среда, 26 декабря 2012 г.

Я не люблю DLP? Почему?!


В канун Нового года, когда все мы, изрядно подустав от отчетов и остаточной беготни, пытаемся вышибить рабочий клин предпраздничными хлопотами и желаем заряжаться позитивом, автор этого блога заканчивает серию постов про DLP, тоже на позитивной ноте. Ну не могу я испортить читателям хорошее настроение - и так наговорил много нелестного о неплохой, в общем-то, идее: настало время похвалить ее "хромую" реализацию. Кроме того, надо поздравить Вас с праздниками - а как поздравлять, когда тут такое... Но избранный для публикации жанр требует - поэтому, чтобы все было "по уму", снова начну "за упокой", а вот закончу - "за здравие".

вторник, 18 декабря 2012 г.

Предложения по совершенствованию SOISO


В соответствие с ранее намеченным мной планом, оформил и отправил во ФСТЭК РФ свою скромную лепту по совершенствованию "Состава и содержания...". Текст - под "катом".

воскресенье, 16 декабря 2012 г.

Конструктив продолжается


В сентябре этого года нам с коллегами - Алексеем Лукацким, Михаилом Емельянниковым и Александром Токаренко - поступило предложение, от которого грех было отказываться: поработать совместно со специалистами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) над разъяснениями вопросов практического применения операторами законодательства в области персональных данных. К сожалению, время на подготовку первого разъяснения заняло у нас несколько большее время по разным причинам но, тем не менее, это случилось: 14 декабря Роскомнадзор опубликовал разъяснения по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. Не смотря на то, что компромисс иногда давался нелегко - работа велась конструктивно, и это еще один хороший знак изменения позиции органа государственной власти с "истины в последней инстанции" на "конструктивную обратную связь ради общего дела". Я очень надеюсь на то, что эта практика будет продолжена, и одним разъяснением мы не ограничимся. Под "катом" - копия "разъяснения".

среда, 12 декабря 2012 г.

О проекте документа ФСТЭК для DLP-Expert


Давал сегодня письменное интервью для ресурса DLP-Expert по поводу "Состава и содержания..." (в простонародии уже окрещенного SOISO). Полную версию "интервью", со ссылками, привожу ниже (то, что не опубликовано, выделено жирным шрифтом).

пятница, 7 декабря 2012 г.

Две недели на работу


Под вечер пятницы, слегка просрочив обещанную дату, ФСТЭК таки сдержала слово и выложила проект приказа "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных» (первая редакция).
Нам, как "заинтересованным специалистам", предлагается рассмотреть подготовленный проект ни направить предложения по его совершенствованию на адрес электронной почты otd22@fstec.ru до 21 декабря 2012 г. Таким образом, мы с вами, дорогие друзья, имеем 2 недели на то, чтобы:
  1. Ознакомиться с их содержанием;
  2. Отыскать спорные вопросы;
  3. Свести их в вот такую таблицу (и в дальнейшем работать с ней);
  4. Ссылаясь на нормы НПА или здравый смысл обосновать, в чем проблема;
  5. Написать свой вариант "спорного" текста;
  6. Отправить заполненную табличку на указанный адрес;
  7. Где-нибудь ее (табличку) опубликовать.
Почему важен шаг №8 - я уже писал, и практика показывает, что не все вопросы учитываются и доходят до рассмотрения: счастливчик Ригель с 9 очками из 10 пока единственный, кто остался полностью доволен.

Я уже сделал шаг №1 - остальные на досуге отработаю. Да, и те, кто желает - не тяните со временем: лучше все сделать числа до 17-го.

понедельник, 3 декабря 2012 г.

Почему я не люблю DLP: причина третья.


В ожидании обещанного ФСТЭК нормативного документа, продолжаю серию постов  (известных также под псевдонимами "страшилки", "помойка", "записки КЭПа" и некоторыми другими эпитетами) про DLP с неблагозвучным для представителей причастных к этим системам профессий названием. В предыдущей части мы с вами, дорогие читатели, от сугубо технических нюансов перешли к проблемам организационным и сделали вывод о том, что для эксплуатации технических средств такого рода и безопасность в общем, и "безопасник" в частности должны иметь определенный уровень зрелости, особенно моральной, что бывает далеко не всегда.

Оппоненты, после публикации первой части настойчиво утверждавшие, что средство - это лишь часть системы и все зависит от организационной составляющей, на этот раз радикально изменили тактику и набросились с криками "а техника-то здесь при чем?", чем изрядно меня повеселили. Ну хорошо - техника здесь действительно не при чем, и я, пожалуй, верну отобранный у "дылды" балл: пусть вместо "-2" будет "-1". А за то, что она хоть в чем-то помогает существовать "безопасникам" - устрою аттракцион неслыханной щедрости и добавлю еще один "плюс". В результате, DLP никому ничего не должна, в копилку вновь вернулся "ноль" с которого мы с вами, собственно, снова и начнем.

В отличие от двух предыдущих частей, в этот раз баек про "дружбанов" я травить не буду (с ними, кстати, все в порядке - работают и по сей день, отделавшись легким испугом). Ведь речь пойдет о вещах куда более серьезных: о данных, фактах и цифрах - тех, которыми оперирует бизнес, владелец усердно защищаемого "безопасниками" актива.

четверг, 22 ноября 2012 г.

