29 июля 2011 г.

Выполнение требований ФЗ-152 предприятиями, ведущими бизнес в Интернете

В последние дни, и, не в последнюю очередь, в связи с продолжающимися дискуссиями вокруг поисковиков, в наше агентство от предприятий, ведущих бизнес в Интернете (Интернет-торговля, прием заказов, информационные услуги и др.) поступает большое количество вопросов, связанных с соответствием требованиям ФЗ-152 «О персональных данных» и внесенными в него ФЗ-261 от 27.07.11 изменениями.
Для заинтересованных 23 августа компанией «Код Безопасности» будет проводиться вебинар, в котором приму участие и я в качестве эксперта Консалтингового агентства «Емельянников, Попова и партнеры» J. Особое внимание в презентации будет уделено сложным проблемам достижения соответствия ФЗ-152 в интернет-магазинах и действиям, которые предприятиям электронного бизнеса необходимо предпринять, чтобы минимизировать риски предъявления санкций со стороны госрегуляторов и при этом не понести чрезмерных затрат.
Участие в вебинаре бесплатное, но по предварительной записи. Участникам вебинара будет предоставлена возможность задать вопросы экспертам. Более подробная информация о вебинаре - здесь.

27 июля 2011 г.

С днем рожденья, крошка!

Сегодня нашему любимчику, нашему enfant terrible, нашей надежде и нашему разочарованию исполнилось 5 лет. Он уже очень большой и взрослый для того мира, в котором должен жить. Но никак таковым стать не может.
Он трудно рождался. Европейская мама к моменту рождения была уже совсем не в юном возрасте, а российские папы так торопились, что не до качества было. Да еще повитухи-акушеры при родах, как обычно, накосячили. В результате главный по экстракорпоральным делам даже и не признал новорожденного.
У крошки с самого рождения все пошло не так. Болезни были разные. Наследственные, из-за возраста европейской мамы, чтобы ей было хорошо. Родовые травмы, которые при рождении ему подобных у нас обеспечены, поскольку в последнюю минуту почти всегда приходят доктора и много чего советуют, потряхивая для убедительности тем, что у кого есть – кошельком, дубинкой, или тем, что Иван Иванович сказал - вот акушеры в спешке и косячат. Благоприобретенные, поскольку дяди и тети, которым крошку поручили воспитывать, придумывают свои правила, травмирующие психику новорожденного и приводящие к сколиозу, энурезу и анорексии. Причем одновременно.       
А ведь как на крошку надеялись! Родители обещали, что он, как подрастет, станет опорой и защитой всем нашим согражданам,  особенно тем, про которых нехорошие дяди и тети как чего узнают, так другим сразу и рассказывают. А вот крошка пошлет к нехорошим своих подчиненных (а младенцу их пообещали, аж трех сразу), и они этих самых нехороших крепко отшлепают. Да еще потом отведут к строгим дядям и тетям, которые знают страшные заклинания КоАП и УК, так они нехорошим еще и добавят.
Как у нас водится, 180 дней после рождения крошка сидел себе тихо, потому что всем, у кого есть компьютер, а в нем – имена и фамилии других дядь и теть, приказали к приходу крошки тщательно подготовиться, чтобы, когда его выведут в свет, он сразу не обиделся и не испугался. Но к его приходу никто готовиться не хотел, новые распашоночки-сосочки не покупал, потому как дорого и в хозяйстве не нужно, да еще и штампик ОТК отребуется. А про чужих дядей и тетей они и так никому ничего не рассказывали.
Правда, были всякие злодеи, они на рынках к тому времени вовсю чужими данными торговали, но до нынешнего года их никто из строгих воспитателей признать в лицо не мог, того, чем они торгуют, не замечал и потому не трогал.
Аккурат в канун первого выхода крохи в свет, на Инфофоруме-2007 собрались всякие умники. Хорошие говорили, что кроха, хоть немного и кривовата, но хороша, а плохие пыхтели зло и твердили, что малыш дел понаделает, если его из кроватки выпустить – мало не покажется. И не верили, что вырастет он здоровым и крепеньким.
Воспитатели, глядя на прогрессирующие болезни, тоже головы чесали и пару раз передумали малыша выпускать, говорили, что не время, так только издали и показывали. Сначала годик дома подержали, потом еще полгодика. Ну, пока он там сил набирался, ему одежку подправляли.
Перепись там некстати подоспела, сказали, что малышу рано пока ею интересоваться – не детское это занятие, не дозрел. Судебным приставам делом своим государевым надо было заниматься, а крошка пальчиком грозил и говорил «нельзя». Ну, так придумали ему срочно братика – он сказал, что государевым слугам все можно. Судьям тоже не надо мешать свое дело делать – еще один братик появился. А про дядь и теть, про которых нехорошие их соседи сплетни разводят, так все и недосуг было вспомнить.
Пока малыш рос, воспитатели, которым его доверили, все новые правила поведения придумывали, и все на кроху ссылались. Правда, правила выходили как-то не очень статные, приходилось их время от времени менять, потому как вокруг все возмущались, в Думу челобитные носили, Самому Главному жаловались.
Малыша немного все-таки боялись, хотя и признаваться в этом не хотели. Придумывали правила, как его не обидеть – в банках там, у операторов связи, в больничках и даже в детских садиках. Потому как главные прокуроры разрешили посмотреть, как малышова воля выполняется везде, даже в средней школе на Камчатке (почему-то еще и пожарников для этого решили позвать), лицее в Туве и техникуме в Кирове и, страшно сказать, у одной воспитательской дочки в Оренбурге.
И вот к самому этому пятому дню рождения и родители, и Самый Главный наказали имениннику новый костюмчик сшить. Известный модельер к тому времени как раз свой фасончик модельный предложил. И вправду весь такой европейский, либеральный, к тому же в носке дешевый и не требовательный. Но модельер – это креативщик, а шить-то портным. Портные долго спорили, старались, как могли, но лекала у всех разные были.
С фурнитурой вообще конфуз вышел. Специалист по экстракорпоральным делам из Европы самую модную привез, говорил, что даже там ее еще не все носят, и костюмчик с ней прям на подиум получится. Но, вот незадача, пуговок новых оказалось мало, с кроем - совсем проблема, рукавчики и брючки где укоротили, а где удлинили. Получился костюмчик хотя и новый, с прибамбасами,  но из материальчика почему-то старого, за пять лет местами изрядно потертого. И ходить в нем к обиженным сплетнями гражданам совсем неудобно.
Но за пошивом про самого-то кроху-то все и забыли, а он тем временем 1 июля отправился сам по себе гулять, по сторонам строго посматривая. Тут же, как на грех, почему-то все, у кого про чужих дядь и теть много чего было записано, в три дня опростоволосились, про хулигана robots.txt (имя-то какое неказистое!) забыли, и на большой, на всю страну, доске объявлений один дядя (спорят теперь, хороший или нет) про этих других дядей и тетей несчастных написал.  И про то, кого они любят, а кого нет, и что они для этой любви своей в магазинах покупают, и куда потом с любимыми и купленным на поездах добираются. Вот прямо в три дня все и случилось.
И стало всем ясно, что без крохи теперь никуда. А чего он сам пока про защиту обездоленных и несчастных не знает, его воспитатели, как обычно, за него и придумают. Наверное, за три месяца.
Посмотрел на это Самый Главный и махнул то ли рукой, то ли пером – отдайте малышу его новый костюмчик, пусть в люди в нем выходит, раз уж другого не сшили.
С днем рождения, крошка! С новым костюмчиком!
А вас всех с пятилетием ФЗ-152 «О персональных данных».
Засучим рукава, подтянем животы, выдохнем … и пойдем работать. Малыш строгий, а вдруг лютовать начнет?

