мерами и средствами нельзя защитить то, чего нет по определению.

Следим за реакцией и ждем новых утечек.

UPD: И в преддверии подписания поправок президентом они не заставили себя долго ждать :)

Нормальный бизнес


Задался я, дорогие читатели, вопросом - а куда же мы, собственно, наши петиции направляли. И наткнулся в журнале Коммерсант.Власть на интересную статистику. В настоящее время деятельность администрации президента регулируется Положением об администрации президента РФ, введенным в действие указом главы государства от 6 апреля 2004 года. Структура АП включает 14 управлений, референтуру и канцелярию, аппараты Совета безопасности РФ, советников и полпредов, секретариат руководителя. На конец 2010 года численность сотрудников составляла 1547 человек, укомплектованность должностей - 79,6%. По данным Росстата, среднемесячная зарплата сотрудников администрации в 2010 году составила 85,8 тыс. руб., в первом квартале 2011 года - 86,1 тыс. руб.

19 июля администрации президента исполнилось 20 лет, и Коммерсант.Власть считает, что путем путем неимоверных усилий и многократных реорганизаций, власти вернулись к тому, от чего пытался уйти Борис Ельцин в июле 1991 года - фактическому воссозданию Политбюро ЦК КПСС. Именно этот факт, судя по всему, не дает покоя другим структурам, которые в своем стремлении вернуть былое "доперестроечное" величие пока отстают от президентского "передовика", и потому семимильными шагами по головам сограждан сокращают дистанцию и наращивают темп.

Злословы, которые в последнее время взяли моду прикидываться, по их терминологии, "стадными баранами", сейчас начнут язвить: что, Волков, никак успокоиться не можешь в борьбе с ветряными мельницами? Так мельницы крутятся, пока в их сторону дует ветер, и многолетняя историческая практика показывает, что вечно в одну сторону он дуть ну никак не может. Будет или нет очередной порыв - узнаем уже совсем скоро: 27 июля, до которого президент должен подписать поправки к 152-ФЗ, не за горами.

четверг, 21 июля 2011 г.

Паровоз вперед летит


Говорил я с пенька гражданина, с трибуны доцента - настала очередь и о профессии кое-что сказать. Читая протокол знаменитого трехсотого заседания Совета Федерации, можно наткнуться на интересное предложение в поддержку принятия законопроекта, высказанное вице-спикером СФ Светланой Орловой. По ее мнению, закон необходим потому, что "надо двигаться вперед". Почему вперед - понятно: сторонники поправок говорят, дескать, 152-ФЗ в его предстоящем виде будет локомотивом и сподвигнет всех защищать не только ПДн, но и все остальное. А требования потом приведут в норму, все устаканится.

Но коллеги, давайте все же не путать нашу личную заинтересованность с общественной необходимостью. Мне точно так же, как и вам, хочется кушать, как преподавателю мне жаль студентов, в большинстве своем работающих в лучшем случае системными администраторами. И те поправки, что подменили, НАШУ позицию точно бы не ухудшили: нам-то какая разница, ставить DeviceLock сертифицированный или нет - все равно оба с одинаковым "косяком".

По моему глубокому убеждению, гораздо проще, основываясь на больших штрафных санкциях и неизбежной обязанности оператора компенсировать ущерб субъекту, убедить руководство внести кое-какие коррективы в процессы обработки данных и потратить немного денег на приобретение дополнительного ПО и оборудования. Теперь же, после принятия поправок, возможно, многим ИБ-шникам придется заявить, что годами совершенствовавшаяся СУИБ для защиты ПДн никуда не годится, соблюдение обязательных требований законодательства будет тормозить бизнес-процессы, а имеющееся ПО и оборудование можно выкинуть на помойку и закупать новое, с такими же названиями, но в три раза дороже.

Руководитель, выслушав такое заявление, посмотрев на перечень защищаемой информации в виде "ФИО, должность, домашний адрес, зарплата" и сопоставив смету затрат со смехотворным размером ответственности, будет смотреть на ИБ-шника взглядом, в котором будет читаться немой вопрос: "ты что, идиот?" И даже не знаешь, на кого в ответ пальцем показать...

