понедельник, 22 августа 2011 г.

Проект Постановления правительства о лицензировании деятельности по ТЗКИ


Наконец то на сайте ФСТЭК опубликован проект Постановления правительства о лицензировании деятельности по технической защите конфиденциальной информации.

В проекте отражены довольно интересные моменты, к примеру следуя проекту мы видим что не вся деятельность по ТЗКИ попадает под процедуру лицензирования.  

четверг, 28 июля 2011 г.

ФЗ 152 - Приплыли...

Решил немного написать о некоторых нестыковках которые я наблюдаю в новом ФЗ.

Прочтем статью 18:

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.  

К таким мерам могут, в частности, относиться: 

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.";


Далее читаем Статью 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности...

От автора: Далее следует перечисление мер... На лицо явная двойственность закона.  С одной стороны оператор сам определяет список мер, но следуя статье 19 он не может уклониться от исполнения мер указанных в законе. В 19 статье  достаточно подробно прописано все что только можно, чувствуется "жесткая конторская рука".

 2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.


От автора: То есть как раз те мероприяия которые приносят интеграторам наибольшую выгоду с их осуществления, становятся "обязательными по собственному желанию". 

Далее читаем Статью 19 : 

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9.
Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

От автора: Во первых списка "определенных видов деятельности" пока что не существует. А во вторых, согласно тексту законопроекта, предпологается что органы испонительной власти будут контролировать только операторов государственных информационных систем, а контролировать владельцев "не государственных ИСПДн"   ФСБ, ФСТЭК и РКН  смогут лишь в соответствии с отдельным указом правительства.  

Как выразился по этому поводу Александр бондаренко: Если правительство сейчас не напишет в постановлении, что ФСТЭК и ФСБ могут контролировать всех (что конечно будет очень смешно), то тогда получится замечательная ситуация: ответственности никакой, контроля со стороны ФСТЭК и ФСБ нет... красота... зачем соблюдать закон ?

К тому же: До недавнего времени штрафы, выписываемые РКН были не больше 10 тыс. рублей. ни у кого еще не отобрали лицензию, не приостановили деятельность. ответственность за утечку не предусмотрена и это доказали текущие инциденты с Мегафон и интернет-сайтами. максимум субъекты коллективно в суд обратятся за возмещением ущерба. Все знают какие суммы у нас суды за моральный ущерб считают ? смешные... Сколько стоит выполнить требования закона ? Сотни тысяч - миллионы рублей !!!

От автора: Что мы имеем в итоге? Не доведенный до совершенства а наоборот ужесточенный закон для "одних", неадекватные требования которого "могут не выполняться другими", только по тому что штрафы за неисполнение в сотни раз меньше чем траты на "защиту".  

P.S: Все просто господа и дамы : Приплыли...  

среда, 27 июля 2011 г.

Новый вариант ФЗ 152 подписан президентом


Ну чтож дамы и господа. Новый вариант ФЗ 152 "О персональных данных" был подписан Президентом.  Радоваться или плакать увидим "по применению". 

Копипаст: Из документа по ссылке.

РОССИЙСКАЯ ФЕДЕРАЦИЯ


ФЕДЕРАЛЬНЫЙ ЗАКОН


О внесении изменений в статьи 19 и 25
Федерального закона "О персональных данных"

Принят Государственной Думой 16 декабря 2009 года
Одобрен Советом Федерации 25 декабря 2009 года

Статья 1

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения:

1) в части 1 статьи 19 слова ", в том числе использовать шифровальные (криптографические) средства," исключить;
2) часть 3 статьи 25 изложить в следующей редакции: "3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.".

Статья 2

Настоящий Федеральный закон вступает в силу со дня его официального опубликования.


Президент Российской Федерации Д.Медведев

Москва, Кремль
27 декабря 2009 года
N 363-ФЗ


Опубликование закона: в Российской газете 29.12.2009 и в Собрании законодательства РФ.

К слову добавлю - мы живем в изменчивом мире. Вокруг нас меняется все - только люди остаются...

вторник, 26 июля 2011 г.

Персональные данные и облачные тенологии


Нашел интересную статью в которой провайдер облачного сервиса открыто рассказывает, что в случае необходимости осуществит передачу данных спецслужбам США без ведома субъекта. 

Причина - некий документ названный Patriot Act. Кто владеет английским языком легко переведут статью, она на английском. Во спасение утопающих есть интернет переводчики.

Одна из самых громких "утечек" персональных данных


Ну чтож сограждане, коллеги, операторы, субъекты... Мы плавно приближаемся к пониманию того, что устаревшие требования "не есть при выше всего".  Банальный тому пример случая произошедшего в Питербурге   с известной стаховой компанией.



ФЗ 152 - Как выполнить требования закона

Данная статья в основном касается государственных учреждений образования, но будет полезна всем операторам. 

                                                          Материал pcweek.ru/

Вырезка из статьи :  Рособразование справедливо предлагает следующие способы понижения классов ИСПДн:

обезличивание персональных данных;
полное исключение из ИСПДн сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;


сегментирование ИСПДн и классификацию сегментов как самостоятельных систем более низкого класса (такое часто возможно, но для этого потребуются сертифицированные, а лучше распределенные межсетевые экраны);


полное отключение от сетей связи общего пользования и сети Интернет (если не всей сети учреждения, то хотя бы того выделенного сегмента, где обрабатываются персональные данные);
обеспечение обмена между ИСПДн с помощью сменных носителей (использовать так называемый “флоппинет”);


создание автономных ИСПДн на выделенных автоматизированных рабочих местах, куда полностью переносится обработка этой категории сведений из локальной сети.

Акцент делается на обезличивании как наиболее эффективном и дешевом способе снижения класса системы. Обрабатывающая обезличенные данные ИСПДн относится к классу К4 и не требует принятия дорогостоящих мер по обеспечению конфиденциальности сведений. С этой целью агентство рекомендовало присвоить каждому субъекту внутренний идентификационный номер (условный код) на весь период обучения или работы и использовать его в информационных системах вместо ФИО.

Когда с условиями функционирования ИСПДн наступит полная ясность, можно смело переходить к актуализации угроз по отношению к персональным данным и окончательной, документируемой актом классификации ИСПДн.

Результатом выполнения работ на втором этапе должны стать:

реализованные меры по понижению классов ИСПДн и снижению требований к обеспечению их безопасности (с акцентом на обезличивание данных и реализацию организационных мер);
актуализированные модели угроз для ИСПДн различных классов (на основе максимальной типизации документов и требований);
акты классификации всех ИСПДн образовательного учреждения.