25 июля 2011 г.

Еще раз про персональные данные в образовательных учреждениях


Предвижу возможные вопросы по поводу публикуемой ниже статьи. В течение длительного времени я критиковал, недоумевал и возмущался ФЗ-152 «О персональных данных», а теперь рассказываю, что конкретно делать, чтобы его выполнить, отвечая на многочисленные запросы специалистов образовательных учреждений, т.е. организаций, для которых достижение соответствия требованиям нормативных документов является сложнейшей задачей ввиду простой причины – недостатка средств для выполнения работ.

Отвечаю всем сразу. Закон плохой, его надо стараться изменить. Но выполнять надо все действующие законы. Хорошие и плохие. Всем без исключения.  В каждой второй моей презентации: “Dura lex sed lex”– «Закон суров, но это закон».  Иначе – евсюковы, прокурорская «крыша» и пригодная к эксплуатация в любых условиях «Булгария».

Консалтинговое агентство «Емельянников, Попова и партнеры» в меру сил и способностей пытается помочь выполнить закон, позволяя своим клиентам не тратить лишнего и не входить в противоречие со здравым смыслом. Мы честно и профессионально делаем свою работу, но и изменить ситуацию с законом мы тоже хотим. Поэтому и появляются такие статьи.

PC Week/RE
Открыть материалПерсональные данные в образовательных учреждениях: сложно, но возможно!
Позади дата 1 июля, а значит, все информационные системы должны быть приведены в соответствие требованиям федерального …
Открыть материал

20 июля 2011 г.

Информационная безопасность в ретро-стиле

Наиболее горячие споры вокруг новой редакции ФЗ-152 постепенно сводятся к очевидным: сертификация средств защиты информации, лицензирование деятельности в области технической защиты информации и оценка выполнения требований. Вспомнил, что еще 11 лет назад по этому поводу я высказывался, и говорил именно о тех проблемах, которые вновь активно обсуждаются.
С большим трудом была найдена в Интернете моя статья, опубликованная еще в январе 2000 года в популярном тогда журнале «Конфидент» с длинным названием: «Частушки о сертификации и лицензировании в области защиты информации, не составляющей государственной тайны» (см. ниже). Перечитал. Поменялись законы – нет уже приснопамятного «О сертификации продукции и услуг», давно действует ФЗ-184 «О техническом регулировании», в ноябре вступает в силу новый закон ФЗ-99 «О лицензировании…». Какие-то ведомства почили в бозе, какие-то получили новые названия. А все проблемы, о которых писалось – остались!
Оказалось, что я и сейчас могу смело подписаться под любыми словами своей статьи, столь давней, особенно по меркам информационной безопасности. Согласитесь, 11 лет для нашей отрасли – это целая эпоха. За одним исключением. Тогда, в отсутствие ФЗ «О персональных данных», я наивно считал, что установление государством правил защиты персональных данных и применение для этого сертифицированных средств вполне приемлемы. Ну никак я не мог предполагать, что под эту категорию сведений попадет абсолютно все, что можно отнести к конкретному человеку, а операторами станут все организации и индивидуальные предприниматели, у которых есть компьютер и учет личного состава в нем! И даже те, где такого компьютера нет. Каюсь, на это фантазии мне не хватило.
Грустно. 11 лет прошло, а как будто ничего и не изменилось. Сколько всего принято, введено в действие, написано. А воз и ныне там. Не всегда история развивается по спирали. 
емельянников частушки 1_2000

18 июля 2011 г.

