четверг, 28 июля 2011 г.

В помощь страждущим


Что ж, друзья, закон принят и опубликован, жизнь - продолжается. Тем, кто уже сейчас собирается приводить локальные нормативные акты по ПДн в соответствие, очень рекомендую работу Eagle и Ronin. Первый сделал отличную сравнительную табличку былого и нынешнего, второй - состряпал полный текст действующего закона, местами снабдив его дельными комментариями (файл нужно скачивать). Если Вы и сами уже что-то сделали полезное - прошу, ссылки в комментарии.

P.S. Перечитал я сегодня свои документы по ПДн и понял...


среда, 27 июля 2011 г.

И вновь продолжается бой


Помните старую притчу про двух лягушек, попавших в кувшин с молоком? Мы впятером, как та лягушка, все еще продолжаем барахтаться в надежде хоть как-то исправить патовую ситуацию. Правда, субстанция, в которой приходится находиться, по цвету и запаху на молоко совсем не похожа, но это ничего - мы привыкши :)

На прошлой неделе представитель "подписантов" ходил на смотрины в Минкомсвязь. Главное, что удалось сделать - договориться о дальнейшем сотрудничестве при подготовке подзаконных актов. Мы, как всегда, ратовали за публичность и открытость процесса разработки "подзаконников", но на первом этапе коллеги из Минкомсвязи попросили подготовить предложения по внесению изменений в законодательство с учетом принятия поправок к 152-ФЗ. Что мы предложили:

1. Внести в КоАП и УК РФ ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции.

2. Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие «ущерб субъекту ПДн».

3. Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР, РСС и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.

4. Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов.

5. Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие фактов утечек ПДн субъектов.

Поскольку ваш покорный слуга уже отметился на поприще методик оценки то, судя по всему, именно вторым пунктом я и буду заниматься, не забывая об остальных четырех. Вас же, дорогие читатели, прошу по возможности принимать посильное участие в процессе - читать и комментировать то, что мы понапишем.

Об этом у коллег: Евгений Царев, Алексей Лукацкий.

Уголовный поиск


Как и ожидалось, после вала утечек силовики начали искать виноватых. Замечательная заметка по этому поводу вышла в газете "Коммерсант". Приведу лишь один абзац:

О том, что следственный комитет РФ, МВД и ФСБ занимаются поиском тех, кто непосредственно опубликовал персональные данные, рассказал источник в правоохранительных органах: "Очевидно, это делалось специально, кто-то писал скрипты, чтобы достать эти данные из "Яндекса". С какой целью это было сделано — пока не ясно, но вызывает некоторые подозрения тот факт, что это произошло накануне подписания президентом РФ поправок к закону "О персональных данных". Вопрос о возбуждении уголовного дела сейчас обсуждается; какое ведомство его возбудит — пока не ясно.

Во как! Оказывается, умение хорошо пользоваться поисковиком и составлять поисковые запросы нынче называется "писать скрипты" и является уголовно наказуемым деянием. А подозрения относительно "того факта" действительно небезосновательные, и какое "ведомство" за этим стоит - то и будет "возбуждаться".

вторник, 26 июля 2011 г.

Мат без шаха


По сообщению пресс-службы Кремля сегодня, 26 июля, в 10 часов 20 минут по московскому времени, Президент РФ подписал законопроект, вносящий поправки в закон № 152-ФЗ. Соответствующее сообщение размещено на сайте Президента в разделе "документы".

Спешу поздравить противоборствующую сторону (сторонников поправок) - они ожидаемо выиграли эту партию. Всем сторонникам (противникам поправок) хочу сказать огромное спасибо за поддержку: борьба была очень достойной, особенно учитывая, что силы заранее были не равны. Рыдать не станем, переведем дух, пожмем друг другу руки, и будем жить дальше. Сейчас необходимо внимательно вычитать новый закон, привести в соответствие внутреннюю организационно-распорядительную документацию и ждать "подзаконников" от Правительства РФ с "уровнями защищенности", "требованиями по защите" и "видами деятельности", которые могут контролировать регуляторы.

Полагаю, что самым увлекательным занятием в ближайшие месяцы станет скурпулезное изучение двойных толкований нового закона под девизом "найди 5 багов и получи +10 к экспириенсу" ;)

понедельник, 25 июля 2011 г.

Крылья, ноги и хвосты


По всей видимости в "Яндексе", после не совсем удачного "пробного шара", провели работу над ошибками, и сегодня вечером представили миру новую порцию персональных данных, на сей раз несколько более скандальных и приближенных к термину "ПДн способные идентифицировать субъекта", и даже косвенно относящихся к высшей категории - "интимной жизни": в поиске «Яндекса» стали доступны статусы заказов из различных интернет-магазинов, включая секс-шопы. В публичном доступе оказались имена, фамилии и контактная информация клиентов.




В "Яндексе" по прежнему утверждают, что причиной утечки стал некорректно составленный файл robots.txt, благодаря которому персональные данные покупателей можно увидеть и в выдаче Google. И здесь опять возникает интересная ситуация.

По закону, субъекты должны подавать жалобы на операторов (т.е. интернет-магазины), допустивших утечки ПДн, которые, в свою очередь, автоматически становятся виноватыми, так как не смогут доказать наличие согласия на обработку ПДн собственных клиентов (по мнению регуляторов согласие, как мы помним, должно быть письменное и содержать определенные законом сведения о субъекте). С другой стороны, магазины могут возразить, что далеко не всегда данные получателя, указанные в заказе, соответствуют реальным данным гражданина РФ, а потому являются обезличенными и не требуют ни согласия, ни защиты. Поэтому Роскомнадзору придется попотеть, доказывая обратное: ведь идентификация для достижения цели (доставка товара) происходит, а значит, собранный через интернет объем данных достаточен для идентификации субъекта в рамках конкретной бизнес-процедуры.

Второй момент заключается в том, что даже если интернет-магазин докажет наличие согласия, напирая на конклюдентные действия или публичную оферту (что само по себе будет прецедентом), и покажет, что он удалил данные из собственной ИСПДн после достижения целей обработки - он опять сможет попытаться уйти от ответственности: ну кто ж знал, что есть какой-то Яндекс с его роботом. Здесь вступает в силу другой аргумент: отсутствие технической защиты ПДн, позволяющих идентифицировать субъекта и передаваемых по сети общего пользования фактически в открытом виде. Аргумент весомый и трудно оспоримый. Но как и в предыдущем случае с "Мегафоном", SSL "прикрутить" нельзя в силу "забугорности", да и от утечки он не спасает: нужно разрабатывать специальное клиентское ПО и ставить КриптоПРО, и вместе с ним - крест на деятельности интернет-магазина.

Ну и наконец, если в ходе разбирательств все же будет установлена вина оператора, не получившего согласие, не обеспечившего защиту и неправильно настроившего файл robots.txt - в случае, если это действительно так, и к утечкам не причастно программное обеспечение Яндекс.Бар, самому Яндексу по-прежнему ничего не грозит - ведь субъекты должны подавать жалобы на тех операторов, чьими услугами они воспользовались для заказа товаров.

Если же будет установлено, что утечку спровоцировал Яндекс.Бар или (в меньшей степени) Яндекс.Метрика - вот это будет действительно круто, так как получается, что пользователь поставил свободное, бесплатное, официально распространяемое НО непроверенное (несертифицированное) регуляторами ПО, и тем самым попал под удар. Именно такой вариант развития событий на руку всем "толкателям" законопроекта, но не на руку самому "Яндексу", чьи акции с недавних пор торгуются на Nasdaq. На графике видно, как после первой утечки, случившейся 18 июля, после достижения "критической информационной массы" рынок "отыгрывает" данные: небольшой "бабах" в полтора доллара на акцию 20 июля весьма существенно сказывается на объеме размещения. Хотя эксперты биржевой торговли склонны полагать, что бумага "шла в тренде" с рынком, и связывать падение с сообщением об утечке не стоит, да и восстановилась она достаточно быстро (если бы не "тренд" то, возможно, от отсутствия претензий со стороны регуляторов).


