пятница, 22 апреля 2011 г.

Яндекс - Слежка за пользователями



В "Яндекс.Метрике", сервисе для анализа посещаемости сайтов, появился новый инструмент - "Вебвизор", отслеживающий любые действия на сайте пользователей и собирающий детальную статистику об их поведении. С помощью "Вебвизора" владельцы сайтов, в частности, смогут "воспроизводить в формате видео действия посетителя - движения мыши, прокрутку страниц, клики, выделение и копирование текста", - сообщается в пресс-релизе "Яндекса".

Сейчас "Вебвизор" доступен только для рекламодателей "Яндекс.Директа" и "Яндекс.Маркета" с бюджетом не менее шести тысяч рублей, говорится в документе. Инструмент также позволит узнать, какой браузер установлен у каждого пользователя, откуда он пришел и по какому поисковому запросу. Узнать эту информацию может только владелец сайта.

Новый инструмент в "Яндекс.Метрике" для одного сайта в течение суток записывает не более тысячи посещений, однако этой выборки вполне достаточно, чтобы проанализировать поведение посетителей, отмечают в "Яндексе". Сообщается, что "Вебвизор" не увеличит нагрузку на сервер, поскольку все данные записываются в браузерах пользователей уже после загрузки документа.

Технологию "Вебвизор" "Яндекс" купил в конце прошлого года. Она была представлена на дне открытых дверей "Яндекс.Старт" - программы крупнейшего в Рунете поисковика, рассчитанной на поддержку интернет-стартапов.




четверг, 21 апреля 2011 г.

ФСТЭК - Кодекс этики и служебного поведения

Блуждая в просторах интернета я нашел интересный документ ФСТЭК : КОДЕКС этики и служебного поведения государственных гражданских служащих  Федеральной службы по техническому и экспортному контролю.
Этот документ можно найти по ссылке : http://www.fstec.ru/_lenta/_lno.htm

Кратко:

III. Рекомендательные этические правила служебного поведения гражданских служащих

13. В служебном поведении гражданским служащим необходимо исходить из конституционных положений о том, что человек, его права и свободы являются высшей ценностью и каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту чести, достоинства, своего доброго имени.

14. В служебном поведении гражданские служащие воздерживаются от:

а) любого вида высказываний и действий дискриминационного характера по признакам пола, возраста, расы, национальности, языка, гражданства, социального, имущественного или семейного положения, политических или религиозных предпочтений;

б) грубости, проявлений пренебрежительного тона, заносчивости, предвзятых замечаний, предъявления неправомерных, незаслуженных обвинений;

в) угроз, оскорбительных выражений или реплик, действий, препятствующих нормальному общению или провоцирующих противоправное поведение;

г) курения во время служебных совещаний, бесед, иного служебного общения с гражданами и вне отведенных для этого местах.

15. Гражданские служащие призваны способствовать своим служебным поведением установлению в коллективе деловых взаимоотношений и конструктивного сотрудничества друг с другом.

Гражданским служащим рекомендуется быть вежливыми, доброжелательными, корректными, внимательными и проявлять толерантность в общении с гражданами и коллегами.

16. Внешний вид гражданских служащих при исполнении ими должностных обязанностей в зависимости от условий службы и формата служебного мероприятия должен способствовать уважительному отношению граждан к государственным органам и соответствовать общепринятому деловому стилю, который отличают официальность, сдержанность, традиционность, аккуратность.
 
 


среда, 20 апреля 2011 г.

Персональные данные - Документация

Сегодня мне вновь задали вопрос: Какие документы, регламентирующие обработку персональных данных, необходимы на предприятии и каким образом осуществляется непосредственно защита персональных данных. Давайте еще раз разберемся.

В первую очередь необходимо ознакомиться с законодательной базой в сфере защиты персональных данных. Для этого следует прочитать документы:

1) Федеральный закон № 152 "О персональных данных";
2) Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
3) "Положение. о методах и способах защиты информации в информационных системах персональных данных."  утвежденное приказом ФСТЭК России  N 58 от 5.02.2010;
3) Порядок проведения классификации информационных систем персональных данных;
4) "Базовая модель угроз безопасности персональным данным".

Цели обработки...

Для начала необходимо определиться с целью обработки персональных данных - казалось бы все просто, есть сотрудники, есть клиенты, деваться некуда - приходится обрабатывать. 
Однако, если вы владелец малого бизнеса, вам следует знать что существует достаточно организаций, предоставляющих услуги аутсортинга кадровой сферы и делопроизводства а так же бухгалтерии. Обратившись к такой организации,  вы можете "снять с плеч своих" ношу обработки и защиты персональных данных. 
Но что если базы данных достаточно массивны и платить аутсортерам  оказывается дорого? В таком случае прийдется защищать самим, либо обращаться в организацию, являющуюся лицензиатом ФСТЭК и ФСБ.
Второй вариант дорог в исполнении, но  лицензиат несет прямую ответственность за свои действия, и если вдруг случается какая либо неприятность с системой защиты, либо проверяющие органы констатируют недостаточность принятых мер, "по голове" получает тот, кто систему защиты создавал, тоесть лицензиат. В таком случае имеется возможность заставить виновника переконструировать систему защиты, за счет собственных средств лицензиата.
Если же вы решились защищать персональные данные своими силами,  приготовьтесь к длительной и трудоемкой работе. 

Как я говорил выше - Для начала определимся с целью обработки ПДн.  К примеру, обработка ПДн ведется:

1) В целях продвижения товаров и услуг;
2) В статистических и научных целях; 
3) В целях разработки проекта;
4)В целях организации мероприятий.

И так далее...

Во вторых, необходимо выбрать метод обработки. Существует два метода обработки ПДн: 

1) С использованием средств автоматизации;
2) Без использования средств автоматизации; 

Далее переходим к разработке документации. 

Приведу примерный перечень, по тому как "точного, регламентированного" списка необходимых документов, на данный момент не существует:

1. Приказ о порядке обработки, обеспечении безопасности и конфиденциальности персональных данных.
2. Приказ о назначении лиц, ответственных за организацию мер по защите персональных данных.
3. Положение об организации работы с персональными данными в организации (разрабатывается с учетом принципов, изложенных в Федеральном Законе РФ № 152-ФЗ «О персональных данных» (ФЗ 152).
4. План-график мероприятий, направленных на приведение информационных систем персональных данных в соответствие с требованиями законодательства в области защиты персональных данных.
5. Приказ о создании комиссии по классификации информационных систем персональных данных.
6. Акт классификации информационной системы персональных данных
7. Перечень ИСПДН (Сведения об информационных системах персональных данных, установленных в организации).
8. Форма Уведомления об обработке персональных данных (направляется при вводе в эксплуатацию новых ИСПДн, либо при внесении изменений в существующие, в случаях, установленных ФЗ 152).
9. Регламент о порядке действий организации при обращении либо при получении запроса субъекта.
10. Журнал учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
11. Регламент разбирательства инцидентов информационной безопасности в организации.
12. Положение о службе информационной безопасности организации.
13. Должностная инструкция администратора информационной безопасности (руководителя службы ИБ).
14. Регламент присвоения прав доступа к автоматизированной информационной системе.
15. Матрица доступа пользователей к защищаемым информационным ресурсам информационной системы персональных данных.
16. Заявка на предоставление пользователю прав доступа к ресурсу ИСПДн.
17. Приказ об утверждении мест хранения материальных носителей персональных данных.
18. Журнал учета материальных носителей персональных данных.
19. Положение о порядке уничтожения персональных данных, обрабатываемых в организации.
20. Акт уничтожения персональных данных субъекта(ов) персональных данных.
21. Журнал учета машинных носителей информации.
22. Положение об обеспечении пропускного режима и охране о здания.
23. Положение об архиве организации.
24. Типовой раздел по конфиденциальности ПДн в гражданско-правовом договоре.
25. Типовой раздел по конфиденциальности ПДн в трудовом договоре.
26. Форма согласия субъекта ПДн на обработку его ПДн.
27. Форма согласия субъекта ПДн при передаче его ПДн.
28. Форма согласия субъекта ПДн на включение его ПДн.
29. Форма уведомления субъекта ПДн о запросе его ПДн.
30. Форма уведомления субъекта ПДн об уничтожении его ПДн.
31. Форма уведомления субъекта ПДн о получении его ПДн.
32. Дополнения в должностные инструкции работников, имеющих отношение к обработке ПДн.