Ответ Минкомсвязи на обращение


Всем спасибо, все свободны :)



среда, 20 июля 2011 г.

Предсказатель будущего


Мы сегодня в цирк поедем!
На арене нынче снова
С дрессированным медведем
Укротитель дядя Вова.

От восторга цирк немеет,
Хохочу, держась за папу,
А медведь рычать не смеет,
Лишь сосет потешно лапу.

Сам себя берет за шкирки,
Важно кланяется детям.
До чего забавно в цирке
С дядей Вовой и медведем!

© Михаил Юдовский, 2009

ЗЫ: и мы с Вами, коллеги, туда поедем и, увы, уже совсем скоро...

Керогаз подсознания


Сегодня с утра видел аж 2 репортажа, подогревающих истерию, наподобие вот этого (был позавчера):



Обратите внимание, как ненавязчиво "пыжат" банки (мы помним, что АРБ написала письма президенту и премьеру, и банковское лобби было наиболее сильным в стане противников поправок). Шоу маст гоу он :)

Рука Гроссмейстера


Наблюдая за происходящим, можно сделать однозначный вывод (эка новость) о сильнейшем желании "протолкнуть" законопроект именно в том виде, в котором он прошел Государственную Думу и Совет Федерации. Скандал с Яндексом и Мегафоном, хоть и не имел непосредственного отношения к персональным данным, вызвал бурную истерическую реакцию среди граждан, блогосферы и СМИ, докатившуюся сегодня до депутатов. Последние намерены проанализировать действующие нормы законодательства о персональных данных на фоне сканадала с попавшими в интернет SMS-сообщениями, отправленными с сайта "МегаФона", и в случае необходимости совместно с правительством подготовить предложения по ужесточению требований к хранению персональных данных, сообщил глава думского комитета по информполитике Сергей Железняк.

О чем это говорит? Прежде всего о том, что противостояние сторонников и противников поправок действительно перешло на новый качественный уровень, и те, кто с таким усердием "пропихивал" поправки, теперь вынуждены предпринимать незапланированные ранее шаги по стабилизации ситуации. Надо признать, что это у них весьма хорошо получается. Крайне удачный момент возникновения утечки говорит о том, что скандал мог быть спровоцирован с целью убить двух зайцев. Во-первых, необходимо было создать ответный общественный резонанс и через него повлиять на мнение Президента. Во-вторых, необходимо было создать "план Б" на случай, если Президент все же отклонит законопроект и направит его на доработку, что так же удалось. Готовность думского комитета ужесточить требования свидетельствует о том, что результат "доработки" может быть еще "круче", чем имеющийся документ, а проект Указа Президента, опубликованного на WikiLeaks, дополнительное этому подтверждение:



Все, что должно было быть сделано "толкателями" в ответ на поднятую шумиху вокруг поправок - сделано блестяще: шикарная партия, господа! И сейчас, пока ФСБ занимается расследованием по факту похищения кодов у всегда готового к сотрудничеству Яндекса, якобы имевшего место быть в результате "атаки" на системы индексирования, что спровоцировало утечку, а Мегафон отплевывается от абонентов, прокуратуры и Роскомнадзора, потому как в утечке виновен его подрядчик, допустивший ошибку администрирования сайта, мы все наблюдаем это представление и ждем решения Президента.

Достучаться до небес


Ну, что, коллеги, вот и второй ответ Администрации Президента на второе обращение.



Судя по всему, только Ригелю повезло...

Копипастеры на службе государства


Выполняя общественную нагрузку в виде преподавания в ВУЗе, ваш покорный слуга получает достойную компенсацию в виде огромного удовольствия от общения с подрастающим поколением, возможности делиться с ним имеющимися знаниями и опытом, и приобретения практики выступлений перед неподготовленной аудиторией. Радует, что большинство студентов - талантливые ребята, с огнем в глазах и стремлением к получению знаний. "Умников", которым кажется, что "это им не пригодится" и откровенных "забивал" тоже хватает, но не от глупости, а от лени. С ней мне, как человеку (в себе) и как преподавателю (в студентах) в основном и приходится бороться.