Посмотрим, как завтра отыграет рынок эту информацию. В любом случае, до компенсации ущерба субъектам дело вряд ли дойдет: в отличие от "Мегафона", готовящегося выплатить от 30 до 40 тысяч рублей государству за нарушение лицензионных требований, определяемых  федеральным законом "О связи", и добровольно согласившегося компенсировать моральный ущерб абонентам в виде бесплатных пакетов СМС и минут разговора (на этом фоне совершенно забавными выглядят начальные оценки ущерба в размере до 1 млрд долларов - это ж сколько можно СМС отправить), небольшие компании гораздо меньше пекутся о своей репутации, а взыскать с них ущерб в судебном порядке будет, увы, практически невозможно.

И самое главное - ни у кого нет ответа на вопрос: если бы интернет-магазин выполнил ВСЕ требования законодательства, включая оргмеры и техсредства (которые совершенно "глухи" к такого рода вещам как robots.txt), признал бы его суд виновным и присудил компенсацию ущерба, или дело ограничилось бы наказанием системного администратора за ненадлежащее исполнение своих обязанностей (которые не факт, что где-то надлежащим образом прописаны)? Лично я очень сильно сомневаюсь.

Именно поэтому вторая утечка еще раз показывает ущербность подхода "требования превыше всего", заложенного как в действующем, так и (в большей степени) предполагаемом законодательстве о персональных данных, но это видно только специалистам; основная масса граждан, по замыслу режиссера, снова должна впасть в истерику. Тем же, кто истерить не собирается, должно быть давно понятно: в Интернете нет и не может быть никакого прайвэси, и потому никакими мерами и средствами нельзя защитить то, чего нет по определению.

Следим за реакцией и ждем новых утечек.

UPD: И в преддверии подписания поправок президентом они не заставили себя долго ждать :)

Нормальный бизнес


Задался я, дорогие читатели, вопросом - а куда же мы, собственно, наши петиции направляли. И наткнулся в журнале Коммерсант.Власть на интересную статистику. В настоящее время деятельность администрации президента регулируется Положением об администрации президента РФ, введенным в действие указом главы государства от 6 апреля 2004 года. Структура АП включает 14 управлений, референтуру и канцелярию, аппараты Совета безопасности РФ, советников и полпредов, секретариат руководителя. На конец 2010 года численность сотрудников составляла 1547 человек, укомплектованность должностей - 79,6%. По данным Росстата, среднемесячная зарплата сотрудников администрации в 2010 году составила 85,8 тыс. руб., в первом квартале 2011 года - 86,1 тыс. руб.

19 июля администрации президента исполнилось 20 лет, и Коммерсант.Власть считает, что путем путем неимоверных усилий и многократных реорганизаций, власти вернулись к тому, от чего пытался уйти Борис Ельцин в июле 1991 года - фактическому воссозданию Политбюро ЦК КПСС. Именно этот факт, судя по всему, не дает покоя другим структурам, которые в своем стремлении вернуть былое "доперестроечное" величие пока отстают от президентского "передовика", и потому семимильными шагами по головам сограждан сокращают дистанцию и наращивают темп.

Злословы, которые в последнее время взяли моду прикидываться, по их терминологии, "стадными баранами", сейчас начнут язвить: что, Волков, никак успокоиться не можешь в борьбе с ветряными мельницами? Так мельницы крутятся, пока в их сторону дует ветер, и многолетняя историческая практика показывает, что вечно в одну сторону он дуть ну никак не может. Будет или нет очередной порыв - узнаем уже совсем скоро: 27 июля, до которого президент должен подписать поправки к 152-ФЗ, не за горами.

четверг, 21 июля 2011 г.

Паровоз вперед летит


Говорил я с пенька гражданина, с трибуны доцента - настала очередь и о профессии кое-что сказать. Читая протокол знаменитого трехсотого заседания Совета Федерации, можно наткнуться на интересное предложение в поддержку принятия законопроекта, высказанное вице-спикером СФ Светланой Орловой. По ее мнению, закон необходим потому, что "надо двигаться вперед". Почему вперед - понятно: сторонники поправок говорят, дескать, 152-ФЗ в его предстоящем виде будет локомотивом и сподвигнет всех защищать не только ПДн, но и все остальное. А требования потом приведут в норму, все устаканится.

Но коллеги, давайте все же не путать нашу личную заинтересованность с общественной необходимостью. Мне точно так же, как и вам, хочется кушать, как преподавателю мне жаль студентов, в большинстве своем работающих в лучшем случае системными администраторами. И те поправки, что подменили, НАШУ позицию точно бы не ухудшили: нам-то какая разница, ставить DeviceLock сертифицированный или нет - все равно оба с одинаковым "косяком".

По моему глубокому убеждению, гораздо проще, основываясь на больших штрафных санкциях и неизбежной обязанности оператора компенсировать ущерб субъекту, убедить руководство внести кое-какие коррективы в процессы обработки данных и потратить немного денег на приобретение дополнительного ПО и оборудования. Теперь же, после принятия поправок, возможно, многим ИБ-шникам придется заявить, что годами совершенствовавшаяся СУИБ для защиты ПДн никуда не годится, соблюдение обязательных требований законодательства будет тормозить бизнес-процессы, а имеющееся ПО и оборудование можно выкинуть на помойку и закупать новое, с такими же названиями, но в три раза дороже.

Руководитель, выслушав такое заявление, посмотрев на перечень защищаемой информации в виде "ФИО, должность, домашний адрес, зарплата" и сопоставив смету затрат со смехотворным размером ответственности, будет смотреть на ИБ-шника взглядом, в котором будет читаться немой вопрос: "ты что, идиот?" И даже не знаешь, на кого в ответ пальцем показать...

Ответ Минкомсвязи на обращение


Всем спасибо, все свободны :)



среда, 20 июля 2011 г.

Предсказатель будущего


Мы сегодня в цирк поедем!
На арене нынче снова
С дрессированным медведем
Укротитель дядя Вова.

От восторга цирк немеет,
Хохочу, держась за папу,
А медведь рычать не смеет,
Лишь сосет потешно лапу.

Сам себя берет за шкирки,
Важно кланяется детям.
До чего забавно в цирке
С дядей Вовой и медведем!

© Михаил Юдовский, 2009

ЗЫ: и мы с Вами, коллеги, туда поедем и, увы, уже совсем скоро...

Керогаз подсознания


Сегодня с утра видел аж 2 репортажа, подогревающих истерию, наподобие вот этого (был позавчера):



Обратите внимание, как ненавязчиво "пыжат" банки (мы помним, что АРБ написала письма президенту и премьеру, и банковское лобби было наиболее сильным в стане противников поправок). Шоу маст гоу он :)

Рука Гроссмейстера


Наблюдая за происходящим, можно сделать однозначный вывод (эка новость) о сильнейшем желании "протолкнуть" законопроект именно в том виде, в котором он прошел Государственную Думу и Совет Федерации. Скандал с Яндексом и Мегафоном, хоть и не имел непосредственного отношения к персональным данным, вызвал бурную истерическую реакцию среди граждан, блогосферы и СМИ, докатившуюся сегодня до депутатов. Последние намерены проанализировать действующие нормы законодательства о персональных данных на фоне сканадала с попавшими в интернет SMS-сообщениями, отправленными с сайта "МегаФона", и в случае необходимости совместно с правительством подготовить предложения по ужесточению требований к хранению персональных данных, сообщил глава думского комитета по информполитике Сергей Железняк.

