воскресенье, 31 июля 2011 г.

Поправки в закон 152-ФЗ «О персональных данных». Последствия…

В наших правовых базах, в свободном доступе, появился текст Закона «О персональных данных». Долгое общение с юристами приучило меня к одному нехитрому правилу, если ты работаешь с текстами законов, то лучше их брать с правовых баз с актуальным обновлением. Достоинство этого подхода: ты четко понимаешь, что работаешь с действующей версией документа, можно посмотреть историю и любую из предыдущих версий, а так же статус документа. Поиск нужного адреса прост как апельсин: в яндексе набираем "152-ФЗ base" и на первых двух местах видим ссылки на Консультант-плюс и Гарант. В особо щекотливые моменты, проверяю по двум базам.

Теперь собственно о поправках. Справка о документе в Internet версии Консультанта:
Начало действия редакции - 27.07.2011.

пятница, 29 июля 2011 г.

Страшная правда про последний ДДОС на ЖЖ...

Благодаря ЖЖ-пользователю gunter-spb мы можем таки узнать все тяжелую и страшную правду о последней атаке на Livijournal.

вторник, 19 июля 2011 г.

О законодательных тупиках и Мегафоне часть 2

Получившийся диалог с Алексеем Волковым после моего комментария:
Здесь есть несколько важных для меня моментов:
1. При работе с партнерами за рубежом можно нарваться на трансграничную передачу просто отправив подтверждение только что полученных данных. На территории РФ это ПД и передавать за рубеж только по письменному согласию. Понятно, что бред, но прямое чтение оставляет только такие мысли.
2. В общем случае форма согласия может быть любая и только в определённых законом случаях письменная.
3. Нет ясности и не предвидится с ЛООПДППО.

Сокращения:
А.В. – Алексей Волков
Р.П. – Руслан Пермяков

А.В.: Вы оперируете понятиями законопроекта, поэтому на нем и остановимся. Если смотреть дословно, то понятия "обработчик" в нем тоже нет, есть ЛООПДППО, и поручение ему может выписать только другой ОПЕРАТОР, который определяет цели. Поскольку субъект оператором быть не может, т.к. не попадает под действие ЗоПД, то ни о каком поручении и ЛООПДППО речи быть не может. Тем не менее, сыграть в игру "я не оператор" все же стоит, исходя из определения оператора.

Статьей 9 пунктом 1 действительно предусмотрена любая форма. И все было бы хорошо, если бы не приписка "если иное не установлено федеральным законом". И этим же 152-ФЗ установлено только 2 формы: письменная и ЭЦП. Так что свобода автоматически ограничена: сможете найти ФЗ, который перебивает 152-ФЗ в отношении согласия, получаемого через интернет-форму - бодайтесь, Ваша возьмет. Не сможете - бесперспективняк.

Единственное, с чем можно согласиться, это, пожалуй, трансграничка, но и то, если текст отправленной СМС не отображается в истории при отслеживании на самом сайте. А он, насколько мне известно, отображается. Так что увы...

Кругом двойные толкования.
Р.П.:
Вообще-то в определении Оператора присутствуют магические слова "физические лица". ;) Про цели в определении не сказано не слова, это заявлено выше.
По пункту 4 статьи 6, где предусмотрено две формы согласия, я готов биться, что она возникает только в случаях "предусмотренных федеральным законом", а это закрытый список: общедоступные источники, специальные категории, биометрия, трансграничная передача, автоматические решения и все. В соответствующих статьях идет ссылка на форму. Это пройдет на 100%. Ак что во всех остальных случаях согласие может быть любым. Или я не в то место закона смотрю?
А история отображается за границу в отношении персданных полученных из-за границы. Если толковать на уровне движения пакетов, то трафик за бугор надо резать. ;) Короче здесь вроде как хорошо. Еще бы Царева на эту тему услышать. ;) А то я не юрист.
А.В.:
В "операторе" действительно есть определение "физического лица", но пункт 1 статьи 2 выводит физлиц, если они обрабатывают ПДн для личных и семейных нужд. Так что если доказать, что СМС была отправлена для личной нужды, то такой субъект - не оператор. Если для корпоративной или иной другой - то оператор. Во как :)

И как же про цели не сказано - статья 3 пункт 2: "а также определяющее цели обработки".