Состав и содержание


В ожидании документа от ФСТЭК, перечитал еще раз информационное сообщение и заглянул с утра в любимый всеми нами Закон, на который оно ссылается. Если переписать ч. 4 ст. 19 по-русски, получится:

Федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий устанавливаются состав и содержание:

необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности

(здесь по тексту идет запятая, разделяющая части сложносочиненного предложения)

организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

среда, 21 ноября 2012 г.

Готовьтесь к работе, заинтересованные лица!


Дорогие друзья! Вынужден, не без радости, прервать этим постом серию публикаций про DLP, ради неплохого, в общем, известия. Сегодня на сайте ФСТЭК РФ размещено информационное сообщение за номером 240/24/4669 от вчерашнего дня, которое я, честно сказать, никак не ожидал. В нем, помимо многих других интересных вещей (включая преемственность) говорится, дословно:

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля
2006 г. № 152-ФЗ «О персональных данных» и Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, ФСТЭК России завершается работа по подготовке проекта нормативного правового акта, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Проект указанного нормативного правового акта планируется до 7 декабря 2012 г. разместить на официальном сайте ФСТЭК России www.fstec.ru для рассмотрения заинтересованными лицами.

Лично я считаю и сам факт выхода такого сообщения, и намерение (боюсь сказать желание) ФСТЭК принимать замечания от "заинтересованных лиц" по поводу традиционно "кулуарной" области серьезным шагом навстречу экспертному сообществу. Пока не могу предположить (потому что боюсь сглазить), насколько конструктивным окажется диалог - но я готов работать. Призываю всех, кто располагает минимальным, но свободным временем, отыскать в себе желание прочитать документ и найти в нем хотя бы один момент, который Вас, как эксперта, не устраивает, коротко и конструктивно обосновать, почему, и направить Ваше обращение во ФСТЭК по указанному в будущем сообщении адресу электронной почты. Это не займет у Вас много времени и сил, но, возможно, сыграет огромную роль в становлении конструктивного диалога экспертного сообщества с регулятором.

Главная просьба - делайте все публично. Все замечания оформляйте в виде файлов и выкладывайте их куда-нибудь, где остальные могут их прочитать. Не критикуйте друг друга, не бойтесь делать ошибки, повторяться и выглядеть непрофессионально: не ошибается тот, кто ничего не делает. Ссылки на ваши замечания размещайте у себя в блогах или, в виде комментариев, здесь или в блогах коллег.

Давайте покажем, что нам не наплевать. А после выхода документа "всем миром" проанализируем, насколько велик оказался наш вклад в его разработку и сделаем вывод, подкрепленный практикой, о том, стоит или нет верить подобным "заманухам" от госструктур.

четверг, 15 ноября 2012 г.

Почему я не люблю DLP: причина вторая.


В предыдущем посте с почти аналогичным названием я поведал вам, дорогие читатели, о первой причине своего скептического отношения к термину DLP: техническое решение, позиционируемое как средство предотвращения утечек данных, попадая в "боевые" условия перестает быть таковым. Максимум, что оно сможет делать - выявлять эти самые утечки, то есть эксплуатироваться в качестве DLD ("дылды"). С другой стороны, если рассматривать развертывание "дылды" как технического средства в составе DLP как системы (то есть "комплекса организационных мер и технических средств ...") - задача выглядит совсем иначе. Стоимость такого внедрения возрастает в разы, и ждать моментального эффекта от внедрения не приходится но, если у потребителя есть долгосрочные планы по снижению рисков, связанных с утечками данных, до приемлемого уровня - он может и потерпеть.

Естественно, вследствие оптимизации процессов обработки информации уменьшится количество потенциальных каналов утечки  - соответственно, сократится и число "алертов", с усердием выдаваемых "на-гора" средствами мониторинга. Тем не менее, "дылда", как была "детектором утечек" так им и останется, информация продолжит "уходить", а основным звеном, принимающим решения относительно наличия и отсутствия факта утечки, станет наш с вами коллега-"безопасник", эти "алерты" мониторящий. В этом случае техническое средство будет, с одной стороны, незаменимым помощником "безопаснику". А вот с другой стороны, это же самое техническое средство станет представлять определенную опасность для владельца - того, чью, собственно, информацию "безопасник" и пытается защитить.

Как влияет DLP на "приемлемый уровень" из первого абзаца, и по каким причинам безопасник, вооруженный "дылдой", становится угрозой владельцу - об этом поговорим сегодня. Но сначала - вернемся в офис той самой компании, в гости к двум "дружбанам".

четверг, 1 ноября 2012 г.

Почему я не люблю DLP: причина первая.


На самом деле, я давно написал статью с похожим названием, но побаивался ее публиковать - слишком уж откровенной она получилась. Потому что ситуация, связанная с реальным, практическим применением "этих" средств, ассоциируется с каким-то "тайным грехом": все делали, делают или втайне помышляют об "этом", многим "это" понравилось и они хотят продолжать и разнообразить свои занятия, кое-кто даже делится впечатлениями с очень-очень близкими друзьями. Все без исключения знают, что "это" происходит где-то и с кем-то круглосуточно, включая данный конкретный момент времени, но практически никто об "этом" в открытую не говорит. Практически - потому, что  занятие "этим", по понятным причинам, не приносит обоюдного удовольствия действующим лицам: всегда счастлива только одна сторона.