О чем это говорит? Прежде всего о том, что противостояние сторонников и противников поправок действительно перешло на новый качественный уровень, и те, кто с таким усердием "пропихивал" поправки, теперь вынуждены предпринимать незапланированные ранее шаги по стабилизации ситуации. Надо признать, что это у них весьма хорошо получается. Крайне удачный момент возникновения утечки говорит о том, что скандал мог быть спровоцирован с целью убить двух зайцев. Во-первых, необходимо было создать ответный общественный резонанс и через него повлиять на мнение Президента. Во-вторых, необходимо было создать "план Б" на случай, если Президент все же отклонит законопроект и направит его на доработку, что так же удалось. Готовность думского комитета ужесточить требования свидетельствует о том, что результат "доработки" может быть еще "круче", чем имеющийся документ, а проект Указа Президента, опубликованного на WikiLeaks, дополнительное этому подтверждение:



Все, что должно было быть сделано "толкателями" в ответ на поднятую шумиху вокруг поправок - сделано блестяще: шикарная партия, господа! И сейчас, пока ФСБ занимается расследованием по факту похищения кодов у всегда готового к сотрудничеству Яндекса, якобы имевшего место быть в результате "атаки" на системы индексирования, что спровоцировало утечку, а Мегафон отплевывается от абонентов, прокуратуры и Роскомнадзора, потому как в утечке виновен его подрядчик, допустивший ошибку администрирования сайта, мы все наблюдаем это представление и ждем решения Президента.

Достучаться до небес


Ну, что, коллеги, вот и второй ответ Администрации Президента на второе обращение.



Судя по всему, только Ригелю повезло...

Копипастеры на службе государства


Выполняя общественную нагрузку в виде преподавания в ВУЗе, ваш покорный слуга получает достойную компенсацию в виде огромного удовольствия от общения с подрастающим поколением, возможности делиться с ним имеющимися знаниями и опытом, и приобретения практики выступлений перед неподготовленной аудиторией. Радует, что большинство студентов - талантливые ребята, с огнем в глазах и стремлением к получению знаний. "Умников", которым кажется, что "это им не пригодится" и откровенных "забивал" тоже хватает, но не от глупости, а от лени. С ней мне, как человеку (в себе) и как преподавателю (в студентах) в основном и приходится бороться.

И вот, бывает, берешь курсовую работу, открываешь - и не знаешь, как, а главное - ЧТО в ней оценивать: то ли превосходное умение пользоваться сочетаниями клавиш Ctrl+C,Ctrl+V, то ли посредственное умение искать нужную информацию, то ли никуда не годное качество документа и его содержание, то ли полное отсутствие хотя бы строчки собственных мыслей. "Забирай, копипастер, добавишь хоть абзац своего - поставлю три" - говорю я обычно в таких случаях. Но именно этот "абзац" становится ему дороже всех.

Бывает, читаешь проекты нормативных документов регуляторов, и ощущение "дежавю" где-то в дальнем углу подсознания включает маленький тумблер: бааа, знакомые все вещи! Вчитываешься и понимаешь: все тот же, старый добрый "копипаст" - лихо закрученная и совершенно неструктуированная солянка из действующего законодательства и древних как мир нормативов, изложенных современным языком без изменения сути и без оглядки на современные реалии жизни. Вот только вернуть этот документ "копипастерам" на доработку, увы, уже нельзя. Почему? Да потому, что студенты-"троечники", "засунутые" в параллельный нашей реальности мир благодаря своим преподавателям, выросли, но благодаря руководству и старшим товарищам продолжают там находиться по сей день, и уже оттуда, через однонаправленный портал, оказывают весьма сильное влияние на наше измерение.

Есть ли надежда изменить ситуацию? Многое зависит от тех, кто и КАК будет учить подрастающее поколение. Сможет ли преподаватель обладать достаточными компетенциями и практикой, быть современным и разговаривать на понятном для студентов языке? Сможет ли он заинтересовать и увлечь молодежь, заставить их генерировать прогрессивные идеи и смотреть в будущее не взирая на ограничительные рамки? Если да, то все получится, и в любом случае - время покажет. Но пока, увы, всем нам приходится жить в условиях, когда существуют два параллельных мира, о которых еще полгода назад так хорошо написал М.Ю.Емельянников.

вторник, 19 июля 2011 г.

Не мытьем, так катаньем


По сообщению газеты "Коммерсант", президент РФ подписал указ, который обеспечивает участие бизнеса в экспертизе ведомственных нормативных актов с целью выявления в них положений, затрудняющих инвестиционную и предпринимательскую деятельность. Министерство экономического развития (МЭР), куда будут жаловаться предприниматели, сможет проводить экспертизу действующих актов, а Министерство юстиции теперь вправе требовать от ведомств их отмены или корректировки.

Это, безусловно, положительная новость, так как появляется надежда на то, что те самые "уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных" и "требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных", будут разработаны с учетом мнения субъектов и операторов, если, конечно, эти документы будут выложены на публичное обсуждение больше, чем на 5 минут для "галочки", и если согласованный со всеми сторонами вариант опять не будет "подменен" перед подписанием.

Российский союз промышленников и предпринимателей уже подготовил перечень документов, вызывающих у бизнеса озабоченность (можно посмотреть здесь), однако по тематике ПДн в нем ничего нет.

Законодательный тупик


Об утечке сведений, содержащихся в отправленных абонентам Мегафона коротких сообщений (СМС) через форму на веб-сайте компании, в публичный доступ через кеш поисковой машины Яндекс, написали многие. Эксперты называют несколько причин случившегося, главной среди которых является пресловутый человеческий фактор. Оставим разбор ситуации техникам, а сами попробуем взглянуть на проблему с точки зрения защиты ПДн и соблюдения прав субъектов ПДн.

Прежде всего о том, что утекло: это номер получателя и некий текст, который по закону подпадает под определение части 2 статьи 23 Конституции РФ (тайна переписки), а случившийся инцидент - под часть 1 статьи 138 УК РФ " Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений" и наказывается "штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года". Роскомнадзор усмотрел в случившемся нарушение оператором закона "О связи", Правил оказания услуг связи, (а следовательно, и лицензионных условий), что тоже влечет за собой административную ответственность. В случае, если все это будет доказано - оператору грозит серьезное разбирательство.

Но вот с точки зрения соблюдения прав граждан как субъектов ПДн дело обстоит куда сложнее. Прежде всего потому, что исходя из формулировок действующего законодательства, крайне тяжело определить, можно ли идентифицировать субъектов, чьи данные так или иначе попали в открытый доступ. Так получается потому, что человеку, не обладающему доступом к базе сотового оператора или не знающему, кому конкретно принадлежит номер, невозможно идентифицировать отправителя (идентифицировать - это значит показать на него пальцем при встрече). Другое дело, что базы данных продаются на каждом углу, однако сами они получены нелегальным способом, и Роскомнадзор их наличие в открытой продаже не должен принимать во внимание. Таким образом, если Роскомнадзор признает, что сведения, передаваемые через веб-форму, являются обезличенными, либо юристы Мегафона докажут, что они являются таковыми, оператор "соскочит" с ПДн, поскольку, согласно действующих нормативов, он не обязан принимать мер по обеспечению их конфиденциальности (ч. 2 ст. 7 152-ФЗ).

С другой стороны, среди утекших номеров обязательно найдется часть, известных не только их владельцам, но и кому-то еще. Предположим, что этим "кем-то еще" оказалась девушка Ира, узнавшая номер мужа Пети, которому "с любовью" писала какая-то "его рыбка", и это была не она (Ира) сама. В этом случае у Пети, по понятным причинам, могут быть серьезные проблемы, по идее подпадающие под определение "морального вреда", а может быть, даже развод и дележ имущества. Поэтому если Роскомнадзор докажет, что данные хотя бы в определенной части не являются обезличенными и позволяют кому-нибудь идентифицировать хотя бы одного субъекта, оператор также "попадет" на административную ответственность за непринятие мер по защите ПДн. Конечно, оператор может заявить, что он в данном случае не определяет целей обработки ПДн и выступает как сервис-провайдер, а цель определяют сами абоненты, отправляющие СМС, и что содержание ПДн в СМС и сопутствующая их обработка это не самоцель - но неизвестно, как на это отреагирует суд.