И вот, бывает, берешь курсовую работу, открываешь - и не знаешь, как, а главное - ЧТО в ней оценивать: то ли превосходное умение пользоваться сочетаниями клавиш Ctrl+C,Ctrl+V, то ли посредственное умение искать нужную информацию, то ли никуда не годное качество документа и его содержание, то ли полное отсутствие хотя бы строчки собственных мыслей. "Забирай, копипастер, добавишь хоть абзац своего - поставлю три" - говорю я обычно в таких случаях. Но именно этот "абзац" становится ему дороже всех.

Бывает, читаешь проекты нормативных документов регуляторов, и ощущение "дежавю" где-то в дальнем углу подсознания включает маленький тумблер: бааа, знакомые все вещи! Вчитываешься и понимаешь: все тот же, старый добрый "копипаст" - лихо закрученная и совершенно неструктуированная солянка из действующего законодательства и древних как мир нормативов, изложенных современным языком без изменения сути и без оглядки на современные реалии жизни. Вот только вернуть этот документ "копипастерам" на доработку, увы, уже нельзя. Почему? Да потому, что студенты-"троечники", "засунутые" в параллельный нашей реальности мир благодаря своим преподавателям, выросли, но благодаря руководству и старшим товарищам продолжают там находиться по сей день, и уже оттуда, через однонаправленный портал, оказывают весьма сильное влияние на наше измерение.

Есть ли надежда изменить ситуацию? Многое зависит от тех, кто и КАК будет учить подрастающее поколение. Сможет ли преподаватель обладать достаточными компетенциями и практикой, быть современным и разговаривать на понятном для студентов языке? Сможет ли он заинтересовать и увлечь молодежь, заставить их генерировать прогрессивные идеи и смотреть в будущее не взирая на ограничительные рамки? Если да, то все получится, и в любом случае - время покажет. Но пока, увы, всем нам приходится жить в условиях, когда существуют два параллельных мира, о которых еще полгода назад так хорошо написал М.Ю.Емельянников.

вторник, 19 июля 2011 г.

Не мытьем, так катаньем


По сообщению газеты "Коммерсант", президент РФ подписал указ, который обеспечивает участие бизнеса в экспертизе ведомственных нормативных актов с целью выявления в них положений, затрудняющих инвестиционную и предпринимательскую деятельность. Министерство экономического развития (МЭР), куда будут жаловаться предприниматели, сможет проводить экспертизу действующих актов, а Министерство юстиции теперь вправе требовать от ведомств их отмены или корректировки.

Это, безусловно, положительная новость, так как появляется надежда на то, что те самые "уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных" и "требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных", будут разработаны с учетом мнения субъектов и операторов, если, конечно, эти документы будут выложены на публичное обсуждение больше, чем на 5 минут для "галочки", и если согласованный со всеми сторонами вариант опять не будет "подменен" перед подписанием.

Российский союз промышленников и предпринимателей уже подготовил перечень документов, вызывающих у бизнеса озабоченность (можно посмотреть здесь), однако по тематике ПДн в нем ничего нет.

Законодательный тупик


Об утечке сведений, содержащихся в отправленных абонентам Мегафона коротких сообщений (СМС) через форму на веб-сайте компании, в публичный доступ через кеш поисковой машины Яндекс, написали многие. Эксперты называют несколько причин случившегося, главной среди которых является пресловутый человеческий фактор. Оставим разбор ситуации техникам, а сами попробуем взглянуть на проблему с точки зрения защиты ПДн и соблюдения прав субъектов ПДн.

Прежде всего о том, что утекло: это номер получателя и некий текст, который по закону подпадает под определение части 2 статьи 23 Конституции РФ (тайна переписки), а случившийся инцидент - под часть 1 статьи 138 УК РФ " Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений" и наказывается "штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года". Роскомнадзор усмотрел в случившемся нарушение оператором закона "О связи", Правил оказания услуг связи, (а следовательно, и лицензионных условий), что тоже влечет за собой административную ответственность. В случае, если все это будет доказано - оператору грозит серьезное разбирательство.