Документы на стадии внедрения СЗПДн


1. Инструкция по организации антивирусной защиты.
2. Инструкция по организации парольной защиты.
3. Технический паспорт на каждую ИСПДн. Включает в себя перечень основных и вспомогательных технических средств (ОТСС, ВТСС), структуру, топологию и размещение ОТСС, схему электропитания и заземления, перечень СЗИ, перечень программных средств, сведения об аттестации, результаты периодического контроля.
4. Частная модель угроз на каждую ИСПДн.
5. Сертификаты на используемые технические и программные средства защиты.
6. Техническое задание на внедрение СЗ ИСПДн.
7. Акт приемки-сдачи системы защиты (СЗ) ИСПДн. Подписывается лицензиатом ФСТЭК (организацией, осуществлявшей работы по внедрению СЗ ИСПДн) и оператором.
8. Заключение о готовности СЗИ к эксплуатации, акт ввода в эксплуатацию СЗ ИСПДн.
9. Документ, подтверждающий проведение в установленном порядке процедуры оценки соответствия средств защиты ИСПДн (аттестация, декларирование, сертификация).
10. Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн.
11. Журнал учета носителей информации. Типовая форма.

Что касается классификации  распределенных ИСПДн имеющих соединение с сетями международного информационного обмена (Интернет), то я вижу несколько,  вариантов "избежания проблем" связанных с определением класса системы. Рассмотрим два, часто встречющихся варианта ИСПДн.

Первый: Информация, обрабатываемая в ИСПДн разной категории, и сервера баз данных находятся в разных, территориально удаленных друг от друга офисах предприятия.

В этом случае следует разделять ИСПДн по классам информации.
Технически это организуется с помощью установки на выходе в информационную сеть (интернет) межсетевых экранов, для К1 не ниже 3-го класса по РД МЭ и не ниже 4-го класса по контролю отсутствия НДВ (недекларируемых возможностей), для К2 и К3 не ниже 4-го класса по РД МЭ и не ниже 4го класса по контролю отсутствия НДВ.

Второй: Информация, обрабатываемая в ИСПДн одного класса, и сервера расположены в одном помещении (корпусе предприятия), внутри контролируемой зоны, либо в одном здании но в разных контролируемых зонах.
.
По моему мнению, подобный вариант не предполагает разделения ИСПДн. В итоге, при обращении к лицензиату для проведения процедуры подтверждения соответствия, а это чаще всего аттестация -  аттестовывать прийдется несколько ИСПДн, что соответственно дороже. Чтобы не тратиться на аттестацию, можно заключить с лицензиатом договор аудита, согласно которому сотрудники организации лицензиата досканально изучат вашу ИСПДн и СЗПДн, а так же лицензиат предоставит заключение о "достаточности/не достаточности" мер защиты ПДн и составит рекомендации по модернизации СЗПДн. 

Ранее я уже писал, что аттестация не является обязательной мерой, достаточно заключения собственной ответственной комиссии по защите персональных данных. Но, в таком случае возникает вопрос - достаточны ли знания и навыки сотрудников вашей организации для создания качественной системы защиты и что скажут  регуляторы, у которых может быть свое собственное мнение в вопросе о соответствии СЗПДн требованиям по безопасности? 

Следующим этапом необходимо определиться, какие технические средства защиты информации необходимо применять. В этом нам поможет Частная  модель угроз безопасности персональным данным в которой должны быть подробно описаны угрозы  и возможные каналы утечки информации, а так же интернет. О разработке модели угроз, мы поговорим подробнее в отдельной статье. 
На сегодняшний день в России существует достаточное количество организаций производителей СЗИ и еще больше поставщиков. Но в процессе организации защиты ПДн желательно использовать только сертифицированные средства защиты информации, особенно если дело касается категории К1. 

Заключительным этапом можно считать установку и настройку СЗИ с последующими испытаниями системы защиты и разработкой заключения (получением аттестата соответствия).
Установить и настроить СЗИ вы можете как собственными силами, так и с помощью организации лицензиата. 
  
На этом этапе мне обычно задают вопрос : А не нужна ли нам лицензия на ТЗКИ, содействие в получении которой  "ненавязчиво предлагают" многие интеграторы (лицензиаты). 

Отвечаю еще раз: Нет, господа операторы, лицензия на ТЗКИ, для защиты собственных ИСПДн предприятия - Не нужна.

Лицензию необходимо получать лишшь в том случае, если вы предоставляете услуги по технической защите информации другим юридическим/физическим лицам, с соответственным получением дохода от деятельности по ТЗКИ.

К тому же, согласно законодательству термин "конфиденциальная информация" к "Персональным данным" не относится.  Защита "конфиденциальной информации" - лицензируемый вид деятельности, а защита "Персональных данных" - обязанность оператора.


Про ПЭМИН - А шапка то не велика?

Часто задают вопрос - "А нужно ли указывать в модели угроз, угрозы, реализуемые по техническим каналам утечки речевой информации:   ПЭМИН и Акустическому" ?

Отвечаю:  Согласно "Базовой модели угроз безопасности персональным данным" разрабтанной ФСТЭК - включать угрозы связанные с ТКУИ ПЭМИН и Акустическим ТКУИ, в частную модель угроз, нужно, но: вероятность возникновения угрозы рассчитывается и оценивается исходя из реальной обстановки, сязанной с угрозой. Эту фразу, касательно именно ТКУИ ПЭМИН, можно понимать следующим образом: "В ИСПДн вашей организации действительно обрабатывается информация, ради получения которой, предполагаемый нарушитель, потратит огромные средства?" Не приводя в пример цифры, упомяну, что оборудование для съема информации по Аккустическому ТКУИ и ТКУИ ПЭМИН может стоить от нескольких десятков тысяч долларов, и обычно используеся развед-службами государств. А специалисты в области промышленной разведки "попросят гонорар" за свои рискованные услуги, скорее всего, не многим меньший стоимости оборудования.  
В связи с этим, включая угрозы связанные с Акустическим ТКУИ и ПЭМИН в модель угроз, обычно они признаются не актуальными. 

Яндекс - Ошибка поискового сервиса

С утра решил помониторить сеть на предмет новостей. Зайдя на поисковый сервис Яндекса, вбил в поисковике интересующие меня темы, и с удивлением обнаружил, что результаты поиска выводятся на экран в виде HTML и ASCII кода.


понедельник, 18 апреля 2011 г.

Вебинар - К нам пришла проверка

Интересным показался вебинар представителя компании Aladin - Владимира Чугунова, затрагивающего тему проведения проверок регуляторами.

Из материала 

Рекомендую всем : Часть 1  и  Часть 2.      

Вебинар проходил в режиме онлай презентации со звуковым сопровождением. Качество звука довольно неплохое.

среда, 13 апреля 2011 г.