Второй этап представляется самым важным и определяющим как содержание последующих работ, так и ту цену, которую за них придется заплатить. От того, к какому классу принадлежит ИСПДн и каковы актуальные угрозы для нее, напрямую зависит стоимость реализации методов и средств защиты.

                                                          Материал pcweek.ru/

четверг, 21 июля 2011 г.

Указ президента "О совершенствовании мер по обеспечению информационной безопасности"


Подписан указ президента "О совершенствовании мер по обеспечению информационной безопасности".

Как и ожидалось - СЗИ должны пройти оценку соответствия и естественно под этим "понимается" сертификация.




Закон о защите детей от вредной информации


Президент России Дмитрий Медведев подписал федеральный закон, направленный на защиту ребенка от распространения печатной, аудио- и видеопродукции, способной причинить вред его здоровью и развитию, сообщила в четверг пресс-служба Кремля.

Для защиты детей от вредной информации предполагается установить нормативы распространения печатной, аудио- и видеопродукции, не рекомендуемой детям до 18 лет, а также требования к классификации информационной продукции, ее экспертизе, государственному надзору и контролю за соблюдением законодательства.

Так, законопроект запрещает использовать в школах и других образовательных учреждениях учебники и пособия, содержащие вредную информацию. Поправки в закон "О рекламе" запрещают размещение рекламы в учебниках, пособиях и другой литературе, предназначенной для обучения детей по основным образовательным программам начального и общего образования, а также в школьных дневниках и тетрадях.

Также не разрешена реклама с запрещенной для детей информацией в детских учебных заведениях, медицинских, санаторно-курортных и физкультурно-спортивных организациях, организациях культуры, отдыха и оздоровления детей или на расстоянии менее 100 метров от границ их территорий.

Закон возлагает на юридических и физических лиц обязанность обеспечивать информационную безопасность несовершеннолетних. За нарушение законодательства в этой сфере предусматривается административная ответственность: для граждан - штраф от 2 тысяч до 3 тысяч рублей, для должностных лиц - от 5 тысяч до 10 тысяч рублей, для предпринимателей предусмотрена штраф от 5 тысяч до 10 тысяч рублей и административное приостановление деятельности на срок до 90 суток, для юридических лиц - штраф от 20 тысяч до 50 тысяч рублей и приостановление деятельности, как для предпринимателей.

За размещение в интернете информации для детей, причиняющей вред их здоровью и развитию, будут введены штрафы в размере 1 тысячи - 3 тысяч рублей для граждан, 2 тысяч - 3 тысяч рублей для должностных лиц, от 20 тысяч до 30 тысяч рублей для юридических лиц.

За изготовление или распространение продукции СМИ с информацией, причиняющей вред детям, граждане будут наказываться штрафом в размере от 2 тысяч до 3 тысяч рублей, должностные лица - от 5 тысяч до 20 тысяч рублей, юридические лица - от 20 тысяч до 200 тысяч рублей.

Положения федерального закона устанавливают порядок прекращения распространения продукции СМИ, осуществляемого с нарушением законодательно установленных требований. Согласно федеральному закону каждый выпуск периодического печатного издания, каждая копия аудио-, видео- или кинохроникальной программы должны содержать знак информационной продукции, а при демонстрации кинохроникальных программ и при каждом выходе в эфир радиопрограмм, телепрограмм они должны сопровождаться сообщением об ограничении их распространения.

Федеральный закон направлен на защиту детей от разрушительного, травмирующего их психику информационного воздействия, переизбытка жестокости и насилия в общедоступных источниках массовой информации, от информации, способной развить в ребенке порочные наклонности, сформировать у ребенка искаженную картину мира и неправильные жизненные установки.

Изменения вносятся в законы "О средствах массовой информации", "Об основных гарантиях прав ребенка в Российской Федерации", "О рекламе", "Об информации, информационных технологиях и о защите информации" и Кодекс Российской Федерации об административных правонарушениях.

Из материала 

От автора: Только будет ли он исполняться, и как контролировать? По моему, штрафы маловаты. 

 

вторник, 19 июля 2011 г.

Рынок видео - тенденции VSaaS 2011


Направление VSaaS, или видео как сервис, пока слабо распространено и вызывает массу вопросов в профессиональное среде. И тем не менее подает большие надежды

Специалисты портала IPVideoMarket оценили объем рынка VSaaS:
 
50–100 млн долларов – совокупный объем продаж услуг хостингового видео (VSaaS) в 2010 г.
75 000–125 000 долларов – объем продаж видеокамер для услуг VSaaS, совершенных в 2010 г.
200 000–300 000 долларов – общий объем сегмента видеокамер для VSaaS на конец 2010 г.



Сегодня на рынке работает около 30 поставщиков услуг VSaaS, которые предлагают заказчикам собственные решения. Кроме того, существует множество компаний-посредников.

Стоимость услуг VSaaS находится в диапазоне от 0 до 20 долларов в месяц за канал. Увеличение стоимости в основном связано с использованием услуги хостингового хранения видео. Бесплатные услуги не предполагают хранения архива вообще либо подразумевают хранение на объекте заказчика. Специалисты IPVideo-Market представляют обзор цен различных поставщиков VSaaS (в материале приводятся средние цены на услуги VSaaS для конечного заказчика, оборудование оплачивается отдельно).

Стоимость услуг VSaaS существенно различается в зависимости от поставщика: в среднем от 5 до 40 долл./мес. за канал. Такой диапазон обусловлен разницей в разрешении видео (CIF или 4CIF), типе видеозаписи (постоянная или по детектору движения) и сроком хранения архива (3 дня, 7 дней, 1 месяц и пр.).

Большинство камер, использующихся для предоставления услуг VSaaS, являются довольно простыми моделями, имеют разрешение SD и стоят в пределах 75–150 долларов.
Кому выгодны сервисы VSaaS

Можно выделить три сектора потребления услуг VSaaS:


Частный сектор – 1–2 камеры. Интересная возможность, особенно в бюджетном ценовом сегменте для доступа к видео с помощью ПК или мобильного телефона. Можно избежать ежемесячной абонентской платы, воспользовавшись сервисами iCam для iPhone или Lorex для обычного ПК.


Малый и средний бизнес – несколько камер. Сервис хостинга видео может быть неоправданно дорогостоящим для инсталляций на 8–16 камер. Однако сервис удаленного управления видео может представлять собой полезную функцию.


Предприятия с территориально распределенными объектами – несколько камер на каждом. Нельзя сказать, что услуги VSaaS отвечают задачам крупных предприятий; могут использоваться только в ограниченных случаях.
Каково будущее VSaaS?