Но вот с точки зрения соблюдения прав граждан как субъектов ПДн дело обстоит куда сложнее. Прежде всего потому, что исходя из формулировок действующего законодательства, крайне тяжело определить, можно ли идентифицировать субъектов, чьи данные так или иначе попали в открытый доступ. Так получается потому, что человеку, не обладающему доступом к базе сотового оператора или не знающему, кому конкретно принадлежит номер, невозможно идентифицировать отправителя (идентифицировать - это значит показать на него пальцем при встрече). Другое дело, что базы данных продаются на каждом углу, однако сами они получены нелегальным способом, и Роскомнадзор их наличие в открытой продаже не должен принимать во внимание. Таким образом, если Роскомнадзор признает, что сведения, передаваемые через веб-форму, являются обезличенными, либо юристы Мегафона докажут, что они являются таковыми, оператор "соскочит" с ПДн, поскольку, согласно действующих нормативов, он не обязан принимать мер по обеспечению их конфиденциальности (ч. 2 ст. 7 152-ФЗ).

С другой стороны, среди утекших номеров обязательно найдется часть, известных не только их владельцам, но и кому-то еще. Предположим, что этим "кем-то еще" оказалась девушка Ира, узнавшая номер мужа Пети, которому "с любовью" писала какая-то "его рыбка", и это была не она (Ира) сама. В этом случае у Пети, по понятным причинам, могут быть серьезные проблемы, по идее подпадающие под определение "морального вреда", а может быть, даже развод и дележ имущества. Поэтому если Роскомнадзор докажет, что данные хотя бы в определенной части не являются обезличенными и позволяют кому-нибудь идентифицировать хотя бы одного субъекта, оператор также "попадет" на административную ответственность за непринятие мер по защите ПДн. Конечно, оператор может заявить, что он в данном случае не определяет целей обработки ПДн и выступает как сервис-провайдер, а цель определяют сами абоненты, отправляющие СМС, и что содержание ПДн в СМС и сопутствующая их обработка это не самоцель - но неизвестно, как на это отреагирует суд.

Роскомнадзор не может установить размер ущерба - он может лишь подтвердить, что было нарушение, что ущерб, возможно, был нанесен, и направить материалы в прокуратуру. И поэтому выбивать компенсацию за причиненный вред и доказывать, что вред был в принципе, придется самому субъекту в суде. Не смотря на то, что в исковом заявлении субъект может попросить сколь угодно большую сумму (некоторые эксперты оценивают сумму исков до 1 млрд. долл.), учитывая судебную практику, рассчитывать на ее получение не приходится, даже ссылаясь на то, что ушла жена и забрала пол-квартиры: от 3 до 10 тысяч рублей - стандартная величина  (нечего было шляться, уважаемый суд).

Теперь о том, какие меры обязан был принять оператор для обработки и защиты данных, передаваемых через веб-форму, в случае, если таковые являются не обезличенными. Прежде всего, организационные: необходимо получить согласие на обработку ПДн с КАЖДОГО, кто отправляет данные через эту форму. Согласия абонента, номер которого указывается в поле "получатель", совершенно недостаточно, поскольку в теле сообщения могут быть не только его данные, но и данные отправителя, и вообще любых третьих лиц (которых надо уведомить). Сюда же "приплетается" трансграничная передача ПДн (доступ к форме возможен из-за рубежа) со всеми вытекающими. Ну и конечно, технические меры - в первую очередь обеспечение конфиденциальности, которую в сетях общего пользования ни чем другим, кроме как шифрованием, не обеспечить. А учитывая необходимость массового и свободного доступа к сервису, это значит HTTPS, SSL и "забугорный" алгоритм, что тоже не есть хорошо с точки зрения российского законодательства. Кроме того, по мнению Дмитрия Евтеева, использование шифрования (равно как и других "методов и способов" - мое примечание) для защиты ПДн, отправляемых через веб-форму, от такого рода утечек не приводит к должному эффекту, и  результат был бы аналогичен.