АРБ о подмене боярами грамоты

Сегодня на сайте Ассоциации российских банков за подписью ее президента Г.А.Тосуняна опубликовано письмо Президенту Российской Федерации Д.А.Медведеву с просьбой отклонить новую редакцию закона «О персональных данных», принятую в трех чтениях Государственной Думой и 13 июля одобренную Советом Федерации.  К письму без дополнительных комментариев прилагаются два различных текста статьи 19 ФЗ-152: первый - подготовленный по поручению Председателя Правительства РФ и согласованный с участниками рынка, и второй - фактически принятый Думой.
Крупнейшая лоббистская структура кредитно-финансовой системы нашей страны говорит о подмене на последнем этапе документа, ставшего плодом многомесячного тяжелого согласования между органами власти и представителями бизнеса.
Президент АРБ обращает внимание на то, что «в Законе № 152-ФЗ сохранены положения, применение которых вызывает самые значительные возражения со стороны субъектов рынка и дальнейшая реализация которых повлечет несоразмерные поставленным целям затраты и издержки для всех субъектов Закона № 152-ФЗ как государственных органов, так и юридических лиц. Данная модель регулирования, в противовес изложенной выше, содержит явные недостатки, которые на практике могут повлечь серьезные проблемы для участников обработки персональных данных».
Особую озабоченность банковского сообщества справедливо вызывает исключение из закона возможности применения отраслевых моделей регулирования, что приведет к неопределенности в части использования стандартов Банка России в области информационной безопасности (СТО БР ИББС) и разработанных в их рамках отраслевых рекомендаций по защите персональных данных.
Внимание Президента страны обращается также и на неочевидный порядок контроля и надзора за соблюдением законодательства в области персональных данных для коммерческих, в том числе для кредитно-финансовых организаций, на что обращал внимание после второго чтения и Ваш покорный слуга.
Что ж, у детектива может появится новая серия. А может и не появиться. Но вот обвинения в истерии, паникерстве и покушении на глобальные интересы России, которые предъявлялись подписантам открытого письма Президенту России и примкнувшим к ним экспертам, после однозначной реакции Торгово-промышленной палаты и АРБ предъявлять будет трудно. Соревнование перешло в другую весовую категорию.

15 июля 2011 г.

Мой скромный вклад в новую программу MTC по поиску альфа-самцов

Пока все были так увлечены обсуждением новой редакции ФЗ-152, жизнь текла своим чередом. Закон жил своей изменчивой жизнью, а операторы персональных данных – своей.
Еще 7 июня «Мобильные телесистемы» опубликовали пресс-релиз «МТС анализирует социальные связи абонентов». Хотел его прокомментировать сразу, но за обсуждением ФЗ-152 не нашел времени. Оказывается, это к лучшему. Потому что на МТС я сначала обиделся. Будучи вот уже более 10 лет ее клиентом, я наивно полагал, что целью обработки моих персональных данных является предоставление мне услуг связи и их тарификация с целью получения соответствующих платежей. Согласие на директ-маркетинг я вроде бы не давал, правда, спамит меня оператор активно, но, подозреваю, что в каком-нибудь МТС-Бонусе или еще где были маленькие буковки о моем согласии на что-то, которых я из-за близорукости не заметил, поэтому не обижаюсь.
Но вот директор «МТС Россия» Александр Поповский неприятно удивил, сообщив, что компания проводит анализ социальных сетей «на основе сбора информации о контактах между клиентами, что позволит дифференцировать абонентскую базу для выявления клиентов МТС, максимально влияющих на распространение услуг среди своих постоянных контактов». Т.е. тщательно следит за тем, кто, кому, сколько и с использованием каких SIM-карт названивает, а на основании этого определяет социальные группы абонентов, выявляет лидеров, последователей и других членов в рамках социальных групп, и, в конечном итоге, «вовлекает абонентов в потребление сервисов».
Я как-то считал, что ст.15 ФЗ-152 «О персональных данных» и закон «О защите прав потребителей» на это смотрят иначе. Уверения МТС в том, что персональные данные абонентов не будут обрабатываться системой Social Network Analysis (SNA), а система будет использовать лишь информацию о телефонных звонках выглядят неубедительно, потому что это звонки конкретных абонентов, с которыми потом явно предполагается вести конкретную работу, в частности, предложить лучшим из лучших 20% скидки на звонки в течение 6 месяцев. Добивает намерение МТС использовать результаты этого анализа для гибкого управления параметрами социальных групп, нахождения скрытых взаимосвязей и зависимостей между абонентами, что без использования их персональных данных уж точно невозможно.
А от обиды меня избавил портал Cnews, назвавший свой комментарий по этому поводу так: «МТС выявит среди своих абонентов «альфа-самцов»». Будучи абонентом скромным и посчитав, что по этому критерию к объектам исследований в рамках SNA меня вряд ли отнесут, я решил родному оператору помочь.
Находясь недавно в служебной поездке на Борнео, в свободное от работы время, я нашел там важных с точки зрения программы SNA потенциальных клиентов МТС, представляющих три наиболее многочисленные в лесах Борнео социальные группы, практически не связанные в силу ряда причин между собой. Они удовлетворяют всем заявленным критериям: явные альфа-самцы, со страшной силой влияют на распространение разных услуг именно среди своих контактов (сам видел, они на меня даже внимания не обращали), у них масса последователей и, уж будьте уверены, они последуют за альфа-самцами куда угодно (пуcть только попробуют отказаться, тоже видел, что тогда бывает). Их портреты – ниже.