Роскомнадзор не может установить размер ущерба - он может лишь подтвердить, что было нарушение, что ущерб, возможно, был нанесен, и направить материалы в прокуратуру. И поэтому выбивать компенсацию за причиненный вред и доказывать, что вред был в принципе, придется самому субъекту в суде. Не смотря на то, что в исковом заявлении субъект может попросить сколь угодно большую сумму (некоторые эксперты оценивают сумму исков до 1 млрд. долл.), учитывая судебную практику, рассчитывать на ее получение не приходится, даже ссылаясь на то, что ушла жена и забрала пол-квартиры: от 3 до 10 тысяч рублей - стандартная величина  (нечего было шляться, уважаемый суд).

Теперь о том, какие меры обязан был принять оператор для обработки и защиты данных, передаваемых через веб-форму, в случае, если таковые являются не обезличенными. Прежде всего, организационные: необходимо получить согласие на обработку ПДн с КАЖДОГО, кто отправляет данные через эту форму. Согласия абонента, номер которого указывается в поле "получатель", совершенно недостаточно, поскольку в теле сообщения могут быть не только его данные, но и данные отправителя, и вообще любых третьих лиц (которых надо уведомить). Сюда же "приплетается" трансграничная передача ПДн (доступ к форме возможен из-за рубежа) со всеми вытекающими. Ну и конечно, технические меры - в первую очередь обеспечение конфиденциальности, которую в сетях общего пользования ни чем другим, кроме как шифрованием, не обеспечить. А учитывая необходимость массового и свободного доступа к сервису, это значит HTTPS, SSL и "забугорный" алгоритм, что тоже не есть хорошо с точки зрения российского законодательства. Кроме того, по мнению Дмитрия Евтеева, использование шифрования (равно как и других "методов и способов" - мое примечание) для защиты ПДн, отправляемых через веб-форму, от такого рода утечек не приводит к должному эффекту, и  результат был бы аналогичен.

Как обстоят дела с грядущими поправками в случае их подписания президентом? Поразительно, но точно так же, если еще не хуже. Благодаря изменениям в определении "персональных данных" (пункт 1 ст. 3), совершенно исчезает смысл "обезличенных" ПДн, так как ЛЮБАЯ информация, прямо или косвенно относящаяся к субъекту, будет считаться ПДн. В статье 7 убрана часть 2, благодаря чему оператор будет обязан не разглашать без согласия субъекта любые его ПДн. Сделать ПДн, отправляемые через веб-сайт общедоступными может только сам субъект, и оператор должен доказать, что у него есть основания это полагать и обрабатывать их без согласия субъекта, которое может быть либо письменным, либо с ЭЦП. Но в данном конкретном случае, любое принуждение субъектов к признанию отправляемого текста в качестве общедоступных ПДн является прямым нарушением Конституции. В остальном - никаких изменений: и согласие, и "трансграничка", и методы защиты.

Таким образом, и сейчас, в случае признания ПДн, передаваемых посредством веб-формы для отправки СМС в качестве "позволяющих идентифицировать субъекта", и потом, после подписания поправок президентом, операторам проще отказаться от этого бесплатного сервиса и, тем самым, заставить абонентов безальтернативно тратить свои кровные посредством отправки СМСок исключительно с помощью абонентских терминалов - телефонов, смартфонов и КПК, планшетов и что там еще есть.

Лично для меня, как для стороннего наблюдателя, самым интригующим моментом является тот факт, что какое бы решение не принял сейчас Роскомнадзор и суд, после принятия поправок оно может быть пересмотрено: законопроект, лежащий на подписи у президента, имеет обратную силу, так как действие его распространяется на правоотношения, возникшие после 1 июля 2011 года. Так что пожелаем всем удачи - и субъектам, и оператору, и будем следить за развитием событий.

понедельник, 18 июля 2011 г.

Встреча президента с директором ФСБ


По сообщению пресс-службы Кремля, она состоялась сегодня, в 15.00. Официальная тема - доклад директора ФСБ об оперативной обстановке и проведении профилактических антитеррористических мероприятий в стране.

С директором Федеральной службы безопасности Александром Бортниковым.

Интересно, разговаривали они о поправках к 152-ФЗ, или нет?

Письмо президенту от АРБ


Про письмо премьер-министру от Ассоциации российских банков, опубликованное 14 июля, я уже писал. И вот сегодня на сайте АРБ опубликовано еще одно письмо - только на этот раз Президенту. Просьба все та же - отклонить законопроект. Да и аргументы знакомые: отсутствие отраслевого регулирования, несоответствие методов поставленным целям, потенциально неограниченный круг государственных нормотворцев и контролеров. Подробнее - в блоге М.Ю.Емельянникова: "соревнование перешло в другую весовую категорию."

суббота, 16 июля 2011 г.

Мухи и котлеты


В прошлый раз я выступал с невысокого и трухлявого пенька гражданина РФ, коим по великому счастью мне доводится являться. Нынче попробую порассуждать в качестве доцента кафедры Череповецкого государственного университета. Следя за комментариями различных (хороших) специалистов, волею судеб представляющими разные стороны в противоборстве, можно выделить несколько основных проблем, перемешавшихся между собой до такой степени, что пора уже приглашать Геракла и чистить авгиевы конюшни.

Первая проблема, имя которой - коррупция, имеет глубокие исторические корни и национальные особенности, благодаря чему поразила практически весь государственный аппарат словно раковая опухоль. От нее не спрятаться, не скрыться, через зараженные государственные и муниципальные учреждения она проникла во все отрасли экономики, в том числе такие специфические, как защита информации. И в этих отраслях стали появляться метастазы в виде организаций-"прокладок", выполняющих функции, навязанные отечественным законодательством которое, в свою очередь, пролоббированно структурами, так или иначе владеющими такими "прокладками". Эти функции зачастую важны и нужны, но вот качество их выполнения "прокладками" оставляет желать много лучшего, ибо смысл их существования проистекает от породившей их опухоли - все той же коррупции.

Именно по этой причине у большинства граждан любые обязательные требования, навязанные государством, имеют такое большое противление. В нашей стране купить можно любой документ, не поддельный - а самый настоящий, у тех, кто официально его выдает. Такая ситуация происходит потому, что государство, установив требования, обязав всех их выполнять и регулярно проверяя их соблюдение, тем не менее, не несет никакой ответственности. Нет, бывают конечно исключения - но они происходят только потому, что государство добровольно соглашается ее на себя взять. Так было и с "Хромой лошадью", и с "Булгарией", и с некоторыми другими подобными случаями. Тяжело об этом говорить, но здесь сыграла роль массовость трагедий. Ну и конечно, опыт показывает, что больше всех остальных "ни за что не отвечают" т.н. "силовые" ведомства и люди, имеющие с ними хорошие отношения - достаточно вспомнить дело майора Евсюкова или ДТП на Ленинском проспекте.

К чему я распинаюсь об очевидных вещах? Да все к тому же - к обязательным требованиям и оценке соответствия средств защиты. Безусловно, прежде, чем эксплуатировать средство защиты (любое, а не только информации), необходимо провести испытания и убедиться в том, что оно способно выполнять свои функции. Но тот, кто такие испытания проводит, обязательно должен отвечать за результат, равно как и тот, кто устанавливает требования безопасности и проводит регулярные проверки их соблюдения. И если таким органом является государство, то именно оно должно отвечать перед теми, в чьих интересах эти требования и средства разрабатываются. Пока же, увы, этого не происходит: сертификат, выдаваемый государством, в большинстве случаев годится лишь для расклеивания в туалетной комнате, а обязательные требования - для обогащения их проверяющих. Есть ли выход? Конечно, есть. Прежде всего полноценный общественный контроль за проверяющими и создание систем оценки соответствия, альтернативных обязательной сертификации. Что мешает? Ответ прост: все та же раковая опухоль.

Вторая проблема проистекает из первой, и заключается она в подмене целей. Об это я уже писал, но сейчас речь пойдет о другом. Для того, чтобы регулировать безопасность дорожного движения, нужны дороги и транспорт. К счастью, люди ходят пешком и ездят на общественном транспорте, а те, что любят комфорт, сами с охотой покупают машины. Поэтому для того, чтобы создать питательную среду для раковой опухоли, никаких особых усилий предпринимать не нужно.