Как обстоят дела с грядущими поправками в случае их подписания президентом? Поразительно, но точно так же, если еще не хуже. Благодаря изменениям в определении "персональных данных" (пункт 1 ст. 3), совершенно исчезает смысл "обезличенных" ПДн, так как ЛЮБАЯ информация, прямо или косвенно относящаяся к субъекту, будет считаться ПДн. В статье 7 убрана часть 2, благодаря чему оператор будет обязан не разглашать без согласия субъекта любые его ПДн. Сделать ПДн, отправляемые через веб-сайт общедоступными может только сам субъект, и оператор должен доказать, что у него есть основания это полагать и обрабатывать их без согласия субъекта, которое может быть либо письменным, либо с ЭЦП. Но в данном конкретном случае, любое принуждение субъектов к признанию отправляемого текста в качестве общедоступных ПДн является прямым нарушением Конституции. В остальном - никаких изменений: и согласие, и "трансграничка", и методы защиты.

Таким образом, и сейчас, в случае признания ПДн, передаваемых посредством веб-формы для отправки СМС в качестве "позволяющих идентифицировать субъекта", и потом, после подписания поправок президентом, операторам проще отказаться от этого бесплатного сервиса и, тем самым, заставить абонентов безальтернативно тратить свои кровные посредством отправки СМСок исключительно с помощью абонентских терминалов - телефонов, смартфонов и КПК, планшетов и что там еще есть.

Лично для меня, как для стороннего наблюдателя, самым интригующим моментом является тот факт, что какое бы решение не принял сейчас Роскомнадзор и суд, после принятия поправок оно может быть пересмотрено: законопроект, лежащий на подписи у президента, имеет обратную силу, так как действие его распространяется на правоотношения, возникшие после 1 июля 2011 года. Так что пожелаем всем удачи - и субъектам, и оператору, и будем следить за развитием событий.

понедельник, 18 июля 2011 г.

Встреча президента с директором ФСБ


По сообщению пресс-службы Кремля, она состоялась сегодня, в 15.00. Официальная тема - доклад директора ФСБ об оперативной обстановке и проведении профилактических антитеррористических мероприятий в стране.

С директором Федеральной службы безопасности Александром Бортниковым.

Интересно, разговаривали они о поправках к 152-ФЗ, или нет?

Письмо президенту от АРБ


Про письмо премьер-министру от Ассоциации российских банков, опубликованное 14 июля, я уже писал. И вот сегодня на сайте АРБ опубликовано еще одно письмо - только на этот раз Президенту. Просьба все та же - отклонить законопроект. Да и аргументы знакомые: отсутствие отраслевого регулирования, несоответствие методов поставленным целям, потенциально неограниченный круг государственных нормотворцев и контролеров. Подробнее - в блоге М.Ю.Емельянникова: "соревнование перешло в другую весовую категорию."

суббота, 16 июля 2011 г.

Мухи и котлеты


В прошлый раз я выступал с невысокого и трухлявого пенька гражданина РФ, коим по великому счастью мне доводится являться. Нынче попробую порассуждать в качестве доцента кафедры Череповецкого государственного университета. Следя за комментариями различных (хороших) специалистов, волею судеб представляющими разные стороны в противоборстве, можно выделить несколько основных проблем, перемешавшихся между собой до такой степени, что пора уже приглашать Геракла и чистить авгиевы конюшни.

Первая проблема, имя которой - коррупция, имеет глубокие исторические корни и национальные особенности, благодаря чему поразила практически весь государственный аппарат словно раковая опухоль. От нее не спрятаться, не скрыться, через зараженные государственные и муниципальные учреждения она проникла во все отрасли экономики, в том числе такие специфические, как защита информации. И в этих отраслях стали появляться метастазы в виде организаций-"прокладок", выполняющих функции, навязанные отечественным законодательством которое, в свою очередь, пролоббированно структурами, так или иначе владеющими такими "прокладками". Эти функции зачастую важны и нужны, но вот качество их выполнения "прокладками" оставляет желать много лучшего, ибо смысл их существования проистекает от породившей их опухоли - все той же коррупции.