С учетом экономичности пакетов VSaaS начального уровня и ростом числа поставщиков услуг данные сервисы будут развиваться в нескольких плоскостях. Ожидается, что ежегодный темп роста мирового рынка VSaaS будет составлять 30–50% в течение ближайших 5 лет.

Большое значение имеет ключевое преимущество, которое получают пользователи услуг VSaaS, – удобный удаленный доступ к видео, что является весьма востребованной функцией со стороны заказчиков. Таким образом, спрос на удаленный видеомониторинг в формате Plug-n-Play будет расти среди заказчиков в традиционных сегментах потребления оборудования видеонаблюдения.

Для рынка VSaaS существуют два важнейших стратегических вопроса:
 
Смогут ли услуги VSaaS полноценно проникнуть в сегмент проектов на 8–16 камер?


Сможет ли абонентская плата за сервис VSaaS заменить покупку DVR/ПК/VMS?

По мнению экспертов IPVideoMarket, в ближайшие 3–5 лет сервисы VSaaS будут продолжать оставаться нишевым предложением на 1–3 камеры в силу технологических и ценовых барьеров. Тем не менее поставщики систем и услуг видеонаблюдения могут предлагать VSaaS своим существующим клиентам в качестве дополнительной полезной опции.


СКУД - Читаем, учимся, проектируем


На этот раз читателя ждёт солидный труд отечественного эксперта Владимира Рыкунова "Охранные системы и технические средства физической защиты объектов". Генеральный партнёр этого издания -- российская компания ISS, партнёры -- корпорация "Пентакон", журнал "Технологии защиты" и Ассоциация индустрии безопасности.

На момент написания книги её автор возглавлял закрытый учебный центр Министерства обороны РФ. Владимир Рыкунов сумел использовать своё уникальное положение, получив доступ к огромному количеству общедоступных и ведомственных источников, в том числе иностранных. А на базе переработанной информации он предпринял удачную попытку привести в систему разрозненные, с трудом поддававшиеся определению понятия. Получившаяся в результате книга может претендовать на статус полноценного учебника по целому ряду отраслевых специальностей. Как минимум, это первая в истории отрасли книга, в которой всё названо правильными именами и разложено по правильным полочкам.

Энциклопедия рассчитана на студентов, работников смежных областей, осваивающих специфику охранной отрасли, специалистов компаний-инсталляторов, а также на пользователей охранных систем -- прежде всего на руководителей и сотрудников служб охраны. Сдать экзамен по такой книге было бы очень непросто. Поэтому, вместо того, чтобы "сдать и забыть", лучше иметь этот нехудой томик под рукой.

От автора: Рынок СКУД развивается, каждый месяц появляется что то новое, и все чаще специалистам требуется актуальный информационный материал. Я рад что отечественные эксперты, в свою очередь, начали подкреплять рынок достойными пособиями. 

ФЗ №152 - Письмо президенту от АРБ

"Шлет с письмом она гонца,
Чтоб обрадовать отца.
А ткачиха с поварихой,
С сватьей бабой Бабарихой,
Извести ее хотят,
Перенять гонца велят;
Сами шлют гонца другого"

                                          
От автора: Нашел в сети письмо Президенту России от  Ассоциации российских банков, в котором говорится, о подмене проекта ФЗ № 152 на последнем этапе его прохождения в госдуме. К письму прилагаются два текста статьи 19: первый - согласованный с участниками рынка, и второй - фактически принятый Думой. 


Копипаст:  Особую озабоченность вызывали подзаконные нормативные акты и методические документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, разработанные во исполнение Постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Помимо юридической неурегулированности статуса принятых документов имелись также определенные вопросы к техническим требованиям, изложенным в этих документах. По мнению ряда специалистов в области информационной безопасности, представленная в документах методология защиты информационных систем персональных данных являлась организационно сложной и финансово обременительной для большинства операторов персональных данных и создавала серьезные затруднения в процессе реализации норм Закона № 152-ФЗ. В этой связи возникали сомнения в том, что основная масса организаций сможет привести свои системы персональных данных в соответствие с требованиями упомянутых документов.

В результате, по поручению Председателя Правительства Российской Федерации Путина В.В., закрепленному Протоколом совещания от 13 ноября 2009 года № ДП-П39-1пр, был разработан и внесен в ГД ФС РФ проект федерального закона № 282499-5 «О внесении изменений в Федеральный закон «О персональных данных» (далее – Законопроект). Положения Законопроекта в значительной части основывались на Рекомендациях Парламентских слушаний на тему: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных», состоявшихся в ГД ФС РФ 20 октября 2009 года.

Однако на последнем этапе обсуждения Законопроекта в ГД ФС РФ Комитетом ГД ФС РФ по конституционному законодательству и государственному строительству была рекомендована к принятию принципиально иная редакция статьи 19 Закона № 152-ФЗ, которая предусматривает сохранение ныне действующей, крайне жесткой, неэффективной и чрезвычайно затратной для всех операторов персональных данных модели регулирования мер по обеспечению безопасности персональных данных при их обработке (см. приложение 2).

От автора: Как сказал Михаил Емельянников, мир действительно изменился. Кто то может смеяться, кто то не обращать на это внимания, но нам с вами жить в этом мире. 

                                            

понедельник, 18 июля 2011 г.

Копипаст - Болезнь политики защиты



 От автора: Прошу прощения у читателей за очередной копипаст, но к привлекшему меня материалу просто нечего добавить. Даже не стану лишний раз комментировать. Там и так все понятно написано.

Копипаст: Безусловно, прежде, чем эксплуатировать средство защиты (любое, а не только информации), необходимо провести испытания и убедиться в том, что оно способно выполнять свои функции. Но тот, кто такие испытания проводит, обязательно должен отвечать за результат, равно как и тот, кто устанавливает требования безопасности и проводит регулярные проверки их соблюдения. И если таким органом является государство, то именно оно должно отвечать перед теми, в чьих интересах эти требования и средства разрабатываются. Пока же, увы, этого не происходит: сертификат, выдаваемый государством, в большинстве случаев годится лишь для расклеивания в туалетной комнате, а обязательные требования - для обогащения их проверяющих. Есть ли выход? Конечно, есть. Прежде всего полноценный общественный контроль за проверяющими и создание систем оценки соответствия, альтернативных обязательной сертификации. Что мешает? Ответ прост: все та же раковая опухоль.

ПДН и МТС - Они и вас посчитали


Цель оработки - уловка проста, но практична. В конце концов МТС - оператор сотовой связи, надо же как то набивать коммерческий актив, развивать предприятие и.т.д. Подробнее по ссылке.