С защитой информации дело обстоит куда сложнее: информация есть везде, кто хочет - тот защищает, но таких до недавнего времени было очень мало и недостаточно для создания питательной среды. С государственными структурами тоже все было не так просто: бюджет хоть и был, но не резиновый, и какие-либо веские основания  расходования его на защиту информации в огромной массе бюджетных учреждений, в лучшем случае обрабатывавших ДСП, отсутствовали.

Именно поэтому до определенного времени специалисты по защите информации, как увольнявшиеся с государственной службы, так и в некотором количестве выпускавшиеся из российских ВУЗов, были не так востребованы, и предложение превышало спрос. Рынок ИБ ориентировался на "частный сектор", подогреваемый вирусописателями, и крупные компании, работавшие с зарубежными партнерами. Поэтому специалистам зачастую приходилось работать совсем не там и заниматься не тем, что они умели делать и чему их учили. Так было до того времени, пока не приняли 152-ФЗ.

Я не знаю, насколько те, кто "протаскивал" нынешние поправки, хорошо справляются со своими должностными обязанностями - не мне судить. Но в том, что они прекрасные бизнесмены с великолепным стратегическим мышлением, я готов расписаться! Умело подменив защиту ПРАВ и СВОБОД "человека и гражданина при обработке его ПДн" защитой ДАННЫХ, они создали поистине огромный по масштабам, перспективный и гарантирующий стабильный доход рынок и труда, и услуг, и оборудования. И рынок этот, благодаря своим размерам, создает ну очень плодородную почву для раковой опухоли.

И что в этом такого - спросите вы, - ты что, Волков, идиот? Это же очень хорошо, прежде всего - для тебя, потому что не надо обосновывать свое существование в компании, где ты работаешь, не надо обосновывать затраты, да и студенты твои будут гарантированно трудоустроены! Это же БЛАГОДАТЬ!!!

Так-то оно так, господа. Да только цель закона - ИНАЯ. Я безусловно согласен с тем, что в России зачастую очень тяжко приходится ИБ-шнику, прежде всего потому, что приходится быть кем угодно, но не самим собой. Таковы уж особенности малого и среднего российского бизнеса: произвел (или украл), продал, купил, еще продал, свалил, открыл что-то новое. Причины - все та же раковая опухоль. Кому в этих условиях есть дело до ИБ? Но я категорически против того, чтобы решать проблему отношения к ИБ в России, подменяя и в конечном счете не решая другую, более глобальную и важную - защиту ПРАВ и СВОБОД субъектов тех самых злосчастных ПДн, и за их собственный счет.

пятница, 15 июля 2011 г.

Козел-провокатор


Получил на почту такой вот достойный опубликования месседж (оригинальная орфография сохранена).

Добрый день А.Н.Волков. Не стану желать вам и таким как вы здравия. Вы и такие как вы все ваши сообщники приспешники или как вас везде кличут подписанты ничего ровным счетом не понимаете в том что хочет сделать государство для нас, его граждан. Вы и такое как вы выставляете наши спецслужбы стоящие на защите интересов государства в черном цвете, а их сотрудников как профанов жаждущих наживы. Вы как козел провокатор купившийся на западные подачки уводите стадо на верную погибель и в это стадо примыкают новые бараны. Вы и такие как вы посягнули на страну которая вас выростила и выкормила, на людей которые защищали, долгие годы защищали мир от ядерной войны и рисковали всем что у них есть. В вас нет ничего святого. Вы недостойны называться гражданином нашей страны. Отправляйтесь в вашу хваленую европу, лондоны и мадриды к березовским и другой либерастической швали. Без вас и таких как вы Россия давно процветала. Без уважения, патриот Родины.

Остается только сказать "меее-ее-ее-ее" и ковылять в огород за капустой.

Запятые над Ы


Минула неделя с момента опубликования открытого письма Президенту. За это время чего только не произошло, каких только статей, постов, писем, комментариев, откровенных выпадов и обвинений не начитались его авторы, одним из которых является и ваш покорный слуга. Нет смысла все пересказывать - Вы, дорогие читатели, были всегда в гуще событий и поддерживали (или не поддерживали) инициативу как могли. Пока страсти немного поулеглись, самое время немного абстрагироваться и пофилософствовать. И, поскольку это мой персональный блог, философствовать я буду сам, простите за такую нескромность.

Что побудило лично меня стать одним из инициаторов? Противники кричат - пиаааааааар!!! Отнюдь. Стать инициатором меня побудили, как ни странно, гражданская позиция и собственное видение и понимание проблематики. Противники закричат - пааааааафос, громкие словааааааааа, какой ты нафиг экспееееееерт!!! Ну хорошо, пусть я никакой эксперт. Тогда поведу речь как гражданин, который "немного в курсе".

Давайте внимательно посмотрим на название Конвенции: "О защите физических лиц при автоматизированной обработке персональных данных". Целью Конвенции, согласно статьи 1, является обеспечение на территории каждой из Сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных. То есть, защита данных - не самоцель. Главное, ради чего все делается - выделено жирным шрифтом (бааааа - да это же те самые, "пафосные" слова).

Европейские страны это четко понимают, и поэтому главный упор делают на безукоснительное соблюдение всего того, что у нас считается "пафосом".  При этом никто и нигде не регламентирует, каким образом те самые "данные" защищать.  И поэтому и действующий закон, и тот, что принимают, как ни крути, а все же не соответствует современному западному подходу. Я полагаю, в том, что Ю.В.Травкин и М.Ю.Емельянников эксперты - никто не сомневается, а они говорят именно об этом, стоит почитать их блоги и публикации.

Дилетааааант - закричат противники - смотришь в книгу видишь фиииигу!!! И вправду - статья 2 нашего Закона фактически провозглашает ту же цель, что и Конвенция: защита прав и свобод человека и гражданина... Только об этом никто не знает - даже сенаторы: когда г-н Сурков вещал в Совете Федерации на рассмотрении Законопроекта о том, что закон, дескать, предназначен для обеспечения "информационной защиты персональных данных" - никто и ухом не повел. А это значит, цели сбились окончательно и бесповоротно, и на весь этот "пафос" - права человека и гражданина - всем действительно наплевать.

Ну ладно, хорошо. Пусть так. Пусть данных. Пусть государство регулирует. Но почему ТАКИМИ методами? Чем они обусловлены? Кто их выдумал вообще? Государство, по аналогии с защитой гостайны и "конфиденциальной информации"? Пардон, но ведь это самое государство и является главным источником утечек. Поглядите вокруг - чьи базы предлагают на рынке, частных контор, что ли? И скажите, как тот, кто не может защитить данные у себя внутри, может потребовать этого от меня, тем более, принимать такие же меры защиты, как и он сам? Это не лучшие, а "худшие практики"!

Но и это еще не все. Государственные структуры кричат: у нас денег нет на выполнение этих требований, все очень дорогое. Можно понять - бюджет не резиновый. Но бизнес-то побогаче, и в большинстве своем заботится о своих профессиональных секретах. Надо ПДн защищать? Да без проблем - будем, так же как и все остальное. "А вот шиш вам" - говорят "регуляторы" - "вся ваша защита гроша ломаного не стоит: средства-то не сертифицированные, системы - не аттестованные, криптография - импортная. Надо все приводить в соответствие". "Пардон, но почему? Чем то, что у меня есть, отличается от того, что стоит в 2 раза дороже?" - недоумевает бизнес, - "Вон - и название такое же". "Нееееет" - говорят регуляторы - "мы не проверили, значит, оно не выполняет своих функций, тебе надо вон то, с голограммой, с ним все в порядке. Можно сертифицировать и аттестовать то, что уже есть: иди в воооон ту контору, там тебе все быстро слабают, по договорной цене. Скажешь что от нас - скидку сделают. А будешь сопротивляться - будешь лицензию получать, ты же теперь "конфиденциальную информацию обрабатываешь".