Именно по этой причине у большинства граждан любые обязательные требования, навязанные государством, имеют такое большое противление. В нашей стране купить можно любой документ, не поддельный - а самый настоящий, у тех, кто официально его выдает. Такая ситуация происходит потому, что государство, установив требования, обязав всех их выполнять и регулярно проверяя их соблюдение, тем не менее, не несет никакой ответственности. Нет, бывают конечно исключения - но они происходят только потому, что государство добровольно соглашается ее на себя взять. Так было и с "Хромой лошадью", и с "Булгарией", и с некоторыми другими подобными случаями. Тяжело об этом говорить, но здесь сыграла роль массовость трагедий. Ну и конечно, опыт показывает, что больше всех остальных "ни за что не отвечают" т.н. "силовые" ведомства и люди, имеющие с ними хорошие отношения - достаточно вспомнить дело майора Евсюкова или ДТП на Ленинском проспекте.

К чему я распинаюсь об очевидных вещах? Да все к тому же - к обязательным требованиям и оценке соответствия средств защиты. Безусловно, прежде, чем эксплуатировать средство защиты (любое, а не только информации), необходимо провести испытания и убедиться в том, что оно способно выполнять свои функции. Но тот, кто такие испытания проводит, обязательно должен отвечать за результат, равно как и тот, кто устанавливает требования безопасности и проводит регулярные проверки их соблюдения. И если таким органом является государство, то именно оно должно отвечать перед теми, в чьих интересах эти требования и средства разрабатываются. Пока же, увы, этого не происходит: сертификат, выдаваемый государством, в большинстве случаев годится лишь для расклеивания в туалетной комнате, а обязательные требования - для обогащения их проверяющих. Есть ли выход? Конечно, есть. Прежде всего полноценный общественный контроль за проверяющими и создание систем оценки соответствия, альтернативных обязательной сертификации. Что мешает? Ответ прост: все та же раковая опухоль.

Вторая проблема проистекает из первой, и заключается она в подмене целей. Об это я уже писал, но сейчас речь пойдет о другом. Для того, чтобы регулировать безопасность дорожного движения, нужны дороги и транспорт. К счастью, люди ходят пешком и ездят на общественном транспорте, а те, что любят комфорт, сами с охотой покупают машины. Поэтому для того, чтобы создать питательную среду для раковой опухоли, никаких особых усилий предпринимать не нужно.

С защитой информации дело обстоит куда сложнее: информация есть везде, кто хочет - тот защищает, но таких до недавнего времени было очень мало и недостаточно для создания питательной среды. С государственными структурами тоже все было не так просто: бюджет хоть и был, но не резиновый, и какие-либо веские основания  расходования его на защиту информации в огромной массе бюджетных учреждений, в лучшем случае обрабатывавших ДСП, отсутствовали.

Именно поэтому до определенного времени специалисты по защите информации, как увольнявшиеся с государственной службы, так и в некотором количестве выпускавшиеся из российских ВУЗов, были не так востребованы, и предложение превышало спрос. Рынок ИБ ориентировался на "частный сектор", подогреваемый вирусописателями, и крупные компании, работавшие с зарубежными партнерами. Поэтому специалистам зачастую приходилось работать совсем не там и заниматься не тем, что они умели делать и чему их учили. Так было до того времени, пока не приняли 152-ФЗ.

Я не знаю, насколько те, кто "протаскивал" нынешние поправки, хорошо справляются со своими должностными обязанностями - не мне судить. Но в том, что они прекрасные бизнесмены с великолепным стратегическим мышлением, я готов расписаться! Умело подменив защиту ПРАВ и СВОБОД "человека и гражданина при обработке его ПДн" защитой ДАННЫХ, они создали поистине огромный по масштабам, перспективный и гарантирующий стабильный доход рынок и труда, и услуг, и оборудования. И рынок этот, благодаря своим размерам, создает ну очень плодородную почву для раковой опухоли.