пятница, 15 июля 2011 г.

Пришел ответ правительства на открытое письмо. Как я и предпологал письмо  пошло искать ответа в министерствах.

четверг, 14 июля 2011 г.

Принят проект внесения изменений в закон "О персональных данных"

Вчера, на заседении Совета Федерации было рассмотрено 58 законопроектов. Смотря трансляцию в прямом эфире я поражался скорости принятия решений. В среднем по 3-4 минуты на представление проекта, и минута на голосование. Отныне я не буду задавать себе вопрос, почему в законадательстве нашей страны столько пробелов.

  Законопроект о внесении изменений в ФЗ "О персональных данных" -  был принят, только дискуссия, касательно ФЗ 152 шла дольше, чем обсуждение иных законопроектов. 

Свое мнение по этому поводу выразил Алексей Волков в статьях своего блога: Последний шанс  и Следующий шаг

В принципе, я соглашусь с Алексеем Лукацким, справку для представления закона, г-ну Александрову А.И готовили наши регуляторы, и скорее всего все вместе. 


Назвать целью закона "защиту персональных данных и обеспечение информационной безопасности персональных данных" могли только регуляторы. Выступающий постоянно говорил об информационной безопасности персональных данных и человека, но не о правах субъекта ПДн. По его словам закон соответствует Конвенции, Конституции и на него получены все положительные отзывы, включая Правительство России. И почти ни слова о 19-й статье. На заседании СФ присутствовали представители Минкомсвязи (Маслов) и ФСБ (Горбунов), которые "ЗА" этот законопроект (а Щеголев говорил, что Минкомсвязь против).

 Сенатор Смирнов от Мордовии задал пару скользских вопросов по поводу "локальных нормативных актов", упомянутых в ФЗ, а также по поводу того, что законопроект не работающий. Сенатор Нарусова задала вопрос о финансировании и сказала, что не разделяет оптимизм выступающего. Сослалась на СМИ, которые активно эту тему осещали в последнее время. Выступающий понес бред о уже существующем финансировании в министерствах и ведомствах и о том, что будут новые нормативные акты, расширяющие возможности финансирования (Починок заявил позже, что только бюджет это может сделать, а не нормативный акт ведомства). Сенатор Жамбалнимбуев от комитета по бюджету тоже задал вопрос по финансированию. Я вопроса не понял ;-( Починок заявил, что законопроект важный, но нужно нормальное финансовое обоснование, которого нет. Починок заявил, что нужно было предусмотреть деньги на реализацию, которых нет. Он потребовал предоставить локальные нормативные акты ФСБ и других регуляторов, из которых будут вытекать затраты на реализацию законопроекта, приобретение сертифицированных решений и т.д. А в конце выступления Починка итог  - "Закон принять!".

От автора:  Задаюсь вопросом: а нормально ли за 5 минут  принимать не рабочие законопроекты? Практически единогласно был принят даже законопроект о передаче в коммерцию функций контроля и надзора в сфере водного трансорта.


Против законопроекта изменений ФЗ 152 в последнее время выступали достаточно много представителей организаций операторов, СМИ, независимых экспертов, а так же специалистов организаций, предоставляющих услуги в сфере защиты информации. Однако это не помешало сенаторам заявить что "население поддержало законопроект", а так же по речам некоторых сенаторов было понятно, кто готовил им "шпаргалки" и "речь". 

Открытое письмо наделало много шума вокруг зконопроекта, но видимо президент его не получил. Его зачем то направили на рассмотрение в Минкомсязь, в министерство, в компетенции которого не входит рассмотрение подобных вопросов. В общем "пустили бумажку по кругу". Наши бюрократы это хорошо умеют. 

Итог: Закон принят,  представителям СФ было наплевать на все разумные доводы, все "хорошо поработали".  Увидим чем дальше дело станет... 

Интересная шутка Алекся Лукацкого : "Что же на самом деле произошло?"



понедельник, 11 июля 2011 г.

Открытое письмо президенту - Резонанс

Очень сильный общественный резонанс вызвало "Открытое письмо президенту". 

Как обычно бывает, в сети появились несогласные и критики письма.

Однако, в сети можно встретить и более конструктивную позицию.

Политический резонанс вокруг ФЗ № 152 в сердце государственной думы так же не остался незамечен. Радует что депутаты понимают суть ситуации, и готовы отстоять свою точку зрения. 
  
13 июля 2011 года Совет Федерации рассмотрит очередную редакцию ФЗ № 152. Будем надеяться, что выступление г-на Пономарева произведет достойное впечатление на заседателей СФ, а так же заставит задуматься "троллей" и тех, кто желает срубить на "сверх требованиях" кусочек пожирнее. 

четверг, 7 июля 2011 г.

Открытое письмо президенту


                           Открытое письмо президенту РФ 

Уважаемый Дмитрий Анатольевич!

Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru , а именно:

5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.
Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.
Срок – 1 августа 2011 г.

Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.

Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.

Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.

Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года (http://www.aksakov.ru/media/File/filelist/st08.doc), на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.

Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.

Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.

Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.

Письмо подписали:

Бондаренко Александр
Волков Алексей
Лукацкий Алексей
Токаренко Александр
Царев Евгений
Магонов Павел
Письмо направлено через http://letters.kremlin.ru/

Публикации в СМИ: CNews, "Директор по безопасности", "Habrahabr.RU", "Банковское Обозрение", "IKSMedia.RU", "Деловая газета МАРКЕР", ITSec, Anti-Malware.RU

                                      Материал размещен по ссылке                            

Коллеги!

Чтобы повысить эффективность данного письма, очень желательно направить его лично от своего имени в адрес Президента через сайт kremlin.ru. Там необходимо ввести свои фамилию, имя и адрес электронной почты, и приложить файл с обращением в формате RTF - забирайте, замените "подписантов" на свое имя и отправляйте! Чем больше запросов будет в адрес Президента, тем больше шансов, что на письмо обратят внимание.

Хорошо бы и сообщить о присоединении к данной инициативе на одном из сайтов инициаторов письма.

                                        Материал размещен по ссылке                          

 Письмо размещено на ресурсах :





























































среда, 6 июля 2011 г.

Гос дума - Принятие закона "О персональных данных" в третьем чтении

На вечернем пленарном заседании Государственной думы РФ  в ходе «часа голосования» был принят законопроект : - "О внесении изменений в Федеральный закон "О персональных данных"   (в части уточнения условий и правил обработки персональных данных).


Источники: сайт госдумы,  информационная страница.

понедельник, 4 июля 2011 г.

Персональные данные - благими намерениями проложена дорога в ад...