Разработчики "этих" средств охотно выступают в роли специализированных тематических магазинов, охотно предлагающих предающимся "тайному греху" согражданам удивительные "штуки" любого функционала и масштаба,охотно рекламируя их внешний вид и возможности, причем делают это в открытую, никого не стесняясь. Оно и понятно - инструмент есть инструмент: выглядит привлекательно и умеет вызывать огоньки возбуждения в глазах потенциальных потребителей.

Именно поэтому я несколько раз начинал, прекращал, переписывал отдельные части, удалял и менял формулировки. Потом на пару месяцев бросил, затем снова перечитал и, как говорится, понял - дабы никоим образом не обидеть ни тех, кто "этим" реально занимается, ни тех, кто "это" продает, "ровно половину слов надо вырезать": и я переписал ее "с нуля". Я ни в коей мере не претендую на роль критика, не собираюсь делать никаких разоблачающих выводов, равно как изобличать кого-то в нарушении Конституции или аморальном поведении. Все, что написано - это личные впечатления автора блога, все примеры взяты из его собственной головы, а любое сходство с реальными людьми является случайным (так что если кто-то вдруг узнает себя - знайте, что это не так).

понедельник, 29 октября 2012 г.

Чем бредят операторы


На прошлой неделе на сайте Минэкономразвития было опубликовано Заключение об оценке регулирующего воздействия на проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» - ответ Департамента оценки регулирующего воздействия МЭР на вторую попытку Роскомнадзора внести изменения в КоАП, повышающие штрафы за нарушения в области обработки ПДн и дающие ведомству право самостоятельно возбуждать дела об административных правонарушениях в этой области, минуя Прокуратуру.

Судя по всему, Роскомнадзору придется, что называется, "третий раз закидывать невод" -  самый спорный момент, связанный с применением оборотных штрафов, снова не нашел понимания в МЭР, поскольку, дословно, "формулировки понятий, примененные разработчиком в тексте пункта 2 проектируемой статьи 13.11.1 КоАП ... не могут служить для однозначного определения нарушений, что на практике может привести к избирательному правоприменению" (если помните, я и сам запутался, высчитывая приблизительный размер штрафа). Сигнал положительный, но, прочитав документ полностью, я наткнулся на очень интересные моменты, которыми спешу с Вами, дорогие читатели, поделиться.

понедельник, 15 октября 2012 г.

Чего не могут короли


На блоггер-панели, прошедшей "под крылом" М.Ю. Емельянникова на конференции Infobez-Expo 2012, автор этого блога сделал своеобразный "призыв к общественности" - троллить обращаться в письменном виде напрямую к органам государственной власти по интересующим вопросам, и публиковать полученные ответы. Отрадно, что призыв не ушел в пустоту - появились первые "ласточки", гнезда которым я с удовольствием помогаю (и дальше буду помогать) соорудить в этой скромной обители.

понедельник, 8 октября 2012 г.

Политика оператора в отношении обработки персональных данных


Так называется моя статья, опубликованная в октябрьском номере журнала "Директор по безопасности". Написал я ее по причине собственной лености - потому, что очень много вопросов читатели блога задают в частном порядке по электронной почте, дабы переключить внимание на другие, не менее интересные вещи. Статья в PDF, в открытом доступе - читайте и спрашивайте на здоровье :)
 

четверг, 4 октября 2012 г.

Разъясняй и властвуй


Испокон веков известна народная мудрость: язык до Киева доведет. Современный человек, избалованный спутниковой навигацией, должен понимать, что смысл фазы заключается вовсе не в том, как ориентироваться на местности с помощью различных частей тела. Мудрый народ имел в виду: если чего-то не знаешь, нужно у кого-нибудь спросить. В наших с вами, дорогие читатели, профессиональных вопросах, тем более в тех, что касаются законодательства в области информационной безопасности и смежных с ней областях, простых и однозначных ответов нет и быть не может. Получить эти ответы очень хочется, а иногда бывает крайне необходимо - и поэтому ничего другого не остается, кроме как спросить у того, кто ими обладает ну, или, по крайней мере должен обладать.

вторник, 25 сентября 2012 г.

Наказательный конструктив (UPD)


Пока коллеги бурно обсуждают постановления, устанавливающие Уровни и Требования и, с глазами, полными воодушевленного оптимизма, дружно аплодируют Правительству и Партии, задарма раздавая хорошие оценки, а ведомство, отвечающее за их разработку, проводит законопроекты сродни сталинской эпохи через Государственную Думу, другое ведомство - Роскомнадзор, видимо, прислушалось к критике своих новшеств и провело работу над ошибками. Что ж, давайте посмотрим, что в итоге получилось.

суббота, 22 сентября 2012 г.

Новые Уровни и Требования: второй блин комом


Весной этого года, 27 апреля, мы с вами, дорогие читатели, обсуждали проекты постановлений правительства РФ "Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных", и "О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных". В них было много всего: и замысловатые фразы, и скрытые формулы, и даже "операторский минимум" в виде УЗ-2. Почти пять месяцев об их судьбе не было слышно практически ничего: благо, посвященные время от времени "вбрасывали" скудные обрывки информации и баловали сообщество свежими, не вселявшими оптимизма, слухами. И вот, наконец, настал тот чудный день, когда все мы можем приобщиться к этой величайшей тайне и насладиться вкушением доселе запретного плода, возросшего на сайте ФСБ в надежде обрести заключения по результатам антикоррупционной экспертизы. Что ж, приготовьтесь, будет кисло.

пятница, 31 августа 2012 г.