За дальнейшей информацией заинтересованным менеджерам можно обращаться ко мне в личку. Ведь дело идет, как считает МТС, о бизнесе в 25 миллионов долларов год. Тут уж не до публичных размещений.

13 июля 2011 г.

О письме Президенту о новом ФЗ-152 и его критиках

Портал «Бестселлеры ИТ-рынка» попросил прокомментировать открытое письмо Президенту по поводу новой редакции ФЗ-152. Учитывая, что я делал это неоднократно за последнее время на самых разных ресурсах, решил выложить и здесь, поскольку  Совет Федерации закон одобрил, шансов на его отвод Президентом – практически никаких (письмо отправлено чиновником администрации в Минкомсвязи), и надо начинать жить в новых условиях.
Самая популярная тема комментариев к открытому письму экспертов Президенту с просьбой не подписывать новую редакцию ФЗ «О персональных данных» (http://www.itbestsellers.ru/news/detail.php?ID=18394) - пчелы против меда. Вторая по популярности – а кто это такие и от чьего имени взяли на себя право говорить? И третья – бездельники, не желающие работать и выполнять закон, челом бьют, чтобы их проблемами не грузили.
Я говорю именно о «комментаторах», а не о сотнях специалистов, которые не только поддержали письмо, но и направили его по адресу kremlin.ru со своей подписью. Будучи в числе поддержавших и отправивших, позволю себе прокомментировать комментарии и я.
Пчелы действительно выступили против меда, потому что мед – неправильный. И они об этом жужжали все годы действия ФЗ-152. И вкус его лучше от поправки к поправке не становится. Об этом – чуть подробнее и чуть ниже.
Кто такие и кто дал право выступать? Специалисты, эксперты, практики. И никто нам-им никакого права давать не должен. Оно есть в Конституции. И никто из них и не писал от имени народа. Ни к чему это, потому что у народа по этому поводу никакого мнения нет и быть не может. Оно есть у конкретных людей, иногда – их объединений. Слава Богу, времена тотального единодушия и коллективного мнения правящего класса прошли, как бы и кому бы не хотелось его вернуть. Кстати, подписанты и присоединившиеся вовсе не предполагали единодушного одобрения, и критика «с другой стороны» воспринимается абсолютно адекватно, даже если за ней – явное стремление заработать на очередном ляпе законодателей.
И, наконец, про бездельников. Авторы письма и поддержавшие его делятся на две большие и неравные группы. Большая – это практики из служб информационной безопасности, уставшие от четырех лет ожидания проверок по постоянно меняющимся правилам и попыток скрестить ужа с ежом для огораживания персональных данных колючей проволокой сертифицированных средств, нейтрализующих самые современные угрозы, про которые в руководящих и нормативно-методических документах регуляторов нет ни слова. Меньшая – эксперты из компаний, зарабатывающих на ИБ. Никого, кстати, за подрыв родного бизнеса вроде бы как пока не выгнали. Я тоже причисляю себя к этой части и хотел откровенно сказать: настоящий эксперт заработает на жизнь - себе и компании - на прибыль при любом законе, как хорошем, так и плохом.
И про бездельников еще. Среди баз, продающихся на рынках, нет тех, которые защищают эти бездельники. Но зато масса – «утекших» из органов власти – МВД (вплоть до федерального розыска), ФМС (про паспорта), органов регистрации (про недвижимость) и т.д.. Может, поискать причины неисполнения закона там, а не обвинять голословно тех, кто честно делает свое дело?
Ну, и в заключение – про неправильный мед.
В новом законе добавились правильные слова, кое-что стало лучше. Авторы гордятся тем, что туда перетекли новейшие формулировки из проектов международных стандартов и новой, еще не принятой, европейской директивы. Это хорошо. Но переносить отдельные фрагменты их хороших документов в плохие – очень опасно. Это все равно, что в конституции планеты Плюк написать, что все чатлане и пацаки равны и имеют равные права, а в уголовном кодексе – что данное положение распространяется только на владельцев желтых и, с определенными ограничениями, - красных штанов, а попытка примерить эти права к себе любого пацака карается аннигиляцией на месте преступления.
Статьи 18прим, 19 и 22 запутали специалистов окончательно. Сначала идут рекомендации,  потом – слова про обязательность их выполнения и представления подтверждения выполнения по первому чиху уполномоченного органа. В перспективе - полный разгул произвола и игнорирование принципов защиты прав проверяемых в рамках госконтроля и надзора юрлиц и индивидуальных предпринимателей, допускавших проверку только обязательных требований, а вовсе не рекомендаций.
Наконец, о том, что очень сильно огорчило. В критике подписантов настойчиво используется расстрельная риторика, слова про военное время и фронты. В стране, граждане которой за всю свою историю настрадались от произвола и обесценивания собственной жизни, мне это кажется совсем неуместным. Какие расстрелы? Кого? У нас война? Тогда кто с кем воюет? Давайте будем терпимее.