К 1-му июля в политической среде фигурировало множество положительных идей, отнасительно ФЗ 152. 

Однако, как видно на данный момент, все достойные идеи с треском провлились.

На благоразумие депутатов в третьем чтении я уже не надеюсь, ибо принятие законопроекта во втором чтении заняло 3-4 минуты.  

Новая версия закона, на которую операторы возлагали большие надежды, получилась хуже предыдущей.  

Во первых из проекта убрали все упоминания про отраслевые стандарты, во вторых, в проекте встречаются противоречия, которые еще больше мешают правильному толкованию закона... 

ФСБ и ФСТЭК контролируют исключительно государственные и муниципальные организации, а остальные - только по распоряжению правительства.  

Уведомление в Роскомнадзор необходимо подать до 1 января 2013 года.

По моему - откровенный бардак. 

 Так же, тему законопроекта прокомментировали мои коллеги: Александр Бондаренко,  Евгений Царев,  Алексей Волков, Алексей Лукацкий.  

понедельник, 6 июня 2011 г.

Перечень поручений президента - И ФЗ 152 он тож коснулся...

Сегодня утром на сайте Президента России нашел статью о перечне поручений президента, по итогам встречи с представителями интернет сообщества.

Более всего заинтересовал пункт : 5.

Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.

Мой коллега, Евгений Царев, в своем блоге так же раскрывает эту тему, после переписки с Аркадием Дворковичем (помощником президента РФ) в твиттере.


четверг, 26 мая 2011 г.

Системы безопасности - Камеры в датчиках движения ОПС

Еще в 2010 году был поднят вопрос о легитимности маскировки камер видеонаблюдения в охранных датчиках движения. Но к сожалению, данная тема всего лишь раз блестнув в сми, была отставлена интеллектульной общественностью в угол. 
Сегодня мне попался на глаза интересный материал, который рекомендую читать как специалистам по ИБ и ОПС, так и мирным гражданам.

вторник, 24 мая 2011 г.

GO - Программисту - Си сегодняшнего дня


Недавно появился очередной язык программирования, создатели которого решили превзойти известный до коле - Си. Посмотрим что получилось... 

Качества языка: 

1) Гарантия высокой скорости компиляции и производительности приложений.
2) Простота разработки и поддержки приложений, свойственная высокоуровневым скриптовым языкам.
3) Встроенные средства параллельного программирования, позволяющие задействовать все имеющиеся ядра современных процессоров.

Комментарий из статьи :

Создатели Go позиционируют свое детище как системный язык, сочетающий в себе эффективность и скорость исполнения кода, написанного на Си, с простотой разработки на более высокоуровневых скриптовых языках, да еще и со встроенными средствами параллельного программирования. При этом внешне Go напоминает какую-то странную солянку из синтаксисов языков Си, Pascal и ADA, что вкупе с приведенным описанием создает довольно сильное ощущение подвоха, почти такое же, какое возникает, когда слышишь о новой мега-разработке пятигорских студентов. Однако оно быстро убывает, когда ты начинаешь изучать язык, и совсем улетучивается, когда узнаешь о том, почему Go стал именно таким, какой он есть. 

 

четверг, 12 мая 2011 г.

Антитерроризм - А дадим ка лицензию на антитеррор...



Каждое физическое и каждое юридическое лицо, в собственности которых имеются "здания, строения, сооружения или иные объекты", обязаны сами обеспечивать их "антитеррористическую защищенность". Соответствующие требования установит правительство. Такой законопроект, внесенный группой депутатов-единороссов во главе с председателем думского комитета по безопасности Владимиром Васильевым, вчера одобрила в первом чтении Госдума.
  
Этим законопроектом "государство расписывается в своей неспособности локализовать источники террористической угрозы",— заявил другой справоросс, зампред комитета по безопасности Геннадий Гудков.

Впрочем, выступления справороссов не повлияли на мнение думского большинства, которое одобрило законопроект в первом чтении. Не повлияло на решение депутатов и отрицательное заключение думского комитета по транспорту, назвавшего "нелогичной и дискриминационной" норму, по которой собственники сооружений, включая объекты транспортной инфраструктуры, должны будут обеспечивать антитеррористические меры "за счет собственных средств". Ведь в соответствии с ч. 1 ст. 114 Конституции, как напоминает думский комитет, "меры по обеспечению государственной безопасности, охраны общественного порядка и борьбы с преступностью обязано осуществлять правительство".

Мое мнение:

Когда мне было 12 лет, я читал фантастический роман, названия которого к сожалению не помню. Сюжет романа заключался в том, что террористы захватывают космический лайнер с заложниками и владелец лайнера освобождает людей.  Из всего сюжета вспоминается картина : Вооруженный до зубов главный герой, стоит на платформе лифта, медленно поднимающейся на лайнер. Внизу собрались толпы людей в военной форме и выкрикивая : "Мы оказываем услуги по противодействию тероризму, самые низкие цены", "А у нашего управления Лицензия на отлов преступников", "У нас скидки на освобождение заложников, только сегодня!", машут бумажками.
Фантастика фантастикой, но заставляет задуматься. 

четверг, 5 мая 2011 г.

Встреча с президентом - Вопросы о ПДн, DDOS атаках, ФСБ и всего по маленьку.

29 апреля в сети появился материал, который очень сильно меня заинтересовал и удивил. Огромное спасибо автору. Точнее удивили ответы президента. Читаем далее...

Более трех часов заняла встреча президента России с представителями интернет-сообщества.  

Встреча в формате дискуссии проходила в здании Российской государственной молодежной библиотеки — современного мультимедийного центра на Преображенской площади на востоке Москвы.

Заместитель генерального директора ДСТ-Mail.Ru Михаил Якушев поднял тему новой редакции закона о персональных данных, срок вступления в силу которого перенесен до 1 июля. «Поскольку писали люди защищающие, единственное, что сейчас можно предложить всем операторам персональных данных, ― это хранить информацию совершенно секретно: чистая комната, лицензия ФАПСИ, ФСБ...»


«ФАПСИ уже нет, а ФСБ, к сожалению, осталась», отреагировал президент.

Якушев пожаловался, что поправки к соглашению о защите персональных данных, принятые Россией, так и не дошли до Страсбурга. Ратификационный закон принят Думой и подписан президентом, но обмен ратификационными грамотами так и не состоялся, потому что законопроект о приведении в соответствие с ними других российских законов все еще лежит в Думе. Поправки разрабатывались Минсвязи и вносились депутатами Государственной думы, разъяснил Щеголев. «Надо было через меня вносить, приняли бы быстрее», ― посоветовал президент.