Наказательный креатив


Тем из вас, дорогие читатели, кому доводилось обосновывать необходимость создания системы защиты персональных данных перед руководством, должен быть хорошо известен эффект "стены непонимания", возникающий у последнего при виде статьи 13.11 Кодекса РФ об административных правонарушениях, а точнее - максимального размера штрафа в 10 тысяч "деревянных" за несоблюдение требований всем известного сто пятьдесят второго фэзэ (цифры написал словами, чтобы внести хоть какое-то разнообразие). Именно поэтому элементарный анализ "регуляторских" рисков зачастую приводит, что греха таить, к их принятию руководством - дескать, когда придут и напишут, тогда что-нибудь сделаем.

Такая позиция, естественно, давно известна и хорошо знакома Роскомнадзору - поэтому г-н Шередин, при поддержке депутата Железняка, еще год назад собирался ситуацию в корне переломить: дифференцировать ответственность в зависимости от степени вреда и разработать четкие критерии, которые позволят степень вреда определить. И вот, наконец, настал тот долгожданный день, когда мы все сможем оценить ту огромную работу, которую проделал Уполномоченный орган: на сайте Роскомнадзора появился законопроект, вносящий изменения в ст. 13.11 КоАП. Его мы с вами сегодня и препарируем.

понедельник, 13 августа 2012 г.

Как бы радио - 2: совместный с RISSPA вебинар по 152-ФЗ


По многочисленным просьбам многочисленных слушателей, зарегистрировавшихся, но не попавших на первый вебинар, 17 августа в 10.00 я читаю еще один, такой же. На этот раз технологические ограничения по количеству подключений не должны подвести - их число увеличено в 5 раз. Кроме того, в конце вебинара слушателей ожидает получасовой эксклюзивный бонус ;) Здесь можно зарегистрироваться, здесь - заранее задать вопрос, на который желаете получить заранее подготовленный ответ во время вебинара. Все бесплатно, как всегда :)

среда, 8 августа 2012 г.

Многабукав и ничего


На прошлой неделе на сайте ФСБ был опубликован проект очередного постановления Правительства РФ, регламентирующий порядок "согласования решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов  деятельности членами таких ассоциаций, союзов и иных объединений операторов, с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации". Как вы, дорогие читатели, понимаете - документ этот разработан в соответствии с п. 6 и 7 ст. 19 152-ФЗ, и по своему содержанию не менее фееричен, чем его старшие братья.

понедельник, 16 июля 2012 г.

Как бы радио: совместный с RISSPA вебинар по 152-ФЗ


Тот факт, что современные методы коммуникаций позволяют организовать семинары и конференции без аренды залов, дорогостоящего оборудования, выездов и командировок, наверное, уже никого не удивит. Оно и хорошо - ведь далеко не все могут себе позволить оторваться от работы на весь день (а иногда и заплатить за участие) ради пары интересных докладов, а так - красота: сидишь себе за компом, потягиваешь напиток, смотришь в монитор и слушаешь что вещает докладчик, не понравилось - вырубил вебинар и дело с концом. Что касается докладчика - здесь все иначе. Одно дело выступать перед аудиторией, "чувствовать" ее, и совсем другое - рассказывать обезличенным участникам "по ту сторону" монитора.

Поэтому когда RISSPA предложили мне стать первооткрывателем их нового масштабного проекта, я, конечно же согласился: такого опыта у меня еще не было, а начинать надо. В качестве темы был выбран набивший оскомину 152-ФЗ, а именно - "Практические советы операторам при проверке соответствия обработки персональных данных требованиям законодательства РФ". Я перетряс все свои посты и все ваши комментарии, систематизировал всю свою практику и постарался уложить все это в один час, за который планирую рассказать о том:
  • Кто, кого, и для чего проверяет;
  • Правовые основания для проведения плановых и внеплановых проверок;
  • Что может Роскомнадзор в соответствии с законодательством и как реализует свои полномочия на практике;
  • Как определить степень готовности к проверке и что делать, если она близка к нулю;
  • Как отстоять свои права во время проверки и после нее, при этом не ударить в грязь лицом и сохранить хорошие отношения с регулятором;
  • Проверка без замечаний – это реально?
Презентаций не будет - демонстрироваться будут исключительно "живые" документы. Пробегусь по законодательной базе, регламентирующей порядок проведения проверок, расскажу о том, что осталось "за кадром" в серии постов "Записки провинциального оператора", покажу еще пару интересных документов и "фичей".

Радиотрансляция состоится 26.07.12 в 10.30. Регистрироваться на вебинар можно здесь, анонс на сайте RISSPA - здесь. Буду рад "ощущать" читателей блога в числе радиослушателей, даже если произносимое мной иногда будет сопровождаться аккомпанементом на баяне :)

UPD: Регистрация БЕСПЛАТНА, как и все последующее!

вторник, 26 июня 2012 г.

Что могут короли


Вчера вечером, сидя за кружечкой чая перед уныло светящимся монитором и ваяя очередной шедевр внутреннего нормотворчества, схлестнулся с Алексеем Лукацким (которому, видно, тоже было недосуг) в занимательной дискуссии на тему полномочий горячо уважаемого и часто упоминаемого мной в последнее время ведомства под названием Роскомнадзор. Не всех, конечно, полномочий - а только тех, которые касаются проверки оным требований по обеспечению безопасности ПДн при их обработке в ИСПДн. Алексей (и не он один) считает, что 152-ФЗ не дает Роскомнадзору таких полномочий, вне зависимости от того, с привлечением экспертов и экспертных организаций проводится проверка или без таковых. Я же, в душе согласный с его точкой зрения, вынужден был возражать, поскольку не по наслышке знаком с точкой зрения самого Роскомнадзора, которую здесь излагаю.