Уязвимость Google Chrome - Выполнение произвольного кода в Google Chrome Flash Player



Вот чем нас порадовал знаменитый и мною любимый Google Chrome:

Из материала www.securitylab.ru

Обнаруженная на днях уязвимость позволяет удаленному пользователю скомпрометировать целевую систему. Данная уязвимость существует из-за того, что приложение использует уязвимую версию Adobe Flash Player.

Подробное описание уязвимости здесь www.securitylab.ru :

Способов устранения данной уязвимости, в настоящее время, не существует.

ФСБ и Skype, Gmail и ЖЖ - Война миров

Тема споров между  ФСБ и всемирно известным владельцем программных продуктов Skype и Gmail  открыта уже давно, и вот очередной бум, казалось бы отшумевшей проблемы...

Из материала www.rusrep.ru 

Глава Центра защиты информации ФСБ Александр Андреечкин вряд ли предполагал, что одна его фраза вызовет заочную пикировку между Кремлем и Белым домом. «Проблема наличия в сетях общего пользования криптографических средств вызывает все большую озабоченность ФСБ, — заявил он на заседании комиссии по федеральной связи. — Это, в частности, такие сервисы, как Gmail, Hotmail и Skype. Их бесконтрольное использование может привести к масштабной угрозе безопасности России».

Понято заявление было в том смысле, что свободное использование популярных сервисов хотят ограничить или даже полностью запретить. В итоге в Кремле это высказывание назвали просто «личным мнением» чиновника, но пресс-секретарь премьер-министра Песков тут же уточнил, что «представители ФСБ не высказывают личных точек зрения». То есть получалось, что это все-таки официальная позиция. Еще через какое-то время в ФСБ нашли нужным прояснить ситуацию: нет, они не выступают за запрет популярных сервисов.

То есть ложки-то нашлись, но осадочек остался. Ведь по итогам лаконичной дискуссии выяснилось, что в Кремле и Белом доме несколько по-разному смотрят на то, имеет ли в принципе ФСБ право ограничивать свободу передачи информации в интернете или нет.

И все бы ничего, но заявление Александра Андреечкина прозвучало на фоне еще одного громкого скандала — крупнейшей в истории сервиса хакерской атаки сначала на «Живой журнал», а затем и на сайт «Новой газеты». В поддержку «ЖЖ» выступил лично Дмитрий Медведев, назвавший действия взломщиков «возмутительными и незаконными».

— Атака была очень мощная, — рассказывает «РР» директор центра вирусных исследований и аналитики ESET Александр Матросов. — По нашим оценкам, заказчик должен был заплатить за нее в районе полутора тысяч евро. Это дороже, чем рядовые атаки, потому что привлекает внимание правоохранительных органов. Было задействовано много разрозненных ботнетов.

То, что за организацию нападения злоумышленники получили солидное вознаграждение, считает и специалист по сетевым проектам, бывший руководитель службы блогов компании SUP Антон Носик:

— Они не станут разбазаривать свой ботнет просто так: когда они ведут атаку, ботнет становится виден, его можно использовать лишь ограниченное количество раз.

Сетевое нападение типа DDoS осуществляется с помощью ботнета (зомби-сети) — большого количества зараженных вирусом компьютеров, которые по команде начинают посылать на атакуемую площадку множество запросов, блокирующих доступ легальных пользователей.

По данным антивирусной компании «Лаборатория Касперского», атака началась с интернет-дневника борца с коррупцией Алексея Навального, а уже после опрокинула всю сеть.

— Враги Навального все эти годы с ним так или иначе боролись — об этом свидетельствуют уголовные дела. Но почему-то, только когда его команда прошлась по движению «Наши», начались DDoS-атаки на его аккаунт, а затем и на весь «Живой журнал». А мы помним, что именно «Наши» атаковали эстонский сайт, — говорит Антон Носик.

Он имеет в виду историю 2007 года, когда российские пользователи в результате хакерской атаки взломали эстонские правительственные сайты, «отомстив» таким образом за перенос «Бронзового солдата». Ответственность за эту акцию действительно взяло на себя движение «Наши», но очевидно, что атака имела успех в том числе потому, что к ней присоединились много рядовых интернет-пользователей, не имеющих никакого отношения к прокремлевской организации.

Что касается нынешней ситуации, то после «Живого журнала» DDoS-волна перекинулась на сайт «Новой газеты». «Лаборатория Касперского» утверждает, что сайт издания и «ЖЖ» подверглись нападению с одного и того же ботнета.

И все же политическая версия атаки на «виртуальные площадки свободы слова» многими ставится под сомнение. Некоторые пользователи Сети не исключают, что «падение» того же «Живого журнала» — следствие ошибок администрации сервиса. Сторонники этой версии обращают внимание на то, что сразу после первой атаки в «ЖЖ» появилась возможность комментировать с аккаунтов «Вконтакте» и mail.ru, то есть техника могла просто не справиться с новой нагрузкой.

Впрочем, руководитель LiveJournal Russia Светлана Иванникова в беседе с «РР» эту версию отвергла.

Вызывает сомнение и целесообразность нападения на «Живой журнал». Во-первых, это далеко не единственная интернет-площадка протеста: десятки оппозиционно настроенных групп обитают, например, на сайте «Вконтакте». Во-вторых, влияние блогеров на общественное мнение минимально. Как показал опрос социологов Левада-Центра, самые влиятельные блогеры для россиян — это Медведев и Путин (притом что у премьер-министра интернет-дневника нет вовсе), а 95% опрошенных вообще не назвали ни одного блогера.

— Эффективность — это не критерий для черного пиара, — возражает Носик. — Когда движение «Наши» пикетировало английское посольство, Великобритания пострадала несильно, не так ли? Логика таких атак — это чистый террор. Три дня сайт будет недоступен — у пользователей создастся впечатление, что платформа ненадежна и обречена.

DDoS-атаки на сайты независимых СМИ в последние годы случались нередко. «Лежали» сайты «Эха Москвы», «Газеты.ру», «Коммерсанта». Руководство изданий связывало и эти атаки с движением «Наши», потому что DDоS’ам предшествовали кампании черного пиара с их стороны.

Впрочем, сообщений о том, что кто-то был наказан за эти интернет-нападения, не было. Зачастую хакеры не знают имени заказчика, и если даже их поймают, организатор останется в тени. Но, по мнению Антона Носика, выступление Медведева в защиту «Живого журнала» увеличило политические риски заказчиков, поэтому на время они могут и успокоиться.

 Алеся Лонская, Дмитрий Майоров 


Комментарием к сложивишейся ситуации, от себя лично, замечу что криптографическая система защиты Skype и Gmail действительно хороша. Но разве не важен вопрос о безопасности государства? Не нужно говорить, что в согласно Конституции РФ каждый гражданин имеет право на непрекосновенность личной жизни и тайны переписки. Однако во все времена, любая спецслужба внутренней безопасности государства любой страны мира, в исключительных случаях  имела "негласное право" доступа к любой необходимой информации. Это "негласное право" спецслужб - обеспечивало безопасность государства на информационном уровне, а так же давало возможность эффективно обнаруживать иностранных агентов и террористов. Теперь давайте представим, что спецслужба не может получить доступ туда, куда ей необходимо, а именно там и находится опасность. 
Хотя, вышесказанное всего лишь мои рассуждения но - беда, как известно, всегда приходит с той стороны, с которой ее не ждеш. 
Павел Мир

Проблемы рынка услуг в области защиты информации

Увы, на вопрос о рынке в области информационной безопасности любой специалист по ЗИ ответит что рынок "молчит". Долговременно или нет но констатирую извесный факт - рынок ИБ находится внизу экономической сферы. Дело касается не только темы персональных данных, защиты коммерческой тайны и технической защиты конфиденциальной информаци в общем, дело так же касается узких областей в данной сфере. 

Жучиный вопрос...