Медведев вспомнил начало своей работы в администрации президента, когда он не мог попасть в интернет: в кабинете выйти в сеть было нельзя, в других помещениях тоже, и только с одного компьютера, в специальной комнате, можно было выйти в интернет. «К сожалению, все это во многом остается, все эти комнаты», ― посетовал он.

Главный редактор «Газеты.Ru»
, Михаил Котов, поднял тему ответственности СМИ за цитаты, взятые из открытых источников. «Мы, со своей стороны, подходим ответственно и не допускаем цитаты, которые могут нарушить законодательство, ― рассказал он. ― Но если вдруг в ЖЖ появляется комментарий, скажем, Олега Кашина и мы как СМИ цитируем его, то в результате мы выступаем соответчиком по иску, поданному против Кашина». «Вопрос в том, чтобы не «попадать» по закону, ― подхватил тему Кудрявцев. ― Нас засудили за высказывание чеченских правозащитников, Мишу засудили за высказывание Кашина по Якеменко».  
Президент в ответ посоветовал им обратиться к последним постановлениям Верховного суда на эту тему.

«Мы выходим на общую проблему, насколько совместимо общее законодательство для интернет-СМИ, ― сформулировал президент. ― Я не к тому, чтобы немедленно заменить законодательство о СМИ, это одна из наших священных коров».


Якушев в ответ на рекомендацию изучить постановления пленума ответил, что «судебная практика разнообразна». «Вы, наверное, не знаете, как долго это постановление пленума (принятое в июне 2010 года. – «Газета.Ru») согласовывалось, и вовсе не на уровне Верховного суда, а на уровне других ведомств», ― отметил Якушев. Президент поинтересовался, каких именно. Якушев назвал Минкультуры и Минсвязи. «Я думал, вы другое скажете, я аж выдохнул — министерство культуры», ― засмеялся Медведев.


Под конец встречи Кудрявцев спросил президента об участившихся DDoS-атаках на соцсети и популярные сайты рунета. «Я ждал этого вопроса, думал, уже не спросите», ― отреагировал президент. Котов сообщил, что уже даже известна стоимость атаки ― три тысячи долларов в день.


Атаки – это «безусловно плохо», осудил хакеров президент, это создает нервозную обстановку. В них видят и «происки власти, ФСБ, администрации президента», но, сказал президент, он надеется, что хотя бы собравшиеся здесь понимают, что «это неправильно».

Он спросил у собравшихся, есть ли сейчас какие-то эффективные способы противостоять атакам. Этим должны заниматься силовики, ответили ему, но толку пока мало. Носик пожаловался, что «управление К никого не поймало и не искало» (имея в виду управление К МДВ), а Иванникова добавила, что представители «Живого журнала», подвергшегося нескольким сильным атакам в последние недели, тоже подали заявление с просьбой провести расследование, но не получили ответа.
«А они способны вообще в этом разобраться?»засомневался было президент.
«Я вообще не знаю, чем это управление К занимается. Наверное, важными вещами, рассуждал Медведев. ― Ну давайте передадим это в управление Л ― что изменится?»


«Может быть, у вас просто трудности с коммуникацией, с управлением», ― имея в виду представителей сетевых ресурсов, выручила президента Миронюк. Возглавляемая ею редакция проблем с DDoS-атаками не испытывала, Завершая встречу, Миронюк предложила организовать общую встречу руководства управления К с интернет-деятелями. Управление ответит, почему борьба с хакерами не приносит результатов, это повод для разбирательства, обнадежил собравшихся президент.

Полную статью можно прочесть перейдя по прямой ссылке.


вторник, 3 мая 2011 г.

Vip Net для iPhone и iPad

Недавно производитель средств защиты информации, компания Инфотекс, порадовала очередным нововведением.

ViPNet Client iOS: защищенный на российском алгоритме шифрования удаленный доступ для пользователей iPad и iPhone

Компания ИнфоТеКС, продолжая расширять возможности программного комплекса ViPNet CUSTOM, представляет новый продукт - программное обеспечение ViPNet Client iOS – это приложение, работающее под управлением операционной системы Apple iOS и предназначенное для обеспечения шифрования информации по ГОСТ 28147-89 при удаленном доступе к ресурсам корпоративной сети с устройств iPhone и iPad для любых приложений: интернет-браузер, почтовый клиент, терминальные клиенты и т.п.

Ставшие популярными относительно недавно Apple iPhone и iPad уже широко используются сотрудниками российских компаний и госучреждений для удаленного доступа к ресурсам корпоративных сетей. Однако, ни секрет, что ни сами упомянутые устройства, ни программное обеспечение для них, включая операционную систему Apple iOS, не проходили проверок на наличие недекларированных возможностей и функций обеспечения безопасности информации в системах сертификации ФСБ и ФСТЭК России. Политика компании Apple, направленная на максимальное сокрытие архитектуры и низкоуровневых сервисом операционной системы iOS, также не способствует повышению доверия к данным продуктам. Поэтому обращения к корпоративным базам данных, почтовым серверам, порталам через Интернет или корпоративные WiFi-сети, в которых обрабатывается информация ограниченного доступа (включая и персональные данные), с iPad и iPhone являются небезопасными, а в некоторых случаях нарушают действующие требования ФСБ и ФСТЭК России по защите конфиденциальной информации.


пятница, 22 апреля 2011 г.

Яндекс - Слежка за пользователями



В "Яндекс.Метрике", сервисе для анализа посещаемости сайтов, появился новый инструмент - "Вебвизор", отслеживающий любые действия на сайте пользователей и собирающий детальную статистику об их поведении. С помощью "Вебвизора" владельцы сайтов, в частности, смогут "воспроизводить в формате видео действия посетителя - движения мыши, прокрутку страниц, клики, выделение и копирование текста", - сообщается в пресс-релизе "Яндекса".

Сейчас "Вебвизор" доступен только для рекламодателей "Яндекс.Директа" и "Яндекс.Маркета" с бюджетом не менее шести тысяч рублей, говорится в документе. Инструмент также позволит узнать, какой браузер установлен у каждого пользователя, откуда он пришел и по какому поисковому запросу. Узнать эту информацию может только владелец сайта.

Новый инструмент в "Яндекс.Метрике" для одного сайта в течение суток записывает не более тысячи посещений, однако этой выборки вполне достаточно, чтобы проанализировать поведение посетителей, отмечают в "Яндексе". Сообщается, что "Вебвизор" не увеличит нагрузку на сервер, поскольку все данные записываются в браузерах пользователей уже после загрузки документа.