четверг, 21 июня 2012 г.

Бабушка надвое


Вчерашнего дня на сайте ФСТЭК появилось очередное информационное письмо, разъясняющее очередную позицию этого органа относительно второго, терзающего операторские умы, вопроса - нужно или нет получать лицензию на деятельность по технической защите конфиденциальной информации, если таковая ведется для собственных нужд юридического лица (индивидуального предпринимателя). Почему я два раза  использовал слово "очередное" в одном предложении читатели блога, думаю, понимают: таких разных позиций здесь можно отыскать штуки три (здесь две и здесь одна). Эта - четвертая, и, вопреки появившимся восторженным отзывам в блогах коллег (как у Алексея Лукацкого), автор этого блога не склонен фонтанировать оптимизмом.

четверг, 14 июня 2012 г.

Казанские впечатления


Тем из Вас, дорогие читатели, кто немного знаком с процессом производства качественных треков (тьфу, что за сленг - созданием хороших музыкальных композиций), должно быть известно, что придумать запоминающуюся мелодию и записать ее - очень мало для того, чтобы она стала настоящим хитом. Конечно, работа композитора очень важна - он дает идею, но после того, как она родилась, за работу принимаются музыканты, вокалисты, аранжировщики, звукорежисеры, саундпродюсеры и много-много других людей, без которых придуманная композитором мелодия была бы годна только для того, чтобы стать "хитовым" рингтоном в Nokia 3310. Фанатам электронной музыки, особенно направлений Trance и Ambient, должно быть знакомо понятие "атмосфера" - это то, что "обволакивает" основную партию инструментов, делает композицию "шикарной" и уносит слушателя, словно горная река.

понедельник, 21 мая 2012 г.

Оценка соответствия - это обязательная сертификация. Без вариантов?


В минувшую пятницу на сайте ФСТЭК РФ, аккурат в обеденное время, была размещена новость о появившемся в недрах службы "информационном сообщении о работах в области оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа", доступном для широкой публики. Очевидно, заместитель начальника управления ФСТЭК России, г-н Виталий Сергеевич Лютиков, вполне адевкатно отреагировал на многочисленные нападки со стороны экспертного сообщества и, в подтверждение объяснения "это Минобороны начудило", данного в отношении грифа ДСП на ПП-330, на форуме директоров по ИБ, повелел выпустить указанный выше документ.

Собственно, основную мысль я сказал еще полгода назад - повторяться не буду. И выводы пока остаются прежними (косвенно их подтверждает и само "информационное сообщение", в котором фраза "зарегистрирован в Минюсте" красуется везде, кроме ПП-330), да и правовой статус таких вот "информационных писем" вызывает большие вопросы. Поэтому, хоть г-н Лютиков и решил частично раскрыть содержание документа "для служебного пользования", но проблемы его повсеместного применения как были, так и остались - те же самые. Вот только примет ли их во внимание суд - вопрос весьма неоднозначный.

среда, 16 мая 2012 г.

Ночной дозор Роскомнадзор


В заключительной части сериала "Записки провинциального оператора" я писал, что Роскомнадзор, пользуясь отсутствием в 152-ФЗ явного запрета на контроль соблюдения негосударственными операторами требований по технической защите ПДн, обрабатываемых в ИСПДн, со стороны ФСТЭК и ФСБ, цитата, "тихой сапой влазит в контроль технических мер в негосударственных ИСПДн". Благодаря Алексею Ефремову стало понятно, что процесс "вползания" находится на финишной прямой - оказывается, еще в феврале месяце Минкомсвязи на своем сайте опубликовало проект постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных», который призван наделить Роскомнадзор новыми полномочиями, фактически превращающими это ведомство в "полицию персональных данных".

В отличие от проектов постановлений Правительства по уровням и требованиям, этот документ великолепен своей простотой и понятностью: ничего лишнего - 21 пункт, даже нумерация подпунктов (в отличие от административного регламента Роскомнадзора по ПДн) не напутана. Правда, многое из написанного нам уже известно - потому обратим внимание исключительно на "новинки", и, поскольку это, все-таки, проект - с приставкой "будет".

четверг, 3 мая 2012 г.

Коррупциогенные факторы проектов постановлений по персональным данным


Независимый эксперт, аккредитованный Минюстом России для проведения антикоррупционной экспертизы нормативных правовых актов и проектов нормативных правовых актов, кандидат юридических наук, доцент Воронежского государственного университета, руководитель аппарата Воронежского регионального отделения Общероссийской общественной организации «Ассоциация юристов России» и просто хороший человек Алексей Ефремов, вчерашнего дня подготовил и отправил, а Евгений Царев опубликовал заключения по результатам независимой антикоррупционной экспертизы проектов постановлений, обсуждавшихся в предыдущем посте. Читаем, вникаем и учимся, как надо правильно писАть такие документы (заключение по "требованиям" и по "уровням").

пятница, 27 апреля 2012 г.