Противники закричат - так было раааньше, новый законопроект либерааааааальный. Коллеги, кого мы обманываем? Неужели кто-то еще питает иллюзии в том, что этот законопроект, проталкиваемый с такими интригами и таким напором, действительно изменит ситуацию? Что подзаконные акты, которые должны быть разработаны в дополнение к нему, ни с того ни с сего вдруг будут проявлением либеральности? Что "регуляторы" после титанических усилий отдадут с таким трудом отвоеванный ОГРОМНЫЙ кусок пирога? Вопрос, мне кажется, риторический, НО если это действительно случится, я съем шляпу А.Лукацкого (если он, конечно, разрешит).

Принимаемый законопроект полностью соответствует своему времени и той стране, в которой его принимают: коррупция, сопоставимая с ВВП, сырьевая экономика, задрюченный до полусмерти бизнес и бесправные граждане - что может быть лучше? Можно сколько угодно "буквоедить" и "гнобить" авторов всевозможных протестных петиций и посланий, в том числе и тех, кто написал и подписал открытое письмо: блог все стерпит. Но протест этот, как ни крути, имеет железобетонные основания: "понимающий" народ просто устал быть дойной коровой в стране, где "права и свободы человека и гражданина" считаются пафосными и пустыми словами.

И, что самое печальное, все это делается под видом искреннего желания соответствовать европейским ценностям (правам человека и все такое) и лучшим мировым практикам в области защиты ПДн. Волей-неволей, но иногда приходит дикая мысль: какой смысл соответствовать Европе в деле защиты прав и свобод субъектов ПДн, если со всеми остальными правами и свободами у нас едва лучше, чем в Мозамбике? Тьфу, тьфу, чур меня...


четверг, 14 июля 2011 г.

Реакция на решение Совета Федерации

Пост обновляется по мере отыскания новых сообщений. Ежели что найдете или напишете сами - пожалуйста, укажите в комментариях, размещу.

Письмо премьер-министру от АРБ


А вот и Ассоциация Российских Банков созрела на реакцию, правда, немного запоздала с просьбой: письмо было написано 12 июля, и до адресата, судя по всему, не дошло.

Принимая во внимание изложенное, просим Вас рассмотреть вопрос о внесении официальным представителем Правительства в Совете Федерации Федерального Собрания Российской Федерации предложения об отклонении Советом Федерации проекта федерального закона № 282499-5 «О внесении изменений в Федеральный закон «О персональных данных» в целях его доработки согласительной комиссией палат Федерального Собрания Российской Федерации с учетом изложенных обстоятельств.

Жаль, конечно, но что поделать. Зато у нас есть еще один документ, под названием "Справка", в котором специалисты АРБ препарируют 19 статью.

Концептуальная проблематика ФЗ "О персональных данных"


По сообщению, размещенному на сайте Ассоциации предприятий компьютерных и информационных технологий,  Комиссия Российского союза промышленников и предпринимателей (РСПП) по телекоммуникациям и информационным технологиям (ассоциация АП КИТ также представлена в Комиссии) в ходе интенсивного обсуждения проекта Закона «О внесении изменений в Федеральный закон "О персональных данных", принятый 5 июля 2011 г. Государственной Думой в третьем чтении, решила, что последняя редакция (особенно статья 19) ухудшает бизнес-среду. По мнению РСПП, бизнес-сообщество исключили из процесса саморегуляции рынка в области инфо-безопасности. Бессмысленные требования будут приводить к формальному исполнению закона.
Комиссия решила "направить Позицию установленным порядком через РСПП руководству Совета Федерации Федерального Собрания Российской Федерации и Президенту России с просьбой рассмотреть вопрос о возможности отклонения Федерального закона "О внесении изменений в Федеральный закон "О персональных данных"" в целях дальнейшей его доработки.
Пресс-релиз сопровождается тремя документами, наиболее интересным из которых, на мой взгляд, является "Концептуальная проблематика ФЗ "О персональных данных". Тем, кто интересовался, чем конкретно законопроект плох, помимо противоречий в ст. 18.1, 19 и 22  - очень рекомендую с ним ознакомиться.

Следующий шаг


Коллеги, если Вы получили в ответ на отправленное Вами письмо сообщение, суть которого сводится к тому, что "Ваше обращение направлено в Минкомсвязь", направьте тем же способом (но уже непосредственно в форме - знаков хватит) в ответ следующее обращение (в пустых полях вставьте соответствующие данные):

Начальнику Управления Президента Россйской Федерации по работе с обращениями граждан и организаций

На № _______________ от ____ июля 2011 года

Вопросы утверждения или отклонения законопроектов прошедших Государственную Думу и Совет Федерации не входят в компетенцию Мининистерства связи и массовых коммуникаций Россйской Федерации.

В связи с этим прошу доставить мое обращение адресату и не пересылать его органам не уполномоченным в принятии решения по вопросу обращения

С уважением, Ф.И.О.


Шансов маловато но, все же, они еще есть.

среда, 13 июля 2011 г.

Последний шанс


Последнее в полугодии, юбилейное, трехсотое заседание Совета Федерации прошло плодотворно:  за 4 часа было рассмотрено 58 законопроектов, что в среднем составляет по 4 минуты 14 секунд на законопроект. Где-то в этой суматохе затерялся наш "сынок" (точнее - пасынок) - законопроект О Федеральном законе "О внесении изменений в Федеральный закон "О персональных данных" (в части уточнения условий и правил обработки персональных данных), внесенный тремя комитетами и одной комиссией, презентовал председатель Комитета Совета Федерации по конституционному законодательству Алексей Иванович Александров. Презентовал "как учили". А дальше - разразилась самая продолжительная дискуссия. Не буду останавливаться на содержании - я писал заметки в твитер, Алексей Лукацкий расписал поподробнее в блоге.


В итоге, закон ПРОДАВИЛИ.

Протокольное поручение, с которым он принят, будет содержать задание правительству по оценке затрат на реализацию требований, соответствующих "уровням защищенности", и включению их для ГОСов в бюджет 2012 года. Однако учитывая то, что из 27 протокольных поручений, изданных в этом полугодии, выполнено только 12 - вряд ли кто-то про него потом вспомнит.

Осталась лишь одна надежда - Гарант Конституции. Оправдается она или нет - мы увидим совсем скоро, может, даже, на этой неделе.

вторник, 12 июля 2011 г.

Ответ администрации Президента


Стала поступать первая информация об ответах на письма коллег, отправленных от своего имени в администрацию Президента через соответствующую форму. Алексею Лукацкому пришел такой ответ: Ответ Президента на открытое письмо

1Снику из Мухосранска пришел ответ о том, что его обращение рассмотрено, но вложение повреждено, поэтому г-н Дозоров просит направить его повторно.

Вашему покорному слуге, увы, пока ничего не ответили.

Если у кого-то из Вас, дорогие читатели, будут какие-то другие варианты - пишите в комментариях.

Завтра наблюдаем за реакцией Совета Федерации.

UPDATE: 13.07.2011 пришел ответ из Администрации Президента. Суть та же - обращение направлено в Минкомсвязи. Только текст другой и фамилия другая. 

Владимир Плигин на ТВ Центр


Запись передачи "Городское собрание" на ТВ Центр от 09.07.2011.

- Можно ли с уверенностью говорить о том, что после принятия законопроекта утечка информации и баз данных из госструктур будет невозможна?
- На ваш вопрос очень хотелось бы ответить "да", но никто не поверит, и это будет правда.

Спасибо Алексею Краснову за ссылку.

О письме в Российской газете


Пока в электронной версии газеты нет, есть только вырезка.