Внимательно читаем пункт 1 статьи 9. Согласие на обработку ПДн может быть дано ... в любой форме ... позволяющей подтвердить факт его получения ... если иное не установлено ФЗ. Вы ссылаетесь на пункт 4 статьи 9 (а не 6), и готовы биться, и я Вам скажу, что имеете право. Однако здесь опять двойное толкование - о чем идет речь в п. 1 ст. 9: о ФОРМЕ, а не о случаях. Готовы доказать обратное - велкам :)

А какая разница, откуда она получена? За границу передается - будьте любезны.
Р.П.:
Про трансграничную [передачу]: форму [web] отслеживания статуса править надо и все, не будет там ее [трансграничной передачи].

Про оператора: про цели [обработки] я имел в виду какие цели личные или общественные. ;)

Про форму [согласия], я вижу следующую цепочку: Есть определение формы [согласия] и оно открытое, есть прицеп в виде "если иное не установлено федеральным законом". Далее в Законе перечислены случаи когда это ограничение действует. Наши юристы говорят железобетонно.

О законодательных тупиках и Мегафоне

Алексей Волков проанализировал неплохо ситуацию с утечкой в Yandex sms абонентов Мегафона. Не смог удержаться и продублирую здесь свои комментарии.
Сам пост находится здесь и очень рекомендован к прочтению, дабы не "спорить о вкусе устриц с теми, кто их ел".

Мое мнение:
Остановлюсь на комментариях относительно новой версии. Источник взял у Александра Бондаренко здесь. Про ущерб, я с Вами полностью согласен и именно поэтому считал и считаю, что прошлая версия от первого чтения не работала бы. Теперь по пунктам.
В общем IMHO, у Мегафона основной косяк – нарушение статьи 7. Конфиденциальность персональных данных. А она коррелирует с законом «О связи» и как я слышал более тяжелое наказание поглощает менее и т.д. и т.п. Но в качестве разминки посмотри, что с персданными и как опуская вопрос утечки привести в соответствие.

Цитата
Теперь о том, какие меры обязан был принять оператор для обработки и защиты данных, передаваемых через веб-форму, в случае, если таковые являются не обезличенными. Во-первых, организационные: необходимо получить согласие на обработку ПДн с КАЖДОГО, кто отправляет данные через эту форму. Согласия абонента, номер которого указывается в поле "получатель", совершенно недостаточно, поскольку в теле сообщения могут быть не только его данные, но и данные отправителя, и вообще любых третьих лиц (которых надо уведомить).

Конечно, оператор может заявить, что он в данном случае не определяет целей обработки ПДн и выступает как сервис-провайдер, а цель определяют сами абоненты, отправляющие СМС, и что содержание ПДн в СМС и сопутствующая их обработка это не самоцель - но неизвестно, как на это отреагирует суд.
Конец цитаты

Ну, для начала бы я разыграл комедию под названием, а я не оператор. По определению в статье 3 оператор определяет состав ПД и цели обработки. В данном случае состав и цели определяет исключительно субъект, путем написания текста и определения круга лиц, кому этот текст будет доступен, а сюда очевидно включается и сам Мегафон и абоненты, которые указаны в поле получателя. Конечно, жаль что нет явного определения обработчик, но есть статья 6 п.3 и следующий 3. В данном случае Оператором является сам субъект ПД, но под действие закона он не попадает. Тут интереснее что, мы в Операторы записываем самого абонента, и судебные перспективы уже не такие туманные. Определения жесткие, вывод субъекта из под закона то же жесткий.
Косить под сервис провайдера я бы не стал, а вот в обработчики записался бы. ;)
А далее есть п 4. статьи 6 об ответственности оператора перед субъектом, вот пусть сам субъект и отвечает перед собой. ;)
Вообще п.3 статьи 6 (первый который) крайне интересен в этой ситуации, например "… В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона…"
Всего этого насколько я понимаю указано, не было и с обработчика принявшего разумные меры спрос не велик. С субъекта-оператора то же нет.