Одобрили, куда же он денется...

Первая информация о пленарном заседании Совета Федерации долетела от Алексея ВолковаФЗ-152 в новой редакции одобрен. С дискуссией на 25 минут, с которой повезло не многим проектам. Почти всем проект, конечно, понравился, ну, может быть, кроме ожидаемого Ильи Пономарева. Что порадовало - мысль "давайте писать, говорить, убеждать" была правильной. Есть протокольное поручение оценить расходы и найти средства в бюджете - что уже хорошо и интересно. Вечером выложу мои комментарии по поводу критиков "подписантов" письма Президенту.

11 июля 2011 г.

По дороге с облаками?

Тема облачных вычислений постепенно стала номером 1 для ИТ-сообщества, оттеснив на задний план виртуализацию, катастрофоустойчивость и непрерывность, не говоря уж о возврате инвестиций и совокупной стоимости владения. По оценке IDC – это одно из самых динамичных направлений развития информационных технологий, с предполагаемыми темпами роста 45,5% в год до 2015 г.
Главный архитектор российского лидера облачных технологий – компания Parallels (см. РБК) оптимистично оценивает рынок SaaS через 20 лет в 1 млрд. долларов. Преимущества очевидны – не нужно серверное оборудование и персонал, всё, что нужно, включая прикладное ПО, взял в аренду и спишь (работаешь) спокойно. Приложения, сегодня доступные «крупным и крупнейшим», завтра придут в СМБ. Итак, все и всё – в облака?
Предвидя обвинения в ретроградстве и неприятии технического прогресса (уже не раз слышал), предложил бы не торопиться.
Прежде, чем перенести свои информационные ресурсы в облако, надо самому себе ответить на три тривиальных вопроса:
·        Что вы будете делать, когда у вас не окажется доступа к интернету?
·         Что вы будет делать, когда провайдер откажет вам в услуге?
·         Что вы будете делать, когда ваши данные бесследно исчезнут?
В недавнем посте я уже приводил мнения Ричарда Столлмана и Дмитрия Пучкова (Goblin) по этому вопросу. Кстати, еще в 2008 г. в интервью Guardian Столлман, идеолог открытого программного обеспечения, говорил: «Использовать веб-приложения для своих вычислительных процессов не следует, например, потому, что вы теряете над ними контроль. … Если вы используете любую проприетарную программу или чужой веб-сервер, вы становитесь беззащитными. Вы становитесь игрушкой в руках того, кто разработал это ПО». Марк Андерсон, издатель одного из авторитетнейших ИТ изданий Strategic News Service, в 2009 г. писал: «Из-за значительного притока пользователей сервисов, использующих облачные вычисления, растёт стоимость ошибок и утечек информации с подобных ресурсов, а в 2010 году произойдут крупные катастрофы типа выхода из строя, или катастрофы, связанные с безопасностью». 2010-й прошел, все спокойно? Не совсем так.
Если вы думаете, что М.Андерсон и я – параноики, несколько простых иллюстраций.
Когда в октябре 2009 г. рухнул сервис Sidekick Data провайдера T-Mobile, владельцы смартфонов потеряли все свои телефонные контакты, сообщения, календари, фотографии, заметки и прочее, поскольку философия сервиса не предполагала бэкапа нигде, кроме как в облаке. Путаные заверения в том, что большинство данных удалось впоследствии восстановить, и купоны на 100$ услуг провайдера для пострадавших в этой ситуации не кажутся особо впечатляющей компенсацией. Этот инцидент издание PCWorld назвало «бесконечным кошмаром».  
В ноябре 2010 г. по первому требования администрации США Amazon, один из крупнейших в мире игроков рынка облачных сервисов, прикрыл хостинг сайта WikiLeaks, даже не попытавшись внятно обосновать свое решение.   В 2011 г. весь мир обошли снимки кающихся топ-менеджеров Sony, допустившей  утечку персональных данных 77 миллионов (!) пользователей сети PlayStation, которые как раз в облаке и хранились.
Тем, кто уверен в надежности своего провайдера, хотелось бы напомнить маски-шоу в марте 2010 г. у хостера «Агава» (не последнего в России, входит в первую пятерку) и его провайдера Golden Telecom.
Все это – лишь моментальные снимки отдельных областей видимой части айсберга. Инциденты в облаках были, есть и всегда будут латентными в силу архитектуры сервиса. И о многих не знают не только клиенты, но и сами владельцы.
К самым очевидным проблемам, которые встают перед пользователями облачных сервисов, я бы отнес следующие:
·         защита данных пользователей услуги; 
·         неконтролируемые данные (невозможность удаления или модификации  информации пользователем);
·        конфиденциальность данных на грид-серверах облака;
·         защита каналов обмена данными.
При этом, передавая в облако свои приложения, клиент получает полный спектр проблем, связанных с каждой их составных частей архитектуры: доступом через Интернет и атаками на элементы облака (прокси- и реверс-прокси сервера, web-сервера, сервера приложений, сервера баз данных, СХД  и т.д.), безопасностью виртуальной инфраструктуры, безопасностью приложений, предоставляемых по запросу, и безопасностью собственно самого клиента, поскольку надежный доступ – дорогой и сложный, а провайдеры в поисках снижения издержек предлагают то, что попроще и подешевле.
Рвется там, где тонко. А если тонко везде…
В этой ситуации представляется, что в облако нельзя передавать следующие категории  информации:
·         конфиденциальные данные;
·         критичные данные;
·         чувствительные данные;
·         данные, требуемые в реальном масштабе времени;
·         данные, которые вы не резервируете вне облака.
А что можно? Ответьте на три простых вопроса, поставленные в начале поста, и решайте сами. Данные – ваши.
В заключение – мнение аналитика Gartner Грега Крайзмана : «Облако не схоже со старыми моделями развёртывания и использования ПО, при которых ПО устанавливается и управляется внутри организаций, и поскольку провайдеры SaaS используют другие интерфейсы, теперь существует риск попадания под большее количество атак, а также большее количество людей обладает доступом к данным».
«Думайте сами, решайте сами» – лететь или не лететь [в облака] J.