И что в этом такого - спросите вы, - ты что, Волков, идиот? Это же очень хорошо, прежде всего - для тебя, потому что не надо обосновывать свое существование в компании, где ты работаешь, не надо обосновывать затраты, да и студенты твои будут гарантированно трудоустроены! Это же БЛАГОДАТЬ!!!

Так-то оно так, господа. Да только цель закона - ИНАЯ. Я безусловно согласен с тем, что в России зачастую очень тяжко приходится ИБ-шнику, прежде всего потому, что приходится быть кем угодно, но не самим собой. Таковы уж особенности малого и среднего российского бизнеса: произвел (или украл), продал, купил, еще продал, свалил, открыл что-то новое. Причины - все та же раковая опухоль. Кому в этих условиях есть дело до ИБ? Но я категорически против того, чтобы решать проблему отношения к ИБ в России, подменяя и в конечном счете не решая другую, более глобальную и важную - защиту ПРАВ и СВОБОД субъектов тех самых злосчастных ПДн, и за их собственный счет.

пятница, 15 июля 2011 г.

Козел-провокатор


Получил на почту такой вот достойный опубликования месседж (оригинальная орфография сохранена).

Добрый день А.Н.Волков. Не стану желать вам и таким как вы здравия. Вы и такие как вы все ваши сообщники приспешники или как вас везде кличут подписанты ничего ровным счетом не понимаете в том что хочет сделать государство для нас, его граждан. Вы и такое как вы выставляете наши спецслужбы стоящие на защите интересов государства в черном цвете, а их сотрудников как профанов жаждущих наживы. Вы как козел провокатор купившийся на западные подачки уводите стадо на верную погибель и в это стадо примыкают новые бараны. Вы и такие как вы посягнули на страну которая вас выростила и выкормила, на людей которые защищали, долгие годы защищали мир от ядерной войны и рисковали всем что у них есть. В вас нет ничего святого. Вы недостойны называться гражданином нашей страны. Отправляйтесь в вашу хваленую европу, лондоны и мадриды к березовским и другой либерастической швали. Без вас и таких как вы Россия давно процветала. Без уважения, патриот Родины.

Остается только сказать "меее-ее-ее-ее" и ковылять в огород за капустой.

Запятые над Ы


Минула неделя с момента опубликования открытого письма Президенту. За это время чего только не произошло, каких только статей, постов, писем, комментариев, откровенных выпадов и обвинений не начитались его авторы, одним из которых является и ваш покорный слуга. Нет смысла все пересказывать - Вы, дорогие читатели, были всегда в гуще событий и поддерживали (или не поддерживали) инициативу как могли. Пока страсти немного поулеглись, самое время немного абстрагироваться и пофилософствовать. И, поскольку это мой персональный блог, философствовать я буду сам, простите за такую нескромность.

Что побудило лично меня стать одним из инициаторов? Противники кричат - пиаааааааар!!! Отнюдь. Стать инициатором меня побудили, как ни странно, гражданская позиция и собственное видение и понимание проблематики. Противники закричат - пааааааафос, громкие словааааааааа, какой ты нафиг экспееееееерт!!! Ну хорошо, пусть я никакой эксперт. Тогда поведу речь как гражданин, который "немного в курсе".

Давайте внимательно посмотрим на название Конвенции: "О защите физических лиц при автоматизированной обработке персональных данных". Целью Конвенции, согласно статьи 1, является обеспечение на территории каждой из Сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных. То есть, защита данных - не самоцель. Главное, ради чего все делается - выделено жирным шрифтом (бааааа - да это же те самые, "пафосные" слова).

Европейские страны это четко понимают, и поэтому главный упор делают на безукоснительное соблюдение всего того, что у нас считается "пафосом".  При этом никто и нигде не регламентирует, каким образом те самые "данные" защищать.  И поэтому и действующий закон, и тот, что принимают, как ни крути, а все же не соответствует современному западному подходу. Я полагаю, в том, что Ю.В.Травкин и М.Ю.Емельянников эксперты - никто не сомневается, а они говорят именно об этом, стоит почитать их блоги и публикации.