Цитата
Cделать ПДн, отправляемые через веб-сайт общедоступными может только сам субъект, и оператор должен доказать, что у него есть основания это полагать и обрабатывать их без согласия субъекта, которое может быть либо письменным, либо с ЭЦП.
Конец цитаты

Как я понимаю, Вы считаете, что в новой редакции согласие может быть только письменное (или электронное с ЭП), но как тогда трактовать Статью 9 ч. 1 Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.? Форма согласия явно не письменная или приравненная к ней.
Насколько я понимаю, исчезло понятие общедоступные ПД, а появилось "Общедоступные источники персональных данных" (статья 8). Здесь интересный момент получается, фишка используемая операторами для отказа от создания СЗИ в виде письменного согласия с категорированием ПД субъекта как общедоступные ПД приказала долго жить, поскольку ПД, так и остаются ПД, только теперь крутиться могут в общедоступных местах. Форма отправки SMS ни как не тянет на общедоступный источник. Так что это ни при каких обстоятельствах общедоступные ПД. А формой согласия может быть и чекбокс, при условии, что дальше без него не пройти. По крайней я на такой позиции готов бодаться. IMHO.

Цитата
Сюда же "приплетается" трансграничная передача ПДн (доступ к форме возможен из-за рубежа) со всеми вытекающими.
Конец цитаты

С трансграничной передачей, то же для меня не все прозрачно. Исходя из прямого прочтения статьи 12 нас интересует только передача из России, а в случае доступа к форме из-за рубежа происходит передача в Россию. Случай нахождения абонента за рубежом попадает под действие другой части системы и к рассматриваемой web форме отношения не имеет. Так что трансграничную передачу, при случае я бы то же отмел. ;)

понедельник, 18 июля 2011 г.

XSS в Skype

Наткнулся разбирая ленту новостей, думаю нужно знать многим:

Недостаточная фильтрация информации из поля с номером мобильного телефона позволяет внедрить туда код на javascript, который будет выполняться при каждом логине пользователя, добавившего этот контакт к себе. Последствия - от перехвата сессии и смены пароля до получения контроля над компьютером жертвы.
Взято здесь.

Что будет пониматься под информационной безопасностью в ближайшем будущем?

К сожалению, я не футуролог, но попробую написать мысли возникшие благодаря дискуссиям с коллегами на тему, на сколько современные требования предъявляются к системам защиты информации в России и Европе.
Ни для кого не секрет, что мы живем в меняющемся мире. Некоторые философы считают, что переход к информационному обществу уже практически завершен и перед специалистами IT индустрии стоят задачи, уже общечеловеческой значимости.
Недавно мне задали вопрос: а как меняется защита информации в связи с возникновением нового общественного устройства? Я думаю, что последние события, связанные с законом о персональных данных хорошо отражают кризис в IT отрасли.
Давайте представим ближайшее будущее, допустим лет через двадцать пять. Этот отрезок времени интересен тем, что тогда будут активной общественной силой сегодняшние 3-7 летние дети. Жизнь большинства которых будет иметь наиболее полное отражение в Сети, начиная от заметок родителей во сколько и где родился, какого веса, когда и какие детские болезни с ребенком приключались, в какой садик и почему отдали ребенка, была ли няня и где отдыхали летом и кончая личными страничками в социальных сетях школьного и послешкольного периода, участие индивидуума в различных сетевых сообществах и личные блоги.
С позиции сегодняшнего дня довольно сложно представить как этот, уже свершавшийся факт, повлияет на общественную жизнь в 30-40х годах XXI века. Фактически общество сможет проследить жизнь и становление индивидуума, смену его взглядов и жизненных позиций. Не стоит забывать о развитии поисковых механизмов, позволяющих уже сегодня получать интересующую информацию с высокой эффективностью.
В этом случае обязательно претерпит само понятие компромат. Фактически исчезнет понятие "публичный человек" точнее "публичными людьми" станут все. При таком информационном присутствии людей и компаний в Internet выловить неизвестные факты будет почти невозможно. Соответственно может получить развитие направление по созданию "новых информационных реальностей" – создание не существовавших ранее в Internet фактов, которые не имеют отношение к действительности и после определенных манипуляций станут частью истории.
Как следствие изменится круг задач решаемых дисциплиной "защита информации" или "информационная безопасность". Первые ростки будущего видны уже сейчас. Например, для меня, очевидным следствием повсеместного перехода на электронный документооборот является смещение внимания специалистов по безопасности в область решений надежного хранения информационных ресурсов. Из разговоров с руководителями крупных компаний становится ясно, что высокие требования к непрерывности информационного сопровождения бизнес-процессов не приносят ожидаемых дивидендов, исключением являются связисты и собственно IT компании.
Надо понимать, что наем сотрудника с полным профилем в сети однозначно будет определять интересы компании и ее перспективные направления. Утечкой перспективных планов может стать простая визитка с именем и фамилией и названием компании. Как следствие будет трансформировано понятие "конфиденциальность".
Кстати относительно последние версии мировых стандартов, рекомендаций и практик уже прилагают существенные усилия к выравниванию весов критериев "целостность-доступность-конфиденциальность". В то же время утвержденные РД в России устанавливают приоритет за конфиденциальностью. Думаю это ключевое отставание в понимании процессов в IT, которое ведет к ошибкам в законотворческой деятельности. IMHO надо уходить от приоритета конфиденциальности, по крайней мере в разделе персональных данных, и многие вопросы будут сняты.