9 июля 2011 г.

Предсудный день

13 июля (дата радует, хорошо, не пятница) Совет Федерации рассмотрит новую редакцию ФЗ-152 «О персональных данных» в интерпретации Резника-Плигина-Московца, теперь стыдливо называемую  «в части уточнения условий и правил обработки персональных данных». Уточнили, … (бип-бип). Рассмотрение стоит под № 34, в пакете с 19 другими законами. Иллюзий – никаких. Предсудный день, потому что реакция автора поручений № 5 и 6 пока неизвестна.
Детектив продолжается, но тосклиииивыыыый… Соцреализм сплошной.

8 июля 2011 г.

Изменившийся мир, в котором мы живем

Тема персональных данных утомила всех. В ожидании Совета Федерации и подписи Президента под новой редакцией ФЗ-152 «О персональных данных» самое время перевести дух и сказать о том, что кажется важным.
И ФЗ-152, и WikiLeaks, и РосПил – все это следствия того, что за последние 20 лет мир стал совсем другим. Радикально другим. А мы не хотим этого замечать и с этим соглашаться. Первый раз я говорил об этом на Positive Hack Days. Поскольку презентация опубликована и без сопроводительного текста не дает полного представления о проблеме, решил этот текст привести тезисно.
Итак, наш мир радикально изменился. И изменили его конкретные люди, которые создали новые технологии  для этого мира или заставили всех вокруг играть по новым правилам. Кто они? Всех не перечислишь, но для меня главными являются те, о которых ниже.
Тим Бернерс-Ли, который не только  вместе с Робертом Кайо создал WWW – распределенную систему, предоставляющую доступ к связанным между собой документам, расположенным на различных компьютерах, подключенных к Интернету, но и стал первым в мире блоггером.
Брэд Фицпатрик, основатель LiveJournal – платформы для создания, ведения и использования блогов, навсегда изменившей представление об источниках информации.
Кевин Митник, показавший, что человек, поселивший свой образ в цифровом мире, беззащитен.
Марк Цукерберг, создавший Facebook, объединяющую в единую сеть не компьютеры и документы, а людей, открыв их электронные души всему миру.
Джек Дорси, Twitter которого сделал обмен информацией между неограниченным количеством людей, в том числе ранее незнакомых, таким же простым, как между ближайшими родственниками и друзьями.
Эрик Шмидт, который ввел в оборот термин «облачные вычисления» (Cloud Computing), определивший, похоже, вектор развития ИТ-технологий на длительную перспективу.
Джулиан Ассанж, создатель WikiLeaks – сайта для «неотслеживаемой публикации и анализа документов, ставших доступными вследствие утечки информации», уничтожил традиционное понимание государственных секретов.
Алексей Навальный, объединивший возможности цифрового мира, право любого на совладение корпорациями и право на свободное добывание и распространение информации, создав тем самым прецедент уничтожения понятия коммерческих секретов.
В результате изменений, внесенных этими людьми, все мы стали жить в другом мире, мире без границ, без цензуры, фактически – без права на сохранение тайн и без сложившейся веками системы создания и распространения информации. И стал ли этот мир лучше в самом широком смысле этого слова, лучше для людей, лучше для государств, лучше для общества, - это еще очень и очень большой вопрос. Он – другой.
Не надо забывать, что все эти люди – не альтруисты. Они бизнесмены, и очень успешные. По оценкам различных источников, сегодня Livejournal.com стоит примерно 33 млрд. долларов, личное состояние Марка Цукерберга – 13,5 млрд. долларов, стоимость Twitter – примерно 10 млрд. долларов, на сайте WikiLeaks есть весьма характерные слова «Свобода слова не бесплатна!».
И у всех этих новых черт нашего мира есть отчетливая коммерческая составляющая, приносящая выгоду, и немалую, вполне конкретным людям.
Кроме того, новые технологии – это не только новые возможности, но и новые, неизведанные угрозы. Говоря об облачных вычислениях, Дмитрий Пучков, известный в России больше как Goblin, отмечал: «Доверять важные данные посторонним сервисам - на мой взгляд, безумие. Ну, то есть, баловство всякое доверять можно, а вот сохранением серьёзного надо озаботиться самому». Ему вторит гуру открытого ПО Ричард Столлман: «Пусть правительство США поощряет людей к хранению информации в облаке, где правительство США может ее получить, не предъявляя никаких бумаг. И лучше нам держать под контролем свои данные и информацию, иначе эта возможность может и исчезнуть».
Радикальное изменение источников информации привело к тому, что вместо газет, радио и телевидения мы все чаще и чаще обращаемся к  новостным сайтам, заглядываем в социальные сети и блоги. И на вопрос: «Кому верить?» ответ надо давать самим. Государства не отвечают за достоверность нецензурируемой информации. За достоверность не отвечает вообще никто.
За последние годы и месяцы мы убедились, что социальные сети и блоги могут для значительного количества людей не только полностью заменить СМИ, но и стать топкой для разжигания революций в Магрибе или сегодня – в Белоруссии. Но они же могут дать и неограниченную ничем, кроме воли участника, информацию, в том числе для преступных действий. История с Иваном Касперским – наглядное тому подтверждение.
Пора сформулировать новое правило Миранды, правило для цифрового мира: «Все, что вы указали о себе в социальной сети, блоге, форуме, чате, любом общедоступном сервисе, будет храниться там вечно и всегда может быть использовано против вас».
И мы не знаем ответа на вопрос, что же на самом деле делает Джулиан Ассанж. Реализует право каждого на доступ к информации? Занимается международным терроризмом в информационной сфере? Разрушает вековые устои информационного сообщества? Посягает на мировое лидерство США? Или выполняет проплаченные заказы, сливая полученную в их рамках информацию? Каждый может дать свои ответы на эти вопросы или сформулировать другие.
Чем же так опасен Ассанж и его WikiLeaks для традиционной государственности? Лучше всего, по моему мнению, об этом сказал словенский философ Славой Жижек: «Порой произнесение вслух того, что все знали и так, может все изменить».
И все изменилось. Современное государство, пока в Интернете, но похоже, уже не только в нем, похоже на Гулливера в стране лилипутов, окутываемого и сковываемого тысячами тончайших нитей, натянутых одиночками вроде Ассанжа, Навального или авторов вчерашнего открытого письма Президенту РФ по поводу ФЗ-152. И не считаться с ними становится все труднее и труднее.   Недаром США тратят столько усилий на борьбу с WikiLeaks, Конституционный суд РФ признает право Навального на доступ к коммерческой тайне крупнейших корпораций, а Лукашенко бессильно смотрит на аплодирующих на улицах Минска людей.
Подводя итоги, попытаюсь сформулировать, чем сегодняшний цифровой мир так радикально отличается от вчерашнего, аналогового:
·  Интернет породил неиерархическую систему создания и распространения информации;
·  Традиционные способы хранения и защиты информации в этой системе уже не работают;
·  Традиционные способы контроля не эффективны;
·  Традиционная ответственность не применима;
·  Источники утечки плохо поддаются анализу.
В изменившемся мире каждому рано или поздно придется отказаться от привычек оставлять свои «следы», не думая о последствиях этого, строго разделить свободно распространяемую информацию и ту, доступ к которой надо ограничить и радикально изменить режим работы с информацией ограниченного доступа.
Ну, и понять, наконец, что Интернет – не только огромное хранилище знаний, но и огромная помойка. 