Есть такая область в сфере ТЗИ - обследование помещений на предмет устройств незаконного съема информации, тоесть "жучков". Все мы с детства воспитаны на шпионских фильмах про Джеймса Бонда, в сюжете которых, главный герой активно пользуется разного рода шпионскими средствами. "Агент" проникает в тыл противника, считывает информацию с помощью приборов с компьютеров, снимает видео на встроенную в ручку камеру и так далее... А в реальности?
В реальности, естественно, далеко не все показанное в кино возможно, но факт - возможно.
В европейских странах и США подобная деятельность в области защиты информации давно реконструировалась в бизнес сферу и активно пользуется спросом.  Почему же в России столь выгодному виду деятельности уделяется мало внимания. Сложно получить лицензии ФСТЭК и ФСБ? Не сложно. С 90х годов в России существует достаточно компаний, оказывающих подобные услуги. 

Но рынок, как извесно "молчит". 

Почему? Во первых, эти услуги достаточно дорогие, во вторых - малый спрос. Кому необходимо искать у себя в организации микрофоны, камеры и.т.д? В основном тем организациям, которые ведут работы с предприятиями, связанными с государственной тайной или с крупными компаниями, имеющими филиалы за границей. А таких не много. Как показывает практика - Лицензиатов больше чем потенциальных клиентов. В третьих - менталитет. Увы менталитет российского бизнесмена заставляет своего владельца всячески отторгать подобные "инновации". Удручает мнение, бытуемое среди бизнес сообщества: "нам это не нужно, нас это не коснется". 

Лицензиат спросит : "Откуда вы знаете? Может быть уже коснулось..." и получит ответ: "Нет причин". 

Не стану лить воду про обиженных сотрудников, мстителей или сумасшедших. Но подниму вопрос о конкуренции в любой сфере бизнеса. Если кто то беспокоится за свое "ноу-хау" тот найдет способы и меры защиты. И вот очередной момент поставивший жирный минус рынку ЗИ - не так уж много "ноу-хау" в сегодняшнем бизнесе. Действительно, казалось бы, развиваются информационные технологии, прижилось в стране "свободное" бизнес сообщество, бизнес стимулируется, введена упрощенная система налогооблажения и.т.д. А рынок "молчит". 
Вынужден обратить внимание читателя на то, что современный бизнесмен  ориентирован в область продаж и услуг. А рынок просит подхода к производству. Только на производстве может родиться крупное "ноу-хау",  требующее подобных мер защиты. Так же, современный бизнесмен, в основном, имеет мнение, что новую сферу бизнеса открыть практически не реально. Куда ни взгляни, в любом деле конкуренты, даже в сфере разработки настольных игр и производстве леденцов активно сверкают виртуальные таблички с надписью "Занято". 

Еще одно отличие Европы... 

Очередное отличие европейского рынка от российского заключается в гласности происшествий. Прочтите журналы по ИБ, статьи в европейских газетах, или прогуляйтесь по интернету и вы увидите много тому примеров. Таким образом происходит стимуллирование рынка европы. В данном случае играет роль простая, человеческая психология - "услышал плохую новость, принимай меры, чтобы того же не произошло с тобой". Увы, господа, российский бизнесмен держит верность принципам негласности инцидентов. Соответственно и стимулирования рынка, даже методом "сарафанного" радио - не происходит.  

О персональных данных...

Вновь касаясь темы персональных данных, хочу заметить, что в этой области слабые подвижки все таки есть. В последнее время все чаще происходят конференции, встречи, выставки в том числе и на государственном уровне. Только результат, все равно, оставляет желать лучшего... 
В области персональных данных, кроме проблем стимуляции рынка, и менталитета российского купца, существуют проблемы, связанные с законодательством. Нет достаточно - компетентно составленных нормативных актов, утверждающих порядок защиты ПДн, и тем более подтверждения защищенности. Не буду сильно углубляться в суть вопроса, об этом я писал ранее. Объясню ход своих мыслей следующим образом: практически в любом нормативном акте, законе, постановлении и.т.д. в сфере персональных данных, фигурируют в основном общие фурмулировки, конкретики, к сожалению мало. Встречаются случаи, когда некоторые документы противоречат друг другу, либо законодательству в иных областях. 

О специалистах... 

Столь же актуален вопрос образования в сфере защиты информации. ВУЗы выпускают не компетентных специалистов, не готовых к будующей профессии в принципе. 
От чего же? Не от того ли что качество преподавания оставляет желать луьшего и студенты ВУЗов не видят себя в будующем работниками в области ЗИ? Не от того ли, что в связи с соответственно малым спросом специалисты по ЗИ, только что окончившие ВУЗ не могут найти себе работу и набрать практический опыт. Не от того ли,  что вновь мы сталкиваемся с вопросом "а зачем тебе учеба"? В ответ на который часто слышим - "Диплом получить, по тому, что в России без бумажки ты букашка, да и не с каждой бумажкой повезет хорошо устроиться".   
Обобщаем тираду...

Вывод из сказанного выше известен: Предложение превышает спрос, нет стимуляции рынка ИБ, нет достаточно компетентных специалистов в сфере персональных данных по тому что сфера в низу экономики, нет надежды, что специалисты-выпускники обладают необходимым багажем знаний и навыков, законодательство в сфере ИБ и ПДн в чсности, развито не достаточно для нормального ведения деятельности...

Ввиду выше сказанного  развитие области информационной безопасности, в частности ТЗИ и защиты персональных данных медленно "ползет" в неизвестном направлении.

Что делать? 

По моему мнению, необходимо, во первых создать достаточную законодательную основу для осуществления деятельности. Серьезно подкорректировать ФЗ 152 и иже с ним. 
Организовать на правительственном уровне систему контроля по подготовке специалистов вобласти защиты информации и реорганизовать современные планы обучения специалистов в этой области.
На правительственном уровне "стимулировать рынок ИБ". А современному российскому бизнесмену пора несколько пересмотреть принципы гласности и негласности инцидентов.
Конечно, ни кому не хочется терять лицо при общественном обсуждении инциндента, но думаю что многим  прийдется по душе мысль, о приобретении положительной репутации при раскрытии инцендента или недопущении такового. 
Возьмем пример с иностранных компаний, когда таковые объявляли о выдаче денежной награды "хакерам", которые смогут взломать ИТ защиту этих компаний. 

Почему директора иностранных компаний решались на подобные шаги? 

Во первых они были уверены в защите своих серверов, а во вторых, компания приобретала положительную репутацию при каждой неудачной попытке взломщика осуществить задуманное. А тех, кому удавалось, мигом брали на работу, получив отличного специалиста. 
Наряду с этим, как раз и происходила стимулляция рынка услуг в области ИБ. 

В общем - необходимо меняться, уважаемые бизнесмены...

ИТ Конференция в челябинске

Меня порадовало следующее видео (прямая ссылка).  Вновь, примного благодарен Евгению Цареву.


Редкое мероприятие проходит так продуктивно и активно, как последняя конференция в Челябинске. (с) http://www.tsarev.biz/

пятница, 8 апреля 2011 г.

Аттестация vs декларирование - как подтверждать соответствие?


Вот такое сообщение встречается в интернете практически на каждом сайте по информационной безопасности :

Аттестация информационных систем по требованиям безопасности информации обязательна:

- для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см."Специальные требования и рекомендации по технической защите конфиденциальной информации", Гостехкомиссия России, 2001 г.) ;
- в остальных случаях - для ИСПДн 1, 2 и 3 классов.

Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", ФСТЭК России, 2008 г., п.3.11).

К сожалению, в настоящее время процесс декларации соответствия не регламентирован.

Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. "Основные мероприятия по организации...", п. 3.3).