среда, 13 июля 2011 г.

Роль специалиста при защите информации

Довольно часто меня спрашивают: почему вообще возникает вопрос о наличии какой-то лицензии при защите персональных данных внутри организации?
Опуская вопрос о том, что считать собственными нуждами и что делать когда у нас на руках десяток ЗАО-ООО выполняющих узкоспециальные задачи, попробуем понять зачем нужен профильный специалист по защите информации. 
Начну из далека - 94-ФЗ, а именно электронных аукционов. Совсем недавно ко мне обратилась фирма, которая выиграла аукцион, их полностью устраивали условия контракта и цена, но не смогла подписать контракт из-за технической ошибки и сейчас она (фирма) находится в списке недобросовестных поставщиков, потерянным обеспечением аукциона в электронной форме и непонятными перспективами самого контракта. Реализация рисков, как говорится, на лицо.
После недолгих переговоров по телефону я понял, что произошла тривиальная вещь - ушел в отпуск обученный специалист по аукционам в электронной форме. Девушка отработала все шаги включая саму процедуру торгов и поле этого передала процесс назначенному заместителю, который в 94-ФЗ разбирается, скажем так, не полностью. Инструкции звучали примерно так: через несколь дней нам пришлют контракт, который надо проверить, подписать электронной подписью и отправить на электронную площадку. Все было вроде бы понятно, только человек ждал письмо на ящик корпоративной электронной почты, а не проверял ящик на площадке. В результате пропустил срок подписания контракта (о котором не знал) и принес убытки фирме и не понятные перспективы специалисту по госзакупкам, т.к. фирме грозит мораторий на госзакупки на 3 года. 
К чему рассказ? Объем знаний связанных с процедурой аукциона в электронной форме укладывается в 4-7 часовой тренинг. Объем нормативной документации касающийся самой процедуры аукциона составляет 22 страницы формата А4, а сам закон – 115. При этом, в отличии от 152-го, нет подзаконных актов, регламентов контролеров, смежного законодательства, вносящего существенные коррективы и прочего, прочего, прочего. Структура рельсовая, сворачивать некуда, каждый этап прописан соответствующей статьей. И в этой, идеальной ситуации, ответственный специалист не справляется с возложенной на него задачей. И Вы хотите, что бы Ваш кадровик, за 5-7 часов осознал бы проблему защиты информации, отрасль ИТ в целом и смог принимать хоть сколько-то обоснованные решения?
Осведомленность в вопросах информационной безопасности подавляющего числа системных администраторов оставляет желать лучшего. До сих пор встречаются представители, которым необходимо доказывать необходимость наличия антивируса на серверах. Я уже не говорю о дискуссиях, о необходимости пускать трафик закрытых разделов корпоративных порталов по https. Есть не одно весьма печальное исследование о стойкости паролях административных аккаунтов.
Уверен, что требование наличия лицензии на ТЗКИ в современной редакции избыточно, но наличие, как минимум одного специалиста по защите информации необходимо. Или организации надо задуматься об Outsoursing информационной безопасности у лицензиата.

пятница, 8 июля 2011 г.

Сапоги тачать пирожник...

По следам последних событий. Последней каплей, стало это:
"Правда, как только всплывает термин "сертифицированные средства криптографической защиты информации (СКЗИ)", то, как заметили участники дискуссии, о доверии к ним со стороны владельца данных можно забыть..." взято от сюда.

Итак, опуская какую либо оценку с точки зрения технической эффективности, юридической правильности и этической верности любых законопроектов и решений. Я хочу задать ровно один вопрос: Блин, а что происходит у нас в стране?