Уровни и требования


Не так давно ФСБ в лице Правительства РФ "порадовала" наше скромное, но небезразличное сообщество новыми требованиями, предъявляемыми к организациям, осуществляющим деятельность в области криптографии - и вот, на подходе два новых "шедевра", затрагивающих, на этот раз, куда более "массового" потребителя. Знакомьтесь - проекты долгожданных постановлений Правительства Федеральной службы безопасности РФ "Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных", и "О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных".

среда, 25 апреля 2012 г.

Записки провинциального оператора. Послесловие (updated).


Я искренне верю в то, что Вы, дорогие читатели, все выводы для себя уже сделали. Поэтому, чтобы долго не толочь воду в ступе и не злоупотреблять Вашим терпением (и так растянул, словно кота за хвост), привожу последние слайды своей презентации, так толком и не показанной на 5 межотраслевом форуме директоров по ИБ, где она потерялась практически на все время моего выступления (поэтому я выступал в роли артиста разговорного жанра, но зрители были довольны).

вторник, 24 апреля 2012 г.

Записки провинциального оператора. Часть 6.


Мировой судья, мужчина лет 35, явно торопился. Еще бы - в расписании участка яблоку негде было упасть, заседания шли одно за другим: то развод, то страховая, то взыскание задолженности. Он вошел в зал заседаний быстрым шагом, бегло взглянул на присутствующих и попросил всех присесть. Установление личностей не заняло много времени, после чего секретарь положила на стол две папки с делами. Судья пододвинул их поближе, открыл и стал вспоминать, о чем, собственно, речь. С этого момента представители оператора и регулятора, еще в "предбаннике" активно и весьма дружелюбно общавшиеся между собой, стали, на время, злейшими врагами, и в зале заседаний воцарилась напряженная тишина.

понедельник, 23 апреля 2012 г.

Условно-конфиденциальная информация


Все мы когда-то (я надеюсь) учились в школе, и в старших классах занимались тем, что, по нашему мнению, делало нас взрослее и авторитетнее. Нам, малолетним "нарушителям", по большому счету было все равно, кто узнает о том, что мы, например, курим: наоборот - чем больше, тем лучше, ведь все это делалось для публики (глядите, какой я крутой и взрослый). Правда, в тайне от родителей и учителей - чтобы за мнимый авторитет не "прилетела" пара вполне реальных тумаков, или не были применены иные карательные меры. Поэтому для нас, обладателей этой страшной, сопровождаемой легким табачным амбре, тайны, классическая "матрица доступа", где буквы "Х" напротив ФИО отражают наличие доступа к защищаемой информации, трансформировалась в совершенно иную конструкцию.

четверг, 19 апреля 2012 г.

Записки провинциального оператора. Часть 5.


В детстве, когда мы играли с мальчишками в футбол в коробке, во дворе, Ваш покорный слуга всегда был защитником - бегать по "полю" было лень. Поэтому, встречая "вражеского" нападающего, я изматывал и запутывал его своими действиями, пока нападающие из "своей" команды кричали мне "давай, он ошибется!" Сейчас и мальчишки выросли, и игры другие, но вот эта фраза - "он ошибется" - и ситуация, в которой она проявляется, напоминает мне тот самый, "коробочно-дворовый" футбол. Только ставки выше, да и последствия ошибок куда серьезнее.

среда, 18 апреля 2012 г.

Записки провинциального оператора. Часть 4.


Представь себе, дорогой читатель, что вдруг на минуточку решил ты выбраться из личного или общественного транспорта и насладиться пешей прогулкой по прекрасной весенней улочке. Тепло, сухо, солнышко светит - словом, благодать. И вот идешь ты не спеша, подходишь к перекрестку - зеленый свет заморгал, ты никуда не торопишься и решаешь подождать следующего сигнала светофора, но вдруг посереди проезжей части видишь дедушку с клюкой, не успевшего завершить переход. Конечно, ты добрый человек и решаешь деду помочь: бежишь на красный, хватаешь его и помогаешь перейти на другую сторону, а там - сотрудник ГИБДД. Дедок говорит спасибо и уходит, а ГИБДД-шник спешно подруливает, представляется, и выписывает тебе ... нет, не премию - штраф, за переход перекрестка на запрещающий сигнал светофора. Схожие чувства испытал и наш Оператор, потративший немалые деньги на исполнение требований Законодательства и наказанный за то, что не сумел вовремя реализовать заранее намеченные самим же собой планы.

среда, 11 апреля 2012 г.

Записки провинциального оператора. Часть 3.


Тем из Вас, дорогие читатели, кто служил в армии, особенно хорошо должно быть знакомо и прочувствовано на себе крылатое выражение о том, как поступает инициатива с источником своего появления. Видимо, благодаря поголовному призыву, тюремно-лагерному менталитету многолетней выдержки и психологическим особенностям чиновников, работающих в контрольно-надзорных органах и считающих себя в большей степени карающей рукой закона, нежели арбитрами в конфликтах интересов, это крылатое выражение перетекло и в обычную жизнь, превратив деятельность операторов по защите ПДн в театр абсурда, а деятельность контролеров - в бессмысленный и беспощадный труд.

четверг, 5 апреля 2012 г.

Без бумажки ты ...?


Не так давно писал я о лицензировании деятельности по технической защите конфиденциальной информации, не так давно вышло новое постановление Правительства РФ на эту тему, и вот - пожалуйста, первые ласточки:

Прокуратурой г. Уфы проведена проверка соблюдения законодательства о защите персональных данных в ООО «Исток-Сервис» и ООО «Инфорсер» при оказании справочно-консультационных услуг при отделе государственного технического осмотра и регистрации автомототранспортных средств ГИБДД УМВД России по г.Уфа.
 