При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. "Основные мероприятия по организации...", пп. 4.2, 4.3).

Примечание:

1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.

Смущает следующее :

Процесс декларирования, действительно не регламентирован, я уже писал об этом ранее. Декларирование, проводится на основе документа, называемого "Технический регламент", который подробно описывает сам процесс для "определенного вида продукции",

см. Федеральный закон от 27.12.2002 N 184-ФЗ (ред. от 28.09.2010) "О техническом регулировании" (принят ГД ФС РФ 15.12.2002)
декларирование соответствия - форма подтверждения соответствия продукции требованиям технических регламентов;
декларация о соответствии - документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов;

Причем :

Статья 9. Порядок разработки, принятия, изменения и отмены технического регламента

Технический регламент - документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или межправительственным соглашением, заключенным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, или нормативным правовым актом федерального органа исполнительной власти по техническому регулированию и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям или к связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации);

(в ред. Федеральных законов от 01.05.2007 N 65-ФЗ, от 30.12.2009 N 385-ФЗ)

Самое важное :

Технический регламент, разработанный в порядке, установленном настоящей статьей, принимается федеральным законом или постановлением Правительства Российской Федерации в порядке, установленном соответственно для принятия федеральных законов и постановлений Правительства Российской Федерации, с учетом положений настоящего Федерального закона.
Разработчиком проекта технического регламента может быть любое лицо.
О разработке проекта технического регламента должно быть опубликовано уведомление в печатном издании федерального органа исполнительной власти по техническому регулированию и в информационной системе общего пользования в электронно-цифровой форме.

А теперь смотрим список технических регламентов, для этого  Заглянем в википедию.

В списке технических регламентов действующих на данный момент, тех-регламенты касающиеся защиты информации - Отсутствуют!

Из данной информации следует вопрос:  как декларировать? Одназначного ответа пока что нет.   

Что касается аттестации...

Аттестация - процесс дорогой и емкий, включающий в себя мероприятия по анализу защищенности распределенных ИСПДн путем использования в составе информационной системы программных или программно-аппаратных средств (систем) анализа защищенности, проверку документации, и тому подобное...  

Почему этот процесс емкий? По тому, что при оценке защищенности ИСПДн специальными программными или программно аппаратными средствами, необходимо "исследовать" каждое АРМ, а таковых может быть десять, сто или много больше.

Почему дорогой, думаю и так понятно.

В результате оператор получает или не получает Аттестат информационной системы персональных данных? Вот тут возникает еще один интересный момент: ранее аттестация ИСПДн была обязательна согласно законодательству, но в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 582010 году приказом ФСТЭК были отменены два документа, из "четверокнижия", а именно:

Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;

Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.


Далее процетирую автора статьи с сайта www.buh.ru (прямая ссылка на статью).

Данное решение явилось логическим продолжением издания приказа ФСТЭК России от 05.02.2010 № 58 (далее - приказ № 58), утвердившего Положение о методах и способах защиты информации в информационных системах ПДн (комментарий к документу читайте в номере 4 (апрель) "БУХ.1С" за 2010 год).

Например, в отличие от Основных мероприятий в приказе № 58 не определен порядок проведения оценки соответствия ИСПДн требованиям безопасности. Соответственно, проведение обязательной аттестации (сертификации) ИСПДн 1 и 2 класса в настоящее время не предусмотрено. Данное изменение можно рассматривать как положительное, так как отмена аттестации (сертификации) позволит сэкономить операторам ПДн.

Вынужден не во всем согласиться с автором. Естественно получается, что проведение оценки соответствия "необязательно", но что скажут на это сами регуляторы, когда наступит время проверки? Неизвесно. По этой причине мнение лицензиатов в области ЗИ разделяется. Первые утверждают, что аттестация нужна, вторые, соглашаются с автором статьи, а регуляторы мирно ждут первого июля.

Допустим что аттестация необходима. И вновь вопрос - что аттестовать? ИСПДн? Как было сказано выше аттестация ИСПДн - не регламентирована. АС? Почему? В этот момент вступает в силу мнение, что необходима аттестация именно АС, по причине того, что ПДн относятся к конфиденциальной информации.  

Интересный момент - определение, что такое конфиденциальная информация, я нашел только в утратившем силу приказе:

Приказ ФНС РФ от 12.12.2006 N САЭ-3-13/848@ "О проведении опытной эксплуатации унифицированной системы приема, хранения и первичной обработки налоговых деклараций и бухгалтерской отчетности в электронном виде по телекоммуникационным каналам связи" (вместе с "Временным регламентом обмена электронными документами с ЭЦП по телекоммуникационным каналам связи в унифицированной системе приема, хранения и первичной обработки налоговых деклараций и бухгалтерской отчетности").

Следуя которому :

"...Конфиденциальная информация - требующая защиты информация, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации, а также настоящим Регламентом..."

Но, если внимательно вчитаться в документ на сайте consultant.ru (прямаяссылка), можно увидеть следующее примечание :

Приказ ФНС РФ N САЭ 3-13/345@ от 13.06.2006 утратил силу в связи с изданием Приказа ФНС РФ от 08.08.2007 N ММ-3-13/469@. Приказом ФНС РФ от 26.03.2009 N ММ-7-6/141@ утвержден и введен в действие с 6 апреля 2009 года новый Унифицированный формат транспортного сообщения.

В новом документе понятие "конфиденциальная информация" не раскрывается, как не раскрывается больше ни в одном документе. Получается, что этого понятия в законодательных актах РФ больше не существует? Смешно аж плакать хочется, по тому что получается именно так. Что подтверждает Алексей Волков в следующем видео, предоставленном в блоге Евгения Царева: http://www.tsarev.biz/

Что делать в такой ситуации? Аттестовать, декларировать или не делать ничего? Решение этой проблемы ФСТЭК оставляет на собственную волю операторов персональных данных.

Нашел я в сети еще одно мнение специалиста по ИБ Олега Варламова, в сообщении на форуме  ispdn.ru  от 2010 года. Вроде бы давно дело было, а к настоящему моменту ничего не изменилось.

Для приведения в соответствие своих ИСПДн с требованиями закона "о ПДн" в ФСТЭК России разработан "замкнутый комплект" ОТКРЫТЫХ документов:
1)выписка из Базовой модели угроз,
2) методика актуальных угроз и
3) положение о методах и способах защиты (приказ 58).
 

Никаких иных документов, тем более с грифом ДСП не требуется. Депутаты именно "открытых документов" и добивались. 

Если кто не в курсе, то СТР-К имеет гриф "ДСП" и его не должно быть в открытом обсуждении вообще.
Авторитетно заявляю: для декларирования соответствия не нужен никакой СТР-К, а достаточно трех указанных ОТКРЫТЫХ документов. Если кто против, пусть потом в суде это докажут, а мои аргументы ниже.

Оператор ПДн имеет право САМОСТОЯТЕЛЬНО организовать у себя защиту своих ИСПДн. Вот оказывать "услуги по защите" без лицензии нельзя, а "защищать свое" - можно и без лицензии, и тем более без документов ДСП.
Без лицензии ФСТЭК России (и т.п. документов) вам никто не покажет СТР-К, но защищать можно. Следовательно, СТР-К не нужен. Вернее, СТР-К не является обязательным.

Специалисты ЦА ФСТЭК России говоря про "необходимость СТР-К" имеют ввиду, что других "хороших документов по аттестации" нет. Так нам для ИСПДн классов К4, К3 и К2 вообще не нужна аттестация. Т.Е. не нужен и СТР-К.
Если вы знакомы с СТР-К, то идеология аттестации и "декларирования соответствия" вам должна быть из него понятна.