6 июля 2011 г.

Открытое письмо Президенту РФ Д.А.Медведеву

Поддерживаем и присоединяемся  к инициативе коллег:

Емельянников Михаил Юрьевич,

Попова Зоя Владиславовна

(Консалтинговое агентство «Емельянников, Попова и партнеры»)


Уважаемый Дмитрий Анатольевич!

Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru http://kremlin.ru/assignments/11427 , а именно:
5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.
Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.
Срок – 1 августа 2011 г.
Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.
Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.
Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.
Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года (http://www.aksakov.ru/media/File/filelist/st08.doc), на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.
Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.
Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.
Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.
06.07.2011
Письмо подписали:
Коллеги!
Чтобы повысить эффективность данного письма, очень желательно направить его лично от своего имени в адрес Президента через сайт kremlin.ru. Там необходимо ввести свои фамилию, имя и адрес электронной почты, и приложить файл с обращением в формате RTF - забирайте, замените "подписантов" на свое имя и отправляйте! Чем больше запросов будет в адрес Президента, тем больше шансов, что на письмо обратят внимание.
Хорошо бы и сообщить о присоединении к данной инициативе на одном из сайтов инициаторов письма.

4 июля 2011 г.

Что третье чтенье нам готовит?

Как и планировал, в выходные посидел-покумекал с тем, что прошло второе чтение. Радости это не принесло, особых огорчений тоже.
Комментариев уже дали много, самых разных. Согласен со многими, но не со всеми. Что показалось важным мне?
Существенно ближе к Европе мы не стали. Всяких там либеральных глупостей, типа четко прописанного в законе баланса интересов субъекта и оператора, соразмерности мер защиты рискам и учета реальных возможностей оператора никто и не ждал. Требований при защите персональных данных не создавать помех развитию рынка, внедрению новых технологий и функционированию оператора – тем более. Но вот на устные согласия, конклюдентные действия и право оператора самому определять адекватные меры защиты в зависимости от особенностей бизнеса, процессов, вида и объемов персданных в виде соглашения между ним и субъектом – надежды были. Зря.
Где стали ближе? Появился обработчик, нигде в законе не называемый, но незримо присутствующий. Подумавши, думцы назвали его «лицом, осуществляющим обработку персональных данных по поручению оператора». Появились ограничения на частоту и обоснованность запроса субъекта к оператору – раз в 30 дней с обоснованием оснований для запроса (номер договора или иные сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором). Таким образом, тема DDoS атак бабушек на банк за 50 рублей нала если не умерла, то притихла. Увеличились сроки реакции оператора на инициативы субъекта – почти везде до 30 дней вместо 3 или 7 рабочих. Хотя Европе на эти сроки было как-то наплевать
Что еще порадовало? Слова о допустимости принятия закрытых нормативно-правовых актов (НПА) по персданным в новый проект не включены. В связи с этим весьма интересной становится судьба Постановления Правительства № 330 2010 года и закрытой части документов ФСТЭК по ПЭМИНам. В проекте наконец-то появилось требование о соответствии сроков обработки персданных федеральным законам вообще, а не только ФЗ-152, и абсурдные требования, связанные с трехдневным сроком их уничтожения после достижения целей обработки, похоже, исчезают.
Кое-что позабавило. Уши лоббистов торчат, при поверхностном прочтении, минимум в двух местах. Несколько раз в тексте появляется упоминание про обеспечение устойчивого и безопасного функционирования транспортного комплекса. Очень хотелось бы узнать про защиту прав личности (моей, в частности) в сфере транспортного комплекса от актов незаконного вмешательства, которая является основанием для обработки моих персданных без моего же согласия.