Дилетааааант - закричат противники - смотришь в книгу видишь фиииигу!!! И вправду - статья 2 нашего Закона фактически провозглашает ту же цель, что и Конвенция: защита прав и свобод человека и гражданина... Только об этом никто не знает - даже сенаторы: когда г-н Сурков вещал в Совете Федерации на рассмотрении Законопроекта о том, что закон, дескать, предназначен для обеспечения "информационной защиты персональных данных" - никто и ухом не повел. А это значит, цели сбились окончательно и бесповоротно, и на весь этот "пафос" - права человека и гражданина - всем действительно наплевать.

Ну ладно, хорошо. Пусть так. Пусть данных. Пусть государство регулирует. Но почему ТАКИМИ методами? Чем они обусловлены? Кто их выдумал вообще? Государство, по аналогии с защитой гостайны и "конфиденциальной информации"? Пардон, но ведь это самое государство и является главным источником утечек. Поглядите вокруг - чьи базы предлагают на рынке, частных контор, что ли? И скажите, как тот, кто не может защитить данные у себя внутри, может потребовать этого от меня, тем более, принимать такие же меры защиты, как и он сам? Это не лучшие, а "худшие практики"!

Но и это еще не все. Государственные структуры кричат: у нас денег нет на выполнение этих требований, все очень дорогое. Можно понять - бюджет не резиновый. Но бизнес-то побогаче, и в большинстве своем заботится о своих профессиональных секретах. Надо ПДн защищать? Да без проблем - будем, так же как и все остальное. "А вот шиш вам" - говорят "регуляторы" - "вся ваша защита гроша ломаного не стоит: средства-то не сертифицированные, системы - не аттестованные, криптография - импортная. Надо все приводить в соответствие". "Пардон, но почему? Чем то, что у меня есть, отличается от того, что стоит в 2 раза дороже?" - недоумевает бизнес, - "Вон - и название такое же". "Нееееет" - говорят регуляторы - "мы не проверили, значит, оно не выполняет своих функций, тебе надо вон то, с голограммой, с ним все в порядке. Можно сертифицировать и аттестовать то, что уже есть: иди в воооон ту контору, там тебе все быстро слабают, по договорной цене. Скажешь что от нас - скидку сделают. А будешь сопротивляться - будешь лицензию получать, ты же теперь "конфиденциальную информацию обрабатываешь".

Противники закричат - так было раааньше, новый законопроект либерааааааальный. Коллеги, кого мы обманываем? Неужели кто-то еще питает иллюзии в том, что этот законопроект, проталкиваемый с такими интригами и таким напором, действительно изменит ситуацию? Что подзаконные акты, которые должны быть разработаны в дополнение к нему, ни с того ни с сего вдруг будут проявлением либеральности? Что "регуляторы" после титанических усилий отдадут с таким трудом отвоеванный ОГРОМНЫЙ кусок пирога? Вопрос, мне кажется, риторический, НО если это действительно случится, я съем шляпу А.Лукацкого (если он, конечно, разрешит).

Принимаемый законопроект полностью соответствует своему времени и той стране, в которой его принимают: коррупция, сопоставимая с ВВП, сырьевая экономика, задрюченный до полусмерти бизнес и бесправные граждане - что может быть лучше? Можно сколько угодно "буквоедить" и "гнобить" авторов всевозможных протестных петиций и посланий, в том числе и тех, кто написал и подписал открытое письмо: блог все стерпит. Но протест этот, как ни крути, имеет железобетонные основания: "понимающий" народ просто устал быть дойной коровой в стране, где "права и свободы человека и гражданина" считаются пафосными и пустыми словами.

И, что самое печальное, все это делается под видом искреннего желания соответствовать европейским ценностям (правам человека и все такое) и лучшим мировым практикам в области защиты ПДн. Волей-неволей, но иногда приходит дикая мысль: какой смысл соответствовать Европе в деле защиты прав и свобод субъектов ПДн, если со всеми остальными правами и свободами у нас едва лучше, чем в Мозамбике? Тьфу, тьфу, чур меня...