Технологию "Вебвизор" "Яндекс" купил в конце прошлого года. Она была представлена на дне открытых дверей "Яндекс.Старт" - программы крупнейшего в Рунете поисковика, рассчитанной на поддержку интернет-стартапов.




четверг, 21 апреля 2011 г.

ФСТЭК - Кодекс этики и служебного поведения

Блуждая в просторах интернета я нашел интересный документ ФСТЭК : КОДЕКС этики и служебного поведения государственных гражданских служащих  Федеральной службы по техническому и экспортному контролю.
Этот документ можно найти по ссылке : http://www.fstec.ru/_lenta/_lno.htm

Кратко:

III. Рекомендательные этические правила служебного поведения гражданских служащих

13. В служебном поведении гражданским служащим необходимо исходить из конституционных положений о том, что человек, его права и свободы являются высшей ценностью и каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту чести, достоинства, своего доброго имени.

14. В служебном поведении гражданские служащие воздерживаются от:

а) любого вида высказываний и действий дискриминационного характера по признакам пола, возраста, расы, национальности, языка, гражданства, социального, имущественного или семейного положения, политических или религиозных предпочтений;

б) грубости, проявлений пренебрежительного тона, заносчивости, предвзятых замечаний, предъявления неправомерных, незаслуженных обвинений;

в) угроз, оскорбительных выражений или реплик, действий, препятствующих нормальному общению или провоцирующих противоправное поведение;

г) курения во время служебных совещаний, бесед, иного служебного общения с гражданами и вне отведенных для этого местах.

15. Гражданские служащие призваны способствовать своим служебным поведением установлению в коллективе деловых взаимоотношений и конструктивного сотрудничества друг с другом.

Гражданским служащим рекомендуется быть вежливыми, доброжелательными, корректными, внимательными и проявлять толерантность в общении с гражданами и коллегами.

16. Внешний вид гражданских служащих при исполнении ими должностных обязанностей в зависимости от условий службы и формата служебного мероприятия должен способствовать уважительному отношению граждан к государственным органам и соответствовать общепринятому деловому стилю, который отличают официальность, сдержанность, традиционность, аккуратность.
 
 


среда, 20 апреля 2011 г.

Персональные данные - Документация

Сегодня мне вновь задали вопрос: Какие документы, регламентирующие обработку персональных данных, необходимы на предприятии и каким образом осуществляется непосредственно защита персональных данных. Давайте еще раз разберемся.

В первую очередь необходимо ознакомиться с законодательной базой в сфере защиты персональных данных. Для этого следует прочитать документы:

1) Федеральный закон № 152 "О персональных данных";
2) Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
3) "Положение. о методах и способах защиты информации в информационных системах персональных данных."  утвежденное приказом ФСТЭК России  N 58 от 5.02.2010;
3) Порядок проведения классификации информационных систем персональных данных;
4) "Базовая модель угроз безопасности персональным данным".

Цели обработки...

Для начала необходимо определиться с целью обработки персональных данных - казалось бы все просто, есть сотрудники, есть клиенты, деваться некуда - приходится обрабатывать. 
Однако, если вы владелец малого бизнеса, вам следует знать что существует достаточно организаций, предоставляющих услуги аутсортинга кадровой сферы и делопроизводства а так же бухгалтерии. Обратившись к такой организации,  вы можете "снять с плеч своих" ношу обработки и защиты персональных данных. 
Но что если базы данных достаточно массивны и платить аутсортерам  оказывается дорого? В таком случае прийдется защищать самим, либо обращаться в организацию, являющуюся лицензиатом ФСТЭК и ФСБ.
Второй вариант дорог в исполнении, но  лицензиат несет прямую ответственность за свои действия, и если вдруг случается какая либо неприятность с системой защиты, либо проверяющие органы констатируют недостаточность принятых мер, "по голове" получает тот, кто систему защиты создавал, тоесть лицензиат. В таком случае имеется возможность заставить виновника переконструировать систему защиты, за счет собственных средств лицензиата.
Если же вы решились защищать персональные данные своими силами,  приготовьтесь к длительной и трудоемкой работе. 

Как я говорил выше - Для начала определимся с целью обработки ПДн.  К примеру, обработка ПДн ведется:

1) В целях продвижения товаров и услуг;
2) В статистических и научных целях; 
3) В целях разработки проекта;
4)В целях организации мероприятий.

И так далее...

Во вторых, необходимо выбрать метод обработки. Существует два метода обработки ПДн: 

1) С использованием средств автоматизации;
2) Без использования средств автоматизации; 

Далее переходим к разработке документации. 

Приведу примерный перечень, по тому как "точного, регламентированного" списка необходимых документов, на данный момент не существует:

1. Приказ о порядке обработки, обеспечении безопасности и конфиденциальности персональных данных.
2. Приказ о назначении лиц, ответственных за организацию мер по защите персональных данных.
3. Положение об организации работы с персональными данными в организации (разрабатывается с учетом принципов, изложенных в Федеральном Законе РФ № 152-ФЗ «О персональных данных» (ФЗ 152).
4. План-график мероприятий, направленных на приведение информационных систем персональных данных в соответствие с требованиями законодательства в области защиты персональных данных.
5. Приказ о создании комиссии по классификации информационных систем персональных данных.
6. Акт классификации информационной системы персональных данных
7. Перечень ИСПДН (Сведения об информационных системах персональных данных, установленных в организации).
8. Форма Уведомления об обработке персональных данных (направляется при вводе в эксплуатацию новых ИСПДн, либо при внесении изменений в существующие, в случаях, установленных ФЗ 152).
9. Регламент о порядке действий организации при обращении либо при получении запроса субъекта.
10. Журнал учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
11. Регламент разбирательства инцидентов информационной безопасности в организации.
12. Положение о службе информационной безопасности организации.
13. Должностная инструкция администратора информационной безопасности (руководителя службы ИБ).
14. Регламент присвоения прав доступа к автоматизированной информационной системе.
15. Матрица доступа пользователей к защищаемым информационным ресурсам информационной системы персональных данных.
16. Заявка на предоставление пользователю прав доступа к ресурсу ИСПДн.
17. Приказ об утверждении мест хранения материальных носителей персональных данных.
18. Журнал учета материальных носителей персональных данных.
19. Положение о порядке уничтожения персональных данных, обрабатываемых в организации.
20. Акт уничтожения персональных данных субъекта(ов) персональных данных.
21. Журнал учета машинных носителей информации.
22. Положение об обеспечении пропускного режима и охране о здания.
23. Положение об архиве организации.
24. Типовой раздел по конфиденциальности ПДн в гражданско-правовом договоре.
25. Типовой раздел по конфиденциальности ПДн в трудовом договоре.
26. Форма согласия субъекта ПДн на обработку его ПДн.
27. Форма согласия субъекта ПДн при передаче его ПДн.
28. Форма согласия субъекта ПДн на включение его ПДн.
29. Форма уведомления субъекта ПДн о запросе его ПДн.
30. Форма уведомления субъекта ПДн об уничтожении его ПДн.
31. Форма уведомления субъекта ПДн о получении его ПДн.
32. Дополнения в должностные инструкции работников, имеющих отношение к обработке ПДн.