Для остальных пишу в явном виде: декларировать - это значит проверить выполнения всех "методов и способов защиты информации в ИСПДн" из 58-го приказа для ВАШЕЙ конкретной ИСПДн. И не надо придумывать лишнего!
Как на обычных приемно-сдаточных испытаниях готовите "перечень" того, что должно у вас быть по требованиям Приказа и потом методично все это проверяете. Оформляете протоколами, подписываете - несете ответственность за эти результаты.
В завершение пишите красивую бумагу с названием "Декларация соответствия ИСПДн такой-то требованиям по защите информации по такому-ту классу". Подпись членов комиссии, печать. И все!

 Если у вас много денег, то эту процедуру с названием "аттестация" и уже по СТР-К вам с удовольствием сделают лицензиаты ФСТЭК России. Конечно, СТР-К применять можно, но необходимости в этом нет!


 Из всей предоставленной информации Олег Варламов делает следующий вывод:

Не надо усложнять и поддаваться на провокации и страшилки разные.
Думайте своей головой и отсекайте лишнее. Главное - все грамотно обосновать в полном соответствии с необходимыми и достаточными руководящими документами.


Я, с этими словами согласен, а вы?

ИТОГ: Аттестовать, нельзя помиловать...

На ряду с операторами персональных данных, меня, как специалиста в сфере защиты информации, волнует вопрос подтверждения соответствия, и в поисках ответа я долгое время провожу в океане документов и в облаках регламентов, изображая водолаза. Не смотря на неприглядную картину выше сказанного, подробно изучив законы, реграменты, постановления, пообщавшись с коллегами и так далее, я пришел к следующему выводу:

1) Аттестация - как мы ее знаем из СТР-К проводиться может по следующему принципу:

СТР-К - необязательный к исполнению, но единственный документ, в котором прописаны правила и нормы мероприятий по ЗИ, измерений и.т.д. Он рекомендуем, а значит может использоваться. Но вместо фигурирующего понятия Автоматизированной системы, аттестовать, а соответственно выдавать Аттестат соответствия необходимо на ИСПДн. Причем: СТР-К можно использовать для ЗИ по НСД "по полной", при этом правила защиты нужно брать так же из нормативных актов касающихся ПДн (Приказ ФСТЭК №58 и Постановление № 781)  а для ЗИ речевой информации и измерений ПЭМИН - не обязательно. Я думаю в редкой модели угроз вы увидите актуальную угрозу по линии ПЭМИН, т.к "дороговато будет".

2) Заключения - подготовленного оператором персональных данных или лицензиатом в принципе достаточно, но думаю ФСТЭК и Роскомнадзор, при проверке будут иметь собственное мнение по этому поводу, и не факт, что сходное с мнением оператора. 
 

четверг, 7 апреля 2011 г.

Борьба с коррупцией - хождение по воде?

По материалу сайта:  nnm.ru

Выбирая название темы я не желал сказать, что с коррупцией в России не нужно бороться, как раз наоборот, необходимо! Но на мой взгляд достойных методов борьбы до сих пор не существует, как может быть "не существует" тех, кто эти методы мог бы разработать и реализовать.  

Люди то есть - а работы нет.

Борцов с коррупцией навалом, куда ни глянь. Депутаты, постоянно, обещают бороться, правоохранители отвечают - боримся, партии заявляют - изживаем ее, нерадивую. Борцы то оказывается есть, а результат? Далее намеренно в кавычках : "как брали так и берут", "что сеяли то и пожинают".    Думаю со мной согласятся читатели, у которых есть дети, младшие братья или сестры - можно воспитать ребенка вежливым, аккуратным, приличным, отзывчивым человеком, а можнозапустить его воспитание - и выростет хам. Я не просто так привожу в пример воспитание. Можно ли "воспитать" государственную или частную структуру таким образом, что "структура" будет отрицать "негативные нормы", и сотрудники ее не будут нарушать закон?   

На сайте nnm.ru появилась статья, тема которой меня заинтересовала. Даю прямую ссылку :  nnm.ru

Коррупция, как она есть - это раковая опухоль России. Коррупцию можно встретить везде, в правительстве, муниципальных учреждениях, в банках, в образовательных учреждениях. Везде где принятие решения нужного одному человеку зависит от другого. Конечно нужно изменить менталитет наших граждан, но это очень сложно, долго и практически невыполнимо. Ждать и надеяться пока люди перестанут давать взятки можно всю жизнь. 
 
 Надеяться на это бесполезно, товарищи. Людская природа заставляет человека искать наиболее кратковременные и выгодные решения проблем, и темы взячничества это тоже касается. По примеру автора поясню - что выгоднее водителю автомобиля: потерять от тридцати минут до нескольких часов времени, в ожидании, пока сотрудник правоохранительных органов выпишет штраф на сумму от 500 до "некой суммы" в рублях, а возможно и "отнимет права", или отдать от 500 до нескольких тысяч рублей "на руку" этому сотруднику, и спокойно уехать? 

"Не решаемые" вопросы решаются... 

Важно понимать что человек не будет брать или вымогать взятку если:

1. Все узнают что он ее взял;
2. У него нет полномочий и права принимать решение за которое могут дать взятку.

Второе по моему мению более верно, но к словам автора хотелось бы добавить: а что будет, если "полномочия исчезнут"? В том то и дело что ничего не будет в прямом смысле. Кто может взять? Менеджер, кладовщик, дипутат, бухгалтер, правоохранитель - по сути дела, практически любой сотрудник любой сферы деятельности. Дело в цели дачи взятки. 

Вдруг не стало у депутата депутатских полномочий... Это простите как?  К примеру отбери у депутата право рассмотрения законов и право голоса в думе, и кто в таком случае будет рассмартивать и принимать законы? Отбери у менеджера полномочия управлять, и кто будет выполнять управляющие функции в организациях? В конце концов - отбери у уборщицы полномочия убирать и прийдется самому выносить мусор и мыть полы.  Сложно все это, господа и дамы, сложно...

Программируем тендеры... 

 Есть сайт http://zakupki.gov.ru, туда как многие знают обязаны выставляться все тендеры правительства, обязаны так обязаны, выставляются успешно. Уже шаг какой то правительства, но это совсем не устранило факт коррупции с гос заказами. Выставляя тендер, авторы сейчас ставят условия которые изначально подгоняются под конкретное предприятие. Для массовки приглашают пару фирмочек которые затем отказываются от участия. Несколько несложных поподвижений и гос заказ уходит нужной фирме которая затем делает откат. Одно правительство сделало правильно, привлекло силы информационных технологий, но они недоделали или недодумали сам инструмент борьбы. Вот что нужно сделать.

1. Создать Федеральный Центр Подтверждения Государственных Закупок — ФЦПГЗ
2. ФЦПГЗ единственный орган который принимает решение об утверждении исполнителя
3. Заявки об открытии тендера, а также заявки кандидатов в исполнителе, электронным образом отправляются в ФЦПГЗ через сайт открытый для всех желающих.
4. Разработать и внедрить программное обеспечение по предварительной автоматической оценке предложений на выполнение тендера.

Интересная идея, а каким образом подтвердить "личность" участника тендера? Методом  ЭЦП - "все сложно", до того, чтобы эта технология достаточно прижилась в России должно пройти  время. И кто скажет точно, что "несколько фирмочек" не появятся  при электронной регистрации, а затем, так же не откажутся от участия в тендере? Вопрос о решении предложенном автором статьи оставлю на мнение читателей.

Тесто здесь не к месту...

В случае выявления ФЦПГЗ фактов заведомо неправильных заказов содержащих в себе требования расходящиеся с нормативными требованиями к исполнению (опять же проверяется ПО и сотрудниками), главой центра направляется жалоба на чиновника разместившего этот заказ. Подобные попытки приводят к увольнению чиновника.