Знакомые слова (сто один рубль за минуту)


F1CD, 12.07.2011, Баранова Светлана

"Мы очень надеемся, что Совет Федерации вернет законопроект в Государственную Думу для концептуальной доработки. Надо, чтоб предприятия, которым граждане доверили свои персональные данные, несли суровую ответственность за возможные утечки, но предписывать им, какие именно способы и программы для этого применять, – такого нет нигде в мире, – подчеркивает президент АРОС Юрий Домбровский. – Операторы связи всегда предпринимали и предпринимают значительные и дорогостоящие усилия по сохранению не только персональных данных своих абонентов, но и их тайны связи. Однако за новые мероприятия, реализуемые в мега-масштабе, предписываемом новым законопроектом, в конечном итоге придется заплатить самим абонентам, поскольку увеличение расходов операторов связи на реализацию новых требований неизбежно приведет к росту цен для абонентов на самые массовые в стране услуги – услуги связи, в том числе сотовой".

"Особенно тяжелым бременем эти расходы лягут на региональных операторов с их недорогими сетями связи и на абонентов региональных операторов – наименее обеспеченные слои населения, чувствительные к росту цен, в частности, в районах Сибири, Дальнего Востока, – подчеркивает Юрий Домбровский. – Мы уже направили соответствующее обращение в Совет Федерации и надеемся на конструктивный диалог с сенаторами. Уверен, что неработающий закон никому не нужен, а значит – нынешний проект необходимо серьезно дорабатывать".

Сто рублей за минуту


Бизнес-ФМ, 11.02.2011 13:36 Юрий Домбровский

Ассоциация региональных операторов связи считает необходимым внести существенные изменения в проект Федерального закона «О персональных данных», принятый накануне Государственной Думой и направленный для одобрения в Совет Федерации, говорится в сообщении АРОС.

Этот законопроект рассматривался более полутора лет (с ноября 2009 года). АРОС неоднократно заявляла о необходимости пересмотра его положений. Однако, по мнению ассоциации, одобренная Госдумой редакция сделала ситуацию еще хуже — она создает новые проблемы при обработке персональных данных, устанавливает новые административные барьеры, усложняет государственный контроль.

«Операторы связи опасаются, что за новые мероприятия, реализуемые в мега-масштабе, в конечном итоге придется заплатить самим абонентам, поскольку увеличение расходов операторов связи на реализацию новых требований неизбежно приведет к росту цен для абонентов на самые массовые в стране услуги – услуги связи, в том числе сотовой», — заявил президент АРОС Юрий Домбровский. Особенно тяжелым бременем, по мнению ассоциации, эти расходы лягут на региональных операторов и их абонентов — наименее обеспеченные слои населения, чувствительные к росту цен, в частности, в районах Сибири, Дальнего Востока.

Ассоциация региональных операторов связи (АРОС) была учреждена в феврале 1995 года. АРОС — некоммерческое объединение предприятий, созданное с целью координации предпринимательской деятельности, представления и защиты общих имущественных интересов ее членов в области связи. В настоящее время ассоциация объединяет около 30 компаний, занимающихся развитием и эксплуатацией сетей подвижной и фиксированной связи в РФ и странах СНГ. В целом по России региональными компаниями-операторами АРОС обслуживается более 25 млн абонентов.

Напрасные ожидания


Стенограмма заседания ЭГ19 в РИА «Новости», 28 июня 2011 года

М.В.Якушев, руководитель Рабочей группы по юридическим вопросам Союза операторов Интернета:

Могу сказать, что 1 июля нас ждет не только проблема с государственными услугами, нас может ожидать очень большая проблема с введением полномасштабного законодательства персональных данных и требования об обязательной сертификации всех информационных систем, которые обрабатывают персональные данные. По замыслу первоначальному - это была защита граждан от того, чтобы их персональные данные куда-то уходили. На практике – до 5% валового национального продукта должно уходить на сертификацию, очень дорогостоящую сертификацию всех информационных систем, практически всех ведомств и компаний. Разумеется, вот яркий пример, как из ничего создан такой барьер, который реально преодолеть невозможно.

Мы надеемся, что Государственная Дума внесет соответствующие коррективы за последние дни этого июня, успеет что-то сделать...

понедельник, 11 июля 2011 г.

Вступил в АРСИБ


Ассоциацию Руководителей Служб Информационной Безопасности. Записался в 2 комитета. Пока никаких поручений не поступало но, в будущем, надеюсь оказаться хоть в чем-то полезным.

Сообща-то оно завсегда плодотворнее...

Включена капча


Коллеги, прошу прощения - но Гугл начал помещать каждый второй комментарий в Спам. Для того, чтобы этого избежать, пришлось включить капчу при вводе комментариев. Прошу извинить за доставленные неудобства.

воскресенье, 10 июля 2011 г.

Суровая и Справедливая


Ну, что ж, коллеги - вот с чем мы входим в новую неделю. Рассмотрение законопроекта в Совете Федерации состоится 13 июля - об этом в блоге М.Ю.Емельянникова здесь. Ответ А.Токаренко на письмо С.В.Вихорева - здесь. Ответ Ю.В.Травкина - здесь. Ответ А.Бондаренко - здесь.

Спасибо Денису Батранкову за видео. Не обнадеживает, не утешает - просто понравилось.



Смотрим, наблюдаем, ждем!

пятница, 8 июля 2011 г.

Злые добрые критики


Дорогие сограждане, все, кто поддержал инициативу! В последнее время стали появляться крайне немногочисленные сообщения, содержащие язвительные (как кажется их авторам) высказывания в адрес тех, кто подписал Письмо, и критикующие его содержание (пример такого сообщения здесь). По понятным причинам, это неизбежно. Как у и любой инициативы, у этой есть сторонники – их подавляющее большинство, есть сомневающиеся, которых мы пытаемся убедить, а есть противники, которые и делают такие выпады. Это совершенно нормально, и свойственно любому процессу.

Основная задача инициативы – создать общественный резонанс для того, чтобы власть услышала позицию подавляющего большинства, и пока не принято окончательное решение по законопроекту, именно на этом нам и нужно сосредоточить все усилия. Содержание письма является следствием избранной стратегии и определенных условий (прежде всего очень сильно сжатые сроки подготовки). Именно поэтому, сейчас, в условиях определенного накала страстей, мы не можем раскрыть все карты, но обязательно сделаем это при общественном обсуждении и публичной корректировке законопроекта (если такое случится).

Повторюсь - цель происходящего заключается совсем не в том, чтобы перевесить рычаг ПДн со стороны необоснованно жесткого и порой бессмысленного регулирования в сторону полного операторского "расслабона". Смысл инициативы - в том, чтобы путем общественного обсуждения и экспертной доработки законопроекта добиться хотя бы приблизительно тех целей, ради которых, собственно, закон и принимался: обеспечение баланса интересов субъекта и оператора, адекватность защитных мер и ответственность оператора за ущерб, нанесенный субъекту. Именно это отражает просьба в последнем абзаце открытого письма.

Для того, чтобы понять, откуда летят "бомбочки" с другой стороны "баррикад" - достаточно взглянуть на эту ссылку. Именно для такого случая характерны постоянные условия военного времени и воображаемые враги, везде и всегда; а когда устоявшееся мировоззрение еще и позволяет заработать - то мы имеем то, что имеем.

Все это лишний раз подтверждает тот факт, что все мы, поддержавшие инициативу, делаем правильное дело. И потому - прокричим большое спасибо "по ту сторону баррикад" за такую обостренную реакцию, и будем использовать эту и любую другую подобную информацию для достижения заявленных нами целей ;)

Мой диалог с Сергеем Викторовичем Вихоревым, автором "письма подписантам", здесь. Простите, Сергей Викторович, но я все-таки верю, что в глубине Вашего сердца все же немножко екает... А работа - она просто работа :)

четверг, 7 июля 2011 г.

Письмо Президенту: резонанс


Пост обновляется по мере появления новых ссылок. Уважаемые коллеги, кого забыл - пишите в комментариях, сразу поправлю!


Публикации в СМИ: CNews, "Директор по безопасности", "Habrahabr.RU", "Банковское Обозрение", "IKSMedia.RU", "Деловая газета МАРКЕР", ITSecAnti-Malware.RUВедомостиComNewsRBCDaily, "Банковское Обозрение (2)", "ВестиFM (со звуком)", CRN.RU, Российская Газета, iBusiness

Ассоциации и организации: НП "ДАТУМ"
Комиссия по информационной безопасности и киберпреступности РАЭККонсалтинговое агентство «Емельянников, Попова и партнеры»

Письмо подписали 219 человек, число загрузок файла письма, размещенного для самостоятельной отправки - 119.