Установлено, что указанные юридические лица, осуществляли обработку персональных данных, являющихся сведениями конфиденциального характера, без соответствующей лицензии на деятельность по технической защите информации, и не принимали предусмотренных федеральным законодательством мер организационного, технического характера, по защите персональных данных клиентов, что могло повлечь нарушение конституционных прав граждан на неприкосновенность частной жизни.


По данному факту, с целью устранения нарушений действующего законодательства прокуратурой г.Уфы в Октябрьский районный суд г.Уфы направлены исковые заявления о приостановлении и признании незаконной деятельности ООО «Исток-Сервис» и ООО «Инфорсер» по обработке и хранению персональных данных, которые находятся на рассмотрении.

У кого-нибудь еще остались сомнения в этом?

Записки провинциального оператора. Часть 2.


По воле наших законодателей, всем нам - и операторам, и субъектам, и регуляторам, приходится жить в эпоху перемен, причем последним приходится, пожалуй, тяжелее всех. Ну действительно - кому какое дело до того, что новый закон принят и действует вместе со "старыми"постановлениями правительства - не отменять же проверки и не приостанавливать деятельность! Ну и что, что "в части касающейся" - кто-нибудь когда-нибудь проводил юридический анализ ПП-687, ПП-781 и ПП-512 (не говоря уж о "приказе Трех" и "приказе № 58") в разрезе нового законодательства и давал официальные разъяснения на предмет того, в какой конкретно части они действуют, а в какой нет? Никто и никогда - потому, что в Российской Федерации нет государственного органа, который занимался бы официальным разъяснением законодательных норм. Именно поэтому регуляторы действуют, исходя из собственного понимания закона, их представители проводят проверки в лучшем случае руководствуясь исключительно административными регламентами, а уж какие готовят документы...

вторник, 3 апреля 2012 г.

Записки провинциального оператора. Часть 1.


Пока Вы, дорогие читатели, думали, что Ваш покорный слуга не слегка "подзабил" на свою общественно-полезную нагрузку и отлынивает от добровольно взятых на себя обязательств, я, аки Сизиф, со всем упорством пытался решить на локальном уровне неразрешимые глобальные проблемы отечественного законодательства, находясь при этом в неоднозначном положении: с одной стороны - на острие атаки, а с другой - между молотом и наковальней.

Те из Вас, кто следит за обновлениями блога, вероятно, помнят, что с начала этого года работки у меня поприбавилось, и одним из основных направлений моей деятельности нынче является представление интересов операторов при проверках и, если повезет, в судах различных инстанций, и уж поверьте на слово - полтора месяца тишины не прошли для меня даром: такого экспириенса я не получал за все время своей блогодеятельности. Рассказать нынче могу о многом, однако блог - не очень удачное для этого место: пока выкраиваешь время и прессуешь разгулявшиеся мысли, и законы поменяются, и герои рассказов становятся иными. Однако есть один случай, который являет собой образчик всего того, что происходит в России-матушке вокруг избитой темы персональных данных, и об этом я молчать, уж точно, не могу, а потому - устраивайтесь поудобнее и приготовьтесь к не очень длинному, но растянутому во времени, повествованию.

вторник, 14 февраля 2012 г.

Безвозмездно - то есть, даром?


Наконец-то Роскомнадзору стало стыдно за свои почти пустые "закрома" - реестры граждан и организаций, привлекаемых в качестве экспертов и экспертных организаций в ходе проверок в области персональных данных. По поводу банального отсутствующего, но привлекаемого для проведения проверок на неведомых основаниях МВД РФ я уже писал и, судя по реестрам - с тех пор дело сдвинулось с мертвой точки. Однако, явно недостаточно хорошо, и вчерашнего дня на сайте регулятора появился недвусмысленный призыв к всеобщей экспертной мобилизации.

Предполагается, что аккредитованные граждане и организации НА БЕЗВОЗМЕЗДНОЙ ОСНОВЕ будут привлекаться к участию в мероприятиях по контролю для оценки эффективности принимаемых оператором, осуществляющим обработку персональных данных, технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных на всей территории Российской Федерации. В состав комиссий эксперты и экспертные организации будут включаться ПУТЕМ СЛУЧАЙНОЙ ВЫБОРКИ.

Зачем это регулятору - понятно: в связи с недостатком знаний, умений и собственного опыта.  Привлекать знатока-волонтера куда проще и несравнимо дешевле, чем обучать собственных сотрудников, которые, чего доброго, еще и сбегут. Но какой резон работать волонтером, да еще и за бесплатно? Давайте взглянем, собственно, на реестры. Реестр граждан, в частности. Что мы видим? Список имен, фамилий и отчеств: Бурдело И.А., Конкин Н.Е., Шолохов В.А. и др. Аккредитованы они для следующих видов деятельности:
  1. Обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности.
  2. Оценка соответствия применяемых технических средств защиты информации.
  3. Оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных.
  4. Проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.
Лично у меня каждый из пунктов вызывает очень много вопросов. Ну скажите, например, как эксперт в рамках проверки оператора ПДн может провести оценку соответствия технических средств защиты информации, если есть закон "О техническом регулировании", который де-юре предусматривает определенные процедуры оценки соответствия, а де-факто этим всю жизнь занимается ФСТЭК и аккредитованные испытательные лаборатории? Или, например, определить уровень защищенности, если их по закону "О персональных данных" устанавливает правительство РФ? Про "достаточность", "эффективность", "расследования причинно-следственных связей" я вообще молчу. Но не в этом дело. Сравните список фамилий, приведенных в реестре, вот с этим, и найдите десять отличий. Бааааа, да все они - сотрудники одного и того же интегратора! А теперь глянем в реестр организаций. Что мы видим? Этот интегратор там - на первом месте в списке, вместе с остальными четырьмя, думаю, не последними.