Автор статьи видимо забыл предположить, что подобное решение может привести к появлению метода "устранения" неугодных сотрудников с рабочьего места, а точнее к "подставам". Хотя, чем тяжелее палка, тем больнее шишка.

Погоны разноцветные...

Коррупция среди сотрудников МВД и Прокуратуры

Оборотни в погонах, вымогатели на дорогах, рэкэтиры и крыша 2000х все это наши доблестные господа полицейские.
Как же быть здесь? Ну во первых строгие наказания, для полномочных сотрудников. Тюремное заключение от 2 до 25 лет (от тяжести покрытого преступления) без права работать в государственных структурах а также охранных предприятиях. (достали чопы с бывшими ментами уволенными за проступки). Также публичность наказания — создания общедоступной электронной базы (сайта) государственных преступников, пусть люди знают своих "героев" в лицо.
 
 Всех сотрудников снабдить видеокамерами слежения за их деятельностью.
Портативная камера вшитая в форму сотрудника работает на протяжении всей рабочей смены и записывает весь день сотрудника — звук и видео. По окончанию смены рабочий день сотрудника отправляется в единое хранилище видео записей МВД. Такие же камеры присутствовать должны в каждом кабинете, коридоре, лестнице (можно даже туалете) сотрудников милиции. Сделаем из МВД реалити шоу где все напоказ. Встает вопрос, кто же будет смотреть это увлекательнейшее видео? По сути никто, кроме опять же компьютерной системы. Программное обеспечение которое проводит анализ слов и видео, отмечает биометрические данные тех с кем встречался сотрудник, определяет на вид денежные купюры или объекты которые могли их содержать, вылавливает ключевые слова из записанного, отдельно обращает внимание на шепот и потерю из вида объектов. Свой отчет по событиям по передает в единый центр находящийся снова в далеке от регионов, где люди уже просматривают куски видео и находят подтверждения коррупционных сделок, отправляя свои находки в отдел по борьбе с должностными преступлениями.

Интересное решение, даже инновационое, но камер которые можно "встроить в пуговицу" к сожалению на всех не хватит. Даже если организовать подобное мероприятие, то на какой ИТ основе? Единый сервер? - нужно учитывать масштаб мероприятия и возможности провайдера по передаче видео траффика в реальном времени. Комплекс видео серверов? - а какое время отводить на хранение записей? Какие записи хранить? Когда вести запись? Куда пересылать данные для "постоянного" хранения? Я думаю, что в доказательных целях, глупо было бы хранить подобную информацию менее года. Можно себе представить обьем информации в виде видеозаписей с каждого сотрудника правоохранительной службы, в месяц? Как только я представил - страшно стало.  

В данный момент эта идея, если уж не на грани фантастики, то по крайней мере невероятно трудно осуществима. 

А давайте разрешим дуэли...

Возродить практику доносов - замечу автору статьи, и читателю, что на мой взгляд, в подобном случае, мы вновь возвращаемся к деятельности по "выдворению неугодных"...

И далее автор предлагает еще несколько идей бо борьбе с коррупцией, которые я не стал рассматривать в блоге. Если читателя заинтересует эта статья, то просим милости пройти по ссылке nnm.ru  

Меня поражает удивительная наивность автора статьи, но нельзя не поддержать порыв искоренения такого негативного фактора в нашей стране как коррупция. Читая подобный материал, хочется поверить в то, что раз есть люди, значит будет и работа, а пока - что сеем, то и пожинаем...

Из-за ошибки в Сеть выложили личные данные 83 тыс. человек



Группа компаний Co-operative Gro▲ объявила о крупной утечке базы данных своих клиентов — из-за ошибки в свободный доступ в Сеть выложили информацию более чем 83 тыс. человек.


В результате утечки пострадали клиенты компаний Co-operative Life Planning и Co-operative Wills & Funeral Planning. По словам их представителей, утечка произошла по вине стороннего подрядчика, осуществлявшего техническую поддержку, который и выложил на сайт данные тысяч клиентов.

Сбербанк России нарушает требования закона «О персональных данных»


Управлением Роскомнадзора по Иркутской области выявлены нарушения обязательных требований в области персональных данных, допущенных ОАО «Сбербанк России». Как уточнили в пресс-службе ведомства, в ходе многотерриториальной проверки в отношении Открытого акционерного общества «Сбербанк России» было установлено, что оператор осуществляет обработку персональных данных с нарушением.


А именно:

- не соблюдение оператором обязательных требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации (п. 6 Постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»);
- не соблюдение оператором требований по содержанию письменного согласия субъекта персональных данных на обработку персональных данных (п. 4 ст. 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).

В областном Роскомнадзоре сообщили, что результаты плановой проверки были направлены в Управление Роскомнадзора по Москве и Московской области для принятия дальнейшего решения.

Интересное по ТЗКИ и персональным данным

Интересное видео по ТЗКИ и персональным данным предоставил в своем блоге мой коллега Евгений Царев, за что ему огромная благодарность :


За короткое время Алексей Волков, подробно описывает проблемы связанные с ФЗ 152 и лицензированием по ТЗКИ.  Ролик достаточно интересен как для операторов персональных данных так и для специалистов в данной сфере.

Персонаьные Данные — наступила весна…

Наконец то наступила долгожданная весна. На календаре второе марта и солнышко на улице понемногу начало согревать. Весной, как известно, мир расцветает, птички поют, и во всем появляется что то новое.

А что нового появилось в области персональных данных?

Не желая лишних проблем связанных с оформлением кип документов и финансовыми тратами, операторы приняли выжидательную позицию, мирно согревая себя мыслью о том что зоркий взор известных с выше не ляжет на их головы ссылаясь на указанный ФСТЭК план проверок в котором организаций не много да и «мелких рыб» не числится. Лицензиаты ждут прихода регуляторов, которые в свою очередь то же мирно ждут первого июля.

Я довольно часто слышу мнение — «нас это не коснется» или «у нас нечего защищать», однако в интернете появляется все больше новостей о проверках, проводимых ФСТЭК по России, а так же о штрафах в результате таких проверок.

К примеру:

Из материала: anti-malware.ru

Потеряв 21 анкету для получения гражданского паспорта Идентификационная и паспортная служба (ИПС) Великобритании получила от Управления по информационной безопасности (УИБ) лишь строгий выговор.
По словам главы надзорного отдела УИБ Мика Горрила, управление было обеспокоено этим происшествием, однако благосклонно отнеслось к организации, поскольку надлежащие меры для предотвращения подобных инцидентов в будущем были предприняты достаточно быстро.

Заметим, что это не первый случай необычного благосклонного отношения Управления по информационной безопасности к государственным учреждениям, допустившим утечку конфиденциальной информации. Так, например, за утерю 1 700 записей горожан, муниципалитеты Илинга и Ханслоу выплатили совершенно незначительные штрафы. А вот полицейскому департаменту графства Гуэнт и вовсе получило предупреждение за то, что один из сотрудников отправил 10 000 записей с данными журналисту.

Или еще интереснее: webplanet.ru

Неизвестный доброжелатель «слил» 9-гигабайтный снимок базы данных фарма-партнёрки GlavMed анти-спамерам. База содержит все персональные данные и транзакции за три года по аффилиатам и конечным клиентам как собственно «ГлавМеда», так и его спамерского сателлита SpamIt.

Как заверяет журналист, данные выглядят весьма достоверно. Помимо прочего, в базе содержатся ники, номера ICQ, email-адреса и банковские реквизиты «некоторых наиболее отъявленных хакеров и спамеров Интернета». Всего в базе содержатся данные о более чем 2,500 партнеров «Главмеда».