Документы на стадии внедрения СЗПДн


1. Инструкция по организации антивирусной защиты.
2. Инструкция по организации парольной защиты.
3. Технический паспорт на каждую ИСПДн. Включает в себя перечень основных и вспомогательных технических средств (ОТСС, ВТСС), структуру, топологию и размещение ОТСС, схему электропитания и заземления, перечень СЗИ, перечень программных средств, сведения об аттестации, результаты периодического контроля.
4. Частная модель угроз на каждую ИСПДн.
5. Сертификаты на используемые технические и программные средства защиты.
6. Техническое задание на внедрение СЗ ИСПДн.
7. Акт приемки-сдачи системы защиты (СЗ) ИСПДн. Подписывается лицензиатом ФСТЭК (организацией, осуществлявшей работы по внедрению СЗ ИСПДн) и оператором.
8. Заключение о готовности СЗИ к эксплуатации, акт ввода в эксплуатацию СЗ ИСПДн.
9. Документ, подтверждающий проведение в установленном порядке процедуры оценки соответствия средств защиты ИСПДн (аттестация, декларирование, сертификация).
10. Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.
11. Журнал учета носителей информации. Типовая форма.

Что касается классификации  распределенных ИСПДн имеющих соединение с сетями международного информационного обмена (Интернет), то я вижу несколько,  вариантов "избежания проблем" связанных с определением класса системы. Рассмотрим два, часто встречющихся варианта ИСПДн.

Первый: Информация, обрабатываемая в ИСПДн разной категории, и сервера баз данных находятся в разных, территориально удаленных друг от друга офисах предприятия.

В этом случае следует разделять ИСПДн по классам информации.
Технически это организуется с помощью установки на выходе в информационную сеть (интернет) межсетевых экранов, для К1 не ниже 3-го класса по РД МЭ и не ниже 4-го класса по контролю отсутствия НДВ (недекларируемых возможностей), для К2 и К3 не ниже 4-го класса по РД МЭ и не ниже 4го класса по контролю отсутствия НДВ.

Второй: Информация, обрабатываемая в ИСПДн одного класса, и сервера расположены в одном помещении (корпусе предприятия), внутри контролируемой зоны, либо в одном здании но в разных контролируемых зонах.
.
По моему мнению, подобный вариант не предполагает разделения ИСПДн. В итоге, при обращении к лицензиату для проведения процедуры подтверждения соответствия, а это чаще всего аттестация -  аттестовывать прийдется несколько ИСПДн, что соответственно дороже. Чтобы не тратиться на аттестацию, можно заключить с лицензиатом договор аудита, согласно которому сотрудники организации лицензиата досканально изучат вашу ИСПДн и СЗПДн, а так же лицензиат предоставит заключение о "достаточности/не достаточности" мер защиты ПДн и составит рекомендации по модернизации СЗПДн. 

Ранее я уже писал, что аттестация не является обязательной мерой, достаточно заключения собственной ответственной комиссии по защите персональных данных. Но, в таком случае возникает вопрос - достаточны ли знания и навыки сотрудников вашей организации для создания качественной системы защиты и что скажут  регуляторы, у которых может быть свое собственное мнение в вопросе о соответствии СЗПДн требованиям по безопасности? 

Следующим этапом необходимо определиться, какие технические средства защиты информации необходимо применять. В этом нам поможет Частная  модель угроз безопасности персональным данным в которой должны быть подробно описаны угрозы  и возможные каналы утечки информации, а так же интернет. О разработке модели угроз, мы поговорим подробнее в отдельной статье. 
На сегодняшний день в России существует достаточное количество организаций производителей СЗИ и еще больше поставщиков. Но в процессе организации защиты ПДн желательно использовать только сертифицированные средства защиты информации, особенно если дело касается категории К1. 

Заключительным этапом можно считать установку и настройку СЗИ с последующими испытаниями системы защиты и разработкой заключения (получением аттестата соответствия).
Установить и настроить СЗИ вы можете как собственными силами, так и с помощью организации лицензиата. 
  
На этом этапе мне обычно задают вопрос : А не нужна ли нам лицензия на ТЗКИ, содействие в получении которой  "ненавязчиво предлагают" многие интеграторы (лицензиаты). 

Отвечаю еще раз: Нет, господа операторы, лицензия на ТЗКИ, для защиты собственных ИСПДн предприятия - Не нужна.

Лицензию необходимо получать лишшь в том случае, если вы предоставляете услуги по технической защите информации другим юридическим/физическим лицам, с соответственным получением дохода от деятельности по ТЗКИ.

К тому же, согласно законодательству термин "конфиденциальная информация" к "Персональным данным" не относится.  Защита "конфиденциальной информации" - лицензируемый вид деятельности, а защита "Персональных данных" - обязанность оператора.


Про ПЭМИН - А шапка то не велика?

Часто задают вопрос - "А нужно ли указывать в модели угроз, угрозы, реализуемые по техническим каналам утечки речевой информации:   ПЭМИН и Акустическому" ?

Отвечаю:  Согласно "Базовой модели угроз безопасности персональным данным" разрабтанной ФСТЭК - включать угрозы связанные с ТКУИ ПЭМИН и Акустическим ТКУИ, в частную модель угроз, нужно, но: вероятность возникновения угрозы рассчитывается и оценивается исходя из реальной обстановки, сязанной с угрозой. Эту фразу, касательно именно ТКУИ ПЭМИН, можно понимать следующим образом: "В ИСПДн вашей организации действительно обрабатывается информация, ради получения которой, предполагаемый нарушитель, потратит огромные средства?" Не приводя в пример цифры, упомяну, что оборудование для съема информации по Аккустическому ТКУИ и ТКУИ ПЭМИН может стоить от нескольких десятков тысяч долларов, и обычно используеся развед-службами государств. А специалисты в области промышленной разведки "попросят гонорар" за свои рискованные услуги, скорее всего, не многим меньший стоимости оборудования.  
В связи с этим, включая угрозы связанные с Акустическим ТКУИ и ПЭМИН в модель угроз, обычно они признаются не актуальными.