Полагаю, теперь всем нам, дорогие читатели, понятно, с какой целью уважаемые эксперты так стремятся безвозмездно помочь Роскомнадзору и поработать на благо государства и субъектов ПДн - для того, чтобы потом, после "волчьего" предписания, сгенерированного при их непосредственном участии, вполне законно поработать на себя и свой собственный карман, "склоняя" оператора к собственным услугам. То, что было сделано у оператора до приезда "эксперта", может не иметь никакого значения - все равно все будет "очень и очень плохо". И "случайной выборки" здесь никакой не будет - не любят в нашем государстве всякие там "случайности".

Выход я вижу только один - становиться аккредитованным экспертом самому и, в случае явно "неадекватной" проверки, "бодаться" с таким же экспертом со стороны Роскомнадзора, ну а в случае разногласий - как всегда, искать правду в суде. Поэтому пойду изучать Правила аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю (утв. постановлением Правительства от 20 августа 2009 г. № 689 и приказом Роскомнадзора от 8 апреля 2011 г. № 239).

пятница, 10 февраля 2012 г.

Профсоюзный контроль


Наверное, ни для кого не секрет, что подавляющее большинство профсоюзных организаций в нашем государстве "карманные", то есть имеют весьма тесные дружеские связи с работодателями членов профсоюза, и потому не выполняют свою главную функцию - отстаивание прав и законных интересов трудящихся. Однако если бы это было не так, то профсоюз смог бы стать весьма влиятельной  организацией, тем более, что все возможности для этого имеются. И вот недавно в одну организацию поступил запрос от профсоюза с требованием ежемесячно предоставлять данные о принятых и уволенных сотрудниках с указанием ФИО, табельных номеров, должностей, должностных окладов и причин увольнения, с формулировкой "в целях осуществления профсоюзного контроля в соответствии с законодательством РФ". Возник вопрос - передавать или нет, и если да, то на каком основании? Попробуем разобраться.

среда, 1 февраля 2012 г.

И снова о деятельности


На днях Алексей Лукацкий опубликовал у себя в блоге радостный пост о том, что якобы грядет либерализация законодательства в области лицензирования деятельности по ТЗКИ и шифрованию. Прочитал я этот законопроект. Внимательно. И расстроился.

Помните пресловутое выражение из письма ФСТЭК в адрес ЦБ РФ: "предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке"? Конечно, как не помнить. Помните, наверное, и полемику о том, что считать деятельностью, и шумиху вокруг отсутствия формулировки "для собственных нужд" в пунктах 4 и 5 ч. 1 ст. 12 99-ФЗ.

К сожалению, все доводы пессимистов пока оправдываются на 100%. Смотрим действующую статью 19.20 Кодекса об административных правонарушениях, сначала - ее название: Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии). Опа! Значит, термины "деятельность" и "прибыль" способны существовать друг без друга, более того, такая постановка вопроса означает, что лицензировать "деятельность" необходимо в случае совершения хозяйствующим субъектом любых действий, подпадающих под соответствующее постановление правительства РФ. Поскольку пункты 4 и 5 ч. 1 ст. 12 99-ФЗ не предусматривают формулировки "за исключением деятельности, осуществляемой для собственных нужд...", осуществление любых действий по ТЗКИ, подпадающих под ПП-504, без лицензии является прямым нарушением ч. 1 ст. 19.20 КОАП.

Смотрим, чем грозит отсутствие лицензии:

влечет предупреждение или наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей или дисквалификацию на срок от одного года до трех лет; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от тридцати тысяч до сорока тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от ста семидесяти тысяч до двухсот пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток

И эта статья после принятия законопроекта никуда не исчезнет, более того, часть 3 ст. 19.20 станет куда суровее, чем сейчас. Так что радость, на мой взгляд, преждевременна, точнее - поводов для нее нет вообще.

вторник, 31 января 2012 г.

Маленький секрет для большой компании


Пока Европа реформирует законодательство о персональных данных, Россия накануне выборов президента пересматривает штрафы за нарушение действующего законодательства и пытается отменить наказание за отсутствие лицензий на ТЗКИ и сертифицированных СЗИ, а Ваш покорный слуга принимает дела и должность на новом месте работы и потому на определенное время отошел от блогосферы, обычные "будни безопасника" идут своим чередом.

понедельник, 16 января 2012 г.

Лиха беда


Постепенно отходя от затяжных новогодних каникул я, как и многие коллеги по цеху, начал осознавать, что в нынешнем году все мы будем жить если не по-новому, то точно по-другому. Причиной этому является прошлогодняя бурная законотворческая деятельность канувшей в лету Государственной Думы 5 созыва. Краткий обзор нововведений, с которыми нам всем и как гражданам, и как специалистам, в той или иной мере еще предстоит разбираться, приведен здесь. И мне уже пришлось столкнуться с одним из таких нововведений.