А так же из материалов: http://ispdn.ru/

Прокуратурой Центрального района Волгограда и Управлением Роскомнадзора по Волгоградской области была проведена совместная проверка в целях рассмотрения обращения гражданина в отношении оператора, предоставляющего телекоммуникационные услуги, ЗАО «ЭР-Телеком Холдинг».

В ходе проверки было установлено нарушение требований части 1 статьи 6 Федерального закона «О персональных данных», выразившееся в незаконной передаче персональных данных для взыскания задолженности коллекторским агентствам, а именно передачи персональных данных без согласия физического лица. Прокуратурой в отношении ЗАО «ЭР-Телеком Холдинг» возбуждено административное производство по ст. 13.11. КоАП РФ, административный материал направлен в мировой суд.

Мировой суд признал виновным ЗАО «ЭР-Телеком Холдинг» в совершении административного правонарушения, предусмотренного ст. 13.11. КоАП РФ и назначил административное наказание в виде штрафа в размере 5000 рублей.

А теперь зададимся вопросом, почему же операторы персональных данных не боятся ответственности? На мой взгляд в данной ситуации дело в возможности реализации требований ФЗ-152 «О персональных данных» - операторами. А так же в несущественных, скорее даже символических суммах штрафов за неисполнение требований и конечно же бытовая российская лень.

С 2010 года приказом ФСТЭК были отменены два документа, обязывающие операторов принимать дорогостоящие меры к защите персональных данных — тоесть к проведению аттестации ИСПД.

Примечание :

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

У опероторов появилась возможность самим оценивать защищенность систем - проведя декларирование. Однако Декларирование, это форма подтверждения соответствия продукции требованиям технических регламентов. Что же получается? Оператор имеет право собственными силами, а главное бесплатно провести мероприятия по оценке защищенности ИСПДн и создать документ, подтверждающий защищенность системы.

Однако юридическая возможность такого подхода отсутствует ввиду отсутствия технического регламента. Но необходимость подтверждения соответствия систем защиты ИСПДн требованиям по безопасности никуда не исчезла. Она осталась и коварно выжедает дня Икс. А он известен — 1 июля 2011 года. На форуме http://ispdn.ru/ даже введен счетчик времени отсчитывающий время до оного момента.

Что же остается операторам? Вновь вернуться к мероприятиям по аттестации и привлечению третьей стороны — Лицензиата? На данный вопрос мы пока не получили ответа.

До сих пор идут споры — стоит ли проводить аттестацию Автоматизированных систем и Объекта информатизации согласно требованиям по безопасности конфиденциальной информации, если в организации обрабатываются персональные данные. Некоторые Лицензиаты отвечают на этот вопрос таким образом : Стоит, в силу того, что ПДн — относятся к конфиденциальной информации. Кто то имеет несколько иное мнение — стоит, в силу того, что иного метода подтверждения соответствия пока что нет. Что касается операторов, как я и говорил выше — многие считают что вопрос подтверждения соответствия решать еще рано.



В любом случае день Икс прояснит все интересующие стороны вопроса…

Кредит за который не нужно платить - как делаются деньги на доверчивых людях...



Некоторое время назад меня встревожил вопрос кредитных мошенничеств.

Время сейчас такое - зарплаты низкие, экономические перспективы туманны, о финансовой стабильности вообще не стоит говорить. Как бороться со сложившейся ситуацией? Кто работает на трех работах, кто оперирует валютными потоками на рынке форекс, а кто то успевает заработать на честных гражданах.

Банковская сфера - болото для новичков или обывателей, то есть людей не сведущих и простых. Что нужно обывателю от банка? Нужны быстрые денежные переводы, удобное обслуживание и конечно малопроцентные кредиты. Чем меньше процент, тем, естественно лучше.

Недавно я столкнулся с интересной ситуацией.

Ко мне обратился один знакомый, назовем его «С», со следующей драматической историей:

Некоторое время назад, уважаемый С находился в не лучшем жизненном положении и упорно искал кредит. Зарплата у С была не большая в размере 10 000 рублей, и соответственно в выдаче кредита С отказывали все банки, в которые он обращался. Однажды С увидел объявление на остановке о том что некий господин, назовем его «А», предлагает помощь в получении кредита, а так же в подготовке документов и выборе банка. Естественно С позвонил по номеру указанному в объявлении. Ему ответил мужской голос, сообщив что действительно С не ошибся и А осуществляет помощь в получении необходимого кредита но с особыми условиями. Узнав что у С низкая зарплата, А пообещал сделать ему новую трудовую книжку и в случае банковской проверки подтвердить наличие «сотрудника» в организации, указанной в новой трудовой. От С требовалось только явиться с паспортом на встречу, зайти в банк и получить свои деньги по запрошенному кредиту. Причем по словам А кредит не нужно было выплачивать!

Как объяснил А - данные по кредиту будут храниться во внутренней базе данных банка и не попадут более никуда. К тому же, для верности А сам проплатит по кредиту за два месяца, а затем информация из базы данных банка будет удалена. И за все это С должен А всего ничего — 70% от стоимости кредита. Много? Но ведь вам не придется за него платить вообще! - Уверял А моего знакомого. Подобные условия естественно насторожили С и он обратился за советом ко мне. После продолжительного разговора С принял решение отказаться от услуг господина А, и при следующем звонке сообщил ему эту новость.

Спустя несколько дней некто А сам позвонил моему знакомому и предложил несколько другие условия, сообщив что С так же не будет выплачивать кредит сам. Он должен будет выплатить только часть суммы за два месяца, а затем напишет заявление о потере работы и страховая компания, предоставляющая услуги по страховке кредита, с подачи А выплатит остаток за него. Уже имея небольшой опыт консультации С вновь обратился ко мне. После чего окончательно отказался от услуг А.

Я намеренно не раскрываю имен и фамилий, дабы не вызывать у читателей ненужных ассоциаций.

В чем соль данного вопроса? Если вам, уважаемый читатель поступило подобное предложение как некогда моему знакомому, знайте — это мошенничество. По чему ?

Во первых: Если вам предлагают «сделать» какой либо документ, к примеру ту же трудовую книжку — это называется подделка документов и квалифицируется как уголовно наказуемое преступление. А получение средств у банка по поддельным документам, так же преступление — мошенничество в (среднем, крупном, особо крупном) размере.

Во вторых: Информация о кредитозаемщике собираемая банком, а так же документы на кредит — попадает под определение конфиденциальная информация, а конкретнее: персональные данные и банковская тайна. Такую информацию требует защищать должным образом закон нашей страны. Соответственно в банке имеются копии подобных данных необходимые для восстановления информации в случае ее утраты. Так же банк отправляет часть выше указанной информации в единое Бюро кредитных историй. В это бюро обращаются банки чтобы удостовериться в надежности заемщика.

В третьих: Естественно банк страхует кредит, и выплата остатка страховой компанией в случае потери работы заемщиком — возможна. Но следует обратить внимание на то, что страховым компаниям не выгодно выплачивать чей то кредит. Соответственно страховая компания будет проводить расследование по данному вопросу. И проводить его будет, максимально подробно углубляясь в суть дела. Думаю не следует обозначать тот факт, что сотрудники страховой компании могут обратиться, а скорее всего обратятся в правоохранительные органы, налоговую, по месту жительства согласно паспортным данным и.т.д. Заметив малейший недочет в деле, страховая компания откажется выплачивать кредит за заемщика, и передаст дело в прокуратуру и в суд.

Из сказанного выше следует вывод: Не покупайтесь на уловки  мошенников, желающих нажиться на «не сведущих» обывателях. Не доверяйте тем, кто обещает золотые горы и всегда помните что Бесплатный сыр бывает только в Мышеловке!