четверг, 17 февраля 2011 г.

Три с половиной миллиона рублей


Именно в такую сумму обошлось одной хорошо знакомой мне вологодской конторе проведение комплекса мероприятий, необходимых для получения лицензии федеральной службы по техническому и экспортному контролю на деятельность по технической защите конфиденциальной информации. При этом первоначальные затраты оценивались в 3 раза меньше. Коллеги делали все сами, без привлечения интеграторов: сами разрабатывали документы, готовили помещение, закупали оборудование, заключали договора, и столкнулись при этом с невероятной бюрократической махиной, практически на каждом шагу отыскивающей "скрытые" недостатки и "заворачивающей" документы с обоснованиями, достойными пера Жванецкого.

Если предположить справедливость доводов о необходимости поголовного получения лицензии на ТЗКИ всеми без исключения операторами ПДн, то вопрос к вам, уважаемые представители малого и среднего бизнеса: готовы ли вы раскошелиться?

PS. Матом только не отвечайте...

среда, 16 февраля 2011 г.

Ждите ответа. Надежда есть.


Роскомнадзор работает как часы и, надо признать, гораздо лучше, чем ожидали многие читатели этого блога. Автор обращения (предысторию смотрите в этом и этом постах) получил сегодня заказное письмо из Роскомнадзора, судя по почтовому штемпелю - отправленное аккурат 11 февраля, в день истечения срока рассмотрения. Содержание его следующее:

Слух меня не подвел - проверяет поликлинику именно Роскомнадзор, и по ее результатам обратившемуся будет выслано новое письмо. Следует отметить, что ответ на обращение пришел из г. Москвы - центрального аппарата Федеральной службы, а это означает, что обращения граждан, отправленные с веб-сайта, рассматриваются именно там. Скорее всего, "центр" сам не проводит проверку - задача "спускается" на региональный уровень, в территориальное управление. Но своевременность и качество проверки, я полагаю, должно быть на контроле "центра", что безусловно является плюсом.

Что ж, поживем - увидим, до 24 февраля (точнее - до 1 марта, судя по штемпелю почты письмо идет 5 дней) осталось немного времени. Но эффект, как мы уже успели убедиться, имеется, и явно положительный.

вторник, 15 февраля 2011 г.

Порядок есть... Порядок?


В конце прошлого года я писал заметку о том, как защищаются персональные данные пациентов в одной из череповецких поликлиник. В комментариях я указал, что в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) по этому поводу было направлено официальное обращение через соответствующую форму на веб-сайте этого ведомства. На прошлой неделе (если быть точным - 11 февраля) истекло 30 рабочих дней с момента обращения и я, естественно, решил проверить, как обстоят дела с "нашими баранами".

Имея в смартфоне фотографии двухмесячной давности, я зашел в поликлинику в конце рабочего дня. В фойе царил полумрак, посетителей практически не было, и только молодая девчонка-уборщица, слушая в плеере какую-то надрывную песню про шелка и облака (надрывную в том смысле, что от такой громкости ее барабанные перепонки должны были порваться с первой же секунды), старой тряпкой размазывала по полу грязные разводы. Пробравшись вдоль стенки по длинному коридору я, наконец, попал к регистратуре, и был приятно удивлен: оказывается, в "аквариуме с регистраторами" был сделан ремонт, поставлена новая перегородка, а внутри (я сунул нос в окошко) обнаружились новые металлические закрываемые шкафы для медицинских карт!


Повернув голову в том направлении, где раньше стоял стол с папками самозаписи, я обнаружил, что он девственно чист!


Радость, тем не менее, оказалась преждевременной: повернув голову в противоположном направлении, я увидел подозрительный уголок, в котором стоял брат-близнец этого стола, а над ним возвышалась бабушка, пытавшаяся что-то записать.


Дождавшись окончания процедуры, я подошел поближе, и увидел старых знакомых: "привет, эй!" - сказали мне "папки самозаписи".


"Ничего в этой стране не меняется..." - подумал я, открывая обложку, "и сердце ёкнуло в груди"... Вот что предстало моему взору:


Там, где раньше были "дата рождения" и "полный домашний адрес" теперь - зияющая дыра!