1. Появились новые регуляторы в защите информации: Центробанк, Роскомнадзор... При этом ФСБ и ФСТЭК чуть не отстранили от вопроса защиты информации. Первый, кто скажет, что это девочка что ПД не информация может кинуть в меня камень.
2. Кто помнит ФЗ о противодействии финансированию терроризма? Банки как элемент правоохранительной системы? А нет законопроекта о переводе банков с состав МВД или лучше в ФСБ? "добрый день, я начальник кредитования, майор ФСБ Сколов" - IMHO звучит.
3. Эксперты по защите информации отстаивают возможность не защищать информацию. Я про открытое письмо. ;) Я думал, что пчелы не могут выступать против меда. ;)
4. Сертифицированные средства шифрования не вызывают доверия у системных администраторов. И это при том что ГОСТ еще толком не взломали, а средний сисадмин в защите информации разбирается примерно так же как я в балансировке нагрузки кластера. Т.е. говорить могу до вечера - а смысла будет на уровне обсуждения характеристик сферического коня в вакууме.
5. Журналисты выступают за применение и ужесточение статьи УК за незаконный сбор информации. Опять пчелы против меда...
6. ОБЭП охраняет авторские права. Копирование файла по тяжести сопоставимо с изнасилованием. Вася Пупкин из деревни Мухосранск установил себе в коровник компьютер с пиратской ОС, чем нанес компании миллиардный убыток, вызвал третью волну мирового кризиса, а потом и третью мировую войну, а если выживут юристы и первую межгалактическую. Блин коровник страшное место. Роль ОБЭП при взгляде с этой точки зрения сильно меняется. На страже галактического мира, не иначе.
Я уже молчу про список "напитков содержащих спирт и не являющихся алкоголем" и наркотик "петрушка курчавая".
Я к тому, что я не понимаю, почему важные социальные вопросы не поднимают люди, которые должны это делать. Где правозащитники в ПД? Почему этим должны заниматься люди, которым ошибки законодательства облегчают жизнь? Где милиция полиция, ОБЭП в противодействии финансирования терроризму? Где защитники информации в борьбе с незаконным сбором информации и ужесточении соответствующей статьи УК и в борьбе за авторское право? Список таких вопросов бесконечен. Результат за окном.
При этом спасибо, людям для которых, правда важнее кошелька, сам такой.

вторник, 5 июля 2011 г.

Законопроект Резника. Финал?

Завтра, 5 июля, ГД рассмотрит в третьем чтении законопроект Резника, и этот театр абсурда уйдет на антракт. Насколько я понимаю настроение коллег (Евгений Царев , Алексей Волков , Алексей Лукацкий), мы сможем наблюдать продолжение в виде, как минимум, в виде открытого письма Президенту.
С моей точки зрения накал страстей не соответствует предмету.
Во-первых, как уже неоднократно говорилось, в современном мире privacy не существует. Тезис очевиден и вытекает из простого взгляда на развитие Internet.
Во-вторых, у меня есть абсолютная уверенность, что после принятия поправок в предыдущей версии Закон позволил бы игнорировать вопрос безопасности персональных данных. Механизм компенсации вреда субъекту в России пока не работает.
В-третьих, тема защиты персональных данных сейчас в нашей стране не актуальна. Субъекты не обеспокоены, рынка нет, оператор не несет ответственности, пока. Закон явно опережает время поднимая этот вопрос.

Если все это собрать в одну кучу становится понятным, почему необходимы были последние правки с точки зрения обеспечения действия Закона.
Комментировать вносимые изменения не буду, пока законопроект не будет принят. Глядя на его историю все может быть…

UPD: Как и ожидалось законопроект приняли. Чудес и неожиданностей не случилось. Ждем решения Совет Федерации и Президента.

UPD2: Опубликовано открытое письмо Президенту. Подписали Бондаренко Александр, Волков Алексей, Лукацкий Алексей, Токаренко Александр, Царев Евгений. Сбор подписей продолжается в комментах соответствующих журналов тут, тут, тут, тут, тут.

суббота, 2 июля 2011 г.

Законопроект Резника. Покой нам только снится…

Вчера, 1 июля, законопроект прошел второе чтение. По информации Евгения Царева принимали не больше минуты. Понять дальнейшую судьбу законопроекта сейчас сложно, но есть некоторая вероятность, что решится в эту сессию. Есть заседания, назначенные на 5, 6, и 8 июля. Запасаемся попкорном.