Блоги и форумы:

http://blogbdv.blogspot.com/2011/07/152-5-2-2011-kremlin.html
http://rusrim.blogspot.com/2011/07/blog-post_7637.html
http://esstm.blogspot.com/2011/07/152.html
http://shaurojen.blogspot.com/2011/07/152.html
http://ser-storchak.livejournal.com/17286.html
http://sysadmins.me/topic/2829/
http://forum.ru-board.com/topic.cgi?forum=8&topic=33132&start=560#15
http://www.gosbook.ru/node/27642
http://arekusux.blogspot.com/2011/07/152.html

http://dorlov.blogspot.com/2011/07/152.html
http://bankir.ru/dom/showthread.php?t=107933
http://zileff.livejournal.com/8642.html
http://anik1966.livejournal.com/7233.html
http://habrahabr-new.livejournal.com/2402925.html
http://marker-rus.livejournal.com/605001.html
http://r-a-permyakov.blogspot.com/2011/07/blog-post_05.html
http://chin.org.ua/blog/?p=1702
http://ispdn.ru/forum/index.php?PAGE_NAME=message&FID=4&TID=1925&MID=22100#message22100

http://emeliyannikov.blogspot.com/2011/07/blog-post_06.html
http://hayrov.blogspot.com/2011/07/152.html
http://biz-sec.blogspot.com/2011/07/blog-post_07.html
http://smartsourcing.livejournal.com/91788.html
http://nevinodel.livejournal.com/479420.html
http://akolesov.livejournal.com/316102.html
http://www.pcweek.ru/ecm/blog/ecm/1382.php
http://open-life.org/blog/1771.html
http://tigrocrys.livejournal.com/7851.html
http://npikhtin.livejournal.com/197514.html
http://www.akm.ru/rus/news/2011/july/07/ns_3644362.htm
http://www.rosinvest.com/news/833393/
http://ugfx.livejournal.com/806726.html
http://www.radiovesti.ru/articles/2011-07-07/fm/5437
http://newsarmenia.ru/sng1/20110707/42486276.html

http://webplanet.ru/news/law/2011/07/07/personal_data.html
http://investorkirov.ru/news/index.php?ID=42415
http://www.mskit.ru/news/n101026/
http://www.spbit.su/news/n101026/
http://www.nnit.ru/news/n101026/
http://www.investorkirov.ru/news/index.php?ID=42415

http://denis-advokat.blog.ru/122725684.html
http://www.crmdaily.ru/novosti-rynka-crm/627-yeksperty-poschitali-stoimost-zashhity-personalnyx-dannyx.html
http://www.43region.com/news/zaschita-personalnyh-dannyh-mozhet-vyyti-biznesu-v-kopeechku/
http://forum.windowsfaq.ru/showthread.php?s=fd4e0d3cf6f689fc15f27c14be0b84de&p=727802#post727802
http://www.blog.seo-web.ru/2011/07/07/novyjj-zakon-o-personalnykh-dannykh-uskorit-inflyaciyu/
http://novostey.com/internet/news340325.html
http://copy-news.ru/technology-and-business/safety/132233-2011-07-07-09-52-08.html
http://www.it-top.ru/news/07/07/2011/439971/05_07_2011_152/
http://www.it-top.ru/news/07/07/2011/439965/
http://ru.worldseo.net/blog/15659/message.html
http://ru-pirate-party.livejournal.com/175866.html
http://zmeinogorsk.ru/port/safe/news_2011-07-07-03-56-01-234.html
http://bnkirov.ru/post/383
http://smartsourcing.ru/micro_posts/220
http://www.crack-forum.ru/showthread.php?s=119846cfaccc37131c453754112bfb0b&t=20539
http://una.ua/deputaty-ne-reshilis-otklyuchit-fsb-ot-personalnyx-dannyx/

http://www.ispdn.info/novosti/otkritoe-pismo-prezidentu-rf-d-a-medvedevu.html
http://linkd.in/mXesr5
http://linkd.in/qWhNJL
http://informanagement.ru/notes/an_open_letter_to_russian_president_dmitry_medvedev/
http://www.deiteriy.com/news/2011-07-08/Rukovodstvo_kompanii_Deiteriy_prisoedinilos_k_otkrytomu_pismu_Prezidentu/

http://grazhrep.livejournal.com/1243149.html

Вера в лучшее


Дорогие друзья! Коллеги! Читатели блога! Прежде всего, позвольте поблагодарить всех, кто остался неравнодушен к нашей инициативе и поддержал ее - комментарием с подписью, письмом в администрацию Президента, размещением текста на интернет-ресурсе, "твитами", "лайками", публикациями и просто прочтением и внутренним одобрением. Спасибо тем немногочисленным читателям, что высказывали критику: без нее авторы над своими головами вообразили бы нимб, который очень трудно было бы сбить :)

Ну а если говорить серьезно - то цель происходящего заключается совсем не в том, чтобы перевесить рычаг ПДн со стороны необоснованно жесткого и порой бессмысленного регулирования в сторону полного операторского "расслабона". Смысл инициативы - в том, чтобы путем общественного обсуждения и экспертной доработки законопроекта добиться хотя бы приблизительно тех целей, ради которых, собственно, закон и принимался: обеспечение баланса интересов субъекта и оператора, адекватность защитных мер и ответственность оператора за ущерб, нанесенный субъекту. Именно это отражает просьба в последнем абзаце открытого письма. Но это все - позже.

Сейчас вы, конечно, скажете - письмо опубликовано, резонанс создан, что дальше? На самом деле, нельзя останавливаться на достигнутом, иначе все начинания сведутся к восприятию инициативы как очередного флеш-моба и игнорированию нас, людей, проявляющих свою гражданскую позицию.

Спросите - верю ли я в успех? И я вам отвечу. Можно не верить в чудеса, не верить в силу общественного мнения, силу Президента и Конституции. Но верить в самого себя и свои собственные силы обязан каждый из нас. Это - только начало, результат же зависит от нас самих.

И поэтому я говорю всем, кто еще раздумывает, стоит или нет поучаствовать в инициативе: поверьте в свои силы - присоединяйтесь, подписывайте письмо, публикуйте,  отправляйте в администрацию Президента. Только так мы можем быть услышаны, а это сейчас - главная задача.

среда, 6 июля 2011 г.

UPDATE: Письмо Президенту


Коллеги!

Чтобы повысить эффективность данного письма, ОЧЕНЬ ЖЕЛАТЕЛЬНО направить его ЛИЧНО от своего имени в адрес Президента через сайт kremlin.ru. Там необходимо ввести свои фамилию, имя и адрес электронной почты, и приложить файл с обращением в формате RTF - забирайте, замените "подписантов" на свое имя и отправляйте! Чем больше запросов будет в адрес Президента, тем больше шансов, что на письмо обратят внимание.

Огромное спасибо всем за поддержку!

Открытое письмо Президенту РФ Д.А.Медведеву


Дорогие читатели! Если Вы поддерживаете это письмо, пожалуйста, в комментариях оставляйте (только) свое Ф.И.О., и распространяйте текст на других ресурсах! Текст письма в файле для самостоятельной персональной отправки через kremlin.ru здесь (не забудьте поправить поле "Письмо подписали").


Уважаемый Дмитрий Анатольевич!

Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru http://kremlin.ru/assignments/11427 , а именно:

5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.
Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.
Срок – 1 августа 2011 г.

Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.

Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.

Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.

Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года (http://www.aksakov.ru/media/File/filelist/st08.doc), на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.

Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.

Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.

Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.

06.07.2011

Письмо подписали:

Бондаренко Александр
Волков Алексей
Лукацкий Алексей
Токаренко Александр
Царев Евгений

Письмо направлено через http://letters.kremlin.ru/