Уж не знаю, кого стоит благодарить - Роскомнадзор ли, блог ли, знакомых заведующей поликлиники, вовремя предупредивших о нарушении и сообщивших способ его устранения. Да и не важно это. Главное - нарушение можно устранить. Хоть через пинки, и с большим опозданием. С другой стороны - радоваться особо и нечему, ибо "зияющая дыра" в "папке самозаписи" это еще далеко не синоним "порядка". Однако есть робкая надежда на известную поговорку: "вода камень точит". Ей, как говорится, и живем.

С маленькой победой нас всех, дорогие читатели!

PS. На дату публикации поста никаких ответных сообщений от Роскомнадзора по факту обращения не поступало (хотя должны были что-то написать - был ведь указан e-mail). По неофициальным данным, подслушанным мной из разговора регистраторов, в поликлинике идет проверка ведомством, название которого начинается на "Рос" (мешала перегородка). Неужто...?

пятница, 4 февраля 2011 г.

Все еще печетесь о защите ПДн? Тогда мы идем к вам!


В распоряжение «Русской службы новостей» попали образцы рапортов «по отработке гражданина», которые будут введены в действие с момента вступления в силу закона о полиции. Судя по всему, на них возложат ответственность по составлению самого подробного досье на всех россиян. Помимо всего прочего, новоиспечённым полицейским нужно будет сообщать о финансовом положении человека, его сексуальной ориентации и политических взглядах, сведения о наличии у граждан транспортных, летательных и плавательных средств, принадлежность к каким-либо политическим партиям и музыкальные пристрастия.

Очевидно, что для сбора такого количества информации полицейским-участковым предстоит подробно опросить всё население вверенных им участков или создать сеть информаторов. И если с желанием государства полностью и всесторонне контролировать жизнь граждан давно все понятно, остается невыясненным вопрос: как будут защищаться собранные сведения? Ведь бюджетом программы "Смена вывески" суммы на такие мелочи, как "защита ПДн", не предусмотрены.

Утечки и теракты


Не секрет, что с безопасностью в РФ - полная ... беда. Людей, питающих иллюзии по этому поводу, с каждым днем становится все меньше. И если государство защищает чьи-то интересы - то прежде всего свои, государственные. Равно как и государственную тайну - о том, как устроены наши ракеты и самолеты (давно уже скопированные китайцами), или о том, как устроена наша оборонительная система (хотя грешно нападать на убогого). К сожалению, все это к интересам и к безопасности самой основы государства - его граждан - не имеет практически никакого отношения. И если какая-то информация у нас в стране строго охраняется - хоть гостайна, хоть пресловутые ПДн, хоть даже ДСП - то пристальное око "охраняющих" следит за "охраняемыми" до тех пор, пока на этом можно неплохо заработать. А если нет - то и шут с ним.

Именно так получилось с аэропортом "Домодедово", конфиденциальная информация о системе безопасности которого была в огромном количестве обнаружена в свободном доступе в сети Интернет. Среди обнаруженных данных - описание, форменная одежда разных подразделений охраны, в том числе службы быстрого реагирования (не просто описание - а с дизайном шевронов); список машин, цвет, марка, номер, которые могут проезжать через КПП; методички службы по транспортному надзору по противодействию террористам, в которых раскрываются признаки, по которым определяют потенциально опасных пассажиров; детальная схема подлета и архитектурные планы этажей и многое, многое другое.

Не секрет, что владельцами "Домодедово" являются "особо приближенные". Наверное, именно по этой причине государственные "охраняющие" там вообще не появлялись - ловить-то там нечего...

вторник, 1 февраля 2011 г.

Информационная безопасность в АСУ ТП


Всем читателям блога с удовольствием сообщаю о том, что в декабрьском номере журнала "Коннект! Мир связи" вышла моя публикация на тему "Информационная безопасность в автоматизированных системах управления технологическими процессами".

Рекомендую тем, кто уже порядком подустал от победоносно шествующей по умам ИБ-сообщества темы персональных данных. Особенно рекомендую всем, кто считает, что субъект ПДн сейчас - центр Вселенной, главная задача ИБ-шника - обеспечить защиту ПДн, а все остальное - вторично.

Анонс в журнале - здесь, ссылка на файл со статьей - здесь. Приятного прочтения! :)