Наряду с субъектом в законе сплошь и рядом в обнимку идут выгодоприобретатель и поручитель. Выгодоприобретателя оставим для более подробного анализа в будущем, а про поручителя выскажемся. В соответствии с Гражданским кодексом, договор поручительства заключается только в письменной форме. Зачем выделять эту категорию субъектов отдельно – совершенно не ясно. А уж если идти по этому пути, почему в стороне остались застрахованные лица, получатели по счетам и получатели денежных переводов, лица, имеющие право управления по счету клиента, плательщики и вносящие денежные средства на счет субъекта и т.д  и т.п. Персданные огромного количества различных категорий субъектов попадают к оператору без их участия. Чем заслужили особые привилегии выгодоприобретатели и поручители - сказать трудно.
Элегантно разрешена проблема с биометрией. Если фото используется для установления личности субъекта персональных данных - это биометрические данные. А в остальных случаях – похоже, нет. Посмотрим, что из этого выйдет.
Предвижу весьма пикантную ситуацию в связи с определением адекватности защиты в иностранных государствах, в которые осуществляется трансграничная передача персональных данных. На сегодняшний день, в соответствии с разъяснением Роскомнадзора, в адекватные (т.е. обеспечивающие соответствующую защиту персональных данных) не попали такие не последние экономические партнеры России, как США, Китай, Украина или Казахстан (список длинный). Пока это мнение, размещенное на сайте, особо никого оно волнует. Но теперь формирование списка адекватных – прямая обязанность уполномоченного органа по закону. Реакция не попавших в заветный перечень может быть весь непредсказуемой.
Ну, и, наконец, что огорчило. Сильно.
По-прежнему вне правового поля – вся электронная коммерция. С доказуемым согласием там ничего не изменилось. Его нет и пока не будет. Значит – оператор всегда виноват. Не получила законного обоснования стандартная схема вызова врача по телефону или идентификация клиента в банке – нет не только подтверждаемого согласия, но и не снимается проблема получения его не от субъекта. 
Самая главная проблема нового закона – обеспечение безопасности. Статьи 18 прим и 19 противоречивы, сумбурны и непоследовательны.  Начинается все за здравие. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним НПА. Далее идет замечательная формулировка «К таким мерам могут, в частности, относиться», в силу норм русского языка свидетельствующая об их необязательности (могут относиться, а могут и нет). А дальше – странное. Одной из этих вроде бы необязательных мер является определение политики в отношении обработки персональных данных. А вот ее публикация – уже обязательна.
То же самое – с назначением оператором лица, ответственного за организацию обработки персональных данных. Появляется целая статья 22 прим про это лицо, а указание его персданных (если оно – физическое) становится обязательным в уведомлении об обработке, и согласия никто спрашивать не будет.
Наконец, для доказательства выполнения этих вроде бы необязательных мер, оператор обязан, по запросу Роскомнадзора, представить документы и локальные акты, подтверждающие их принятие. Возможность самостоятельно определить меры защиты напрочь снимается правом Правительства устанавливать требования для любых операторов «с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных». Разрушена может быть не нравившаяся многим, но жесткая конструкция между ФЗ-152 и ФЗ-294: правительство устанавливает обязательные требования, которые являются предметом проверки при  госконтроле и надзоре. Теперь понять, какие требования являются обязательными, решительно невозможно. Утешает только   необходимость определения Правительством организаций, подлежащих контролю и надзору и эксплуатирующих системы, не являющиеся государственными.
Еще о грустном. Значительно расширено содержание уведомления об обработке. Теперь оно автоматически транслируется из Роскомнадзора в ФСБ и ФСТЭК.
Ну, и масса всего по мелочам.
Закон явно готовился в колоссальной спешке. Как занятное подтверждение этого - включение цели обработки персданных одновременно в п.п.2 и 3 части 7 ст.14. Есть масса других ляпов, но места и времени их описывать уже нет.
Ждем третьего чтения. Что день грядущий нам готовит?

2 июля 2011 г.

«Отец» ФЗ-152 о втором чтении поправок Резника-Плигина-Московца


Ю.В.Травкин, фактический автор текста, ставшего основой ФЗ-152 «О персональных данных», в курсе событий как никто другой. И предположение относительно детектива было очень правильным и про политику тоже. Остальное – читайте. Мои комментарии – завтра.
Второе чтение... В пятницу к концу Пленарного заседания ГД принят-таки во втором чтении законопроект, содержащий новую редакцию ФЗ-152 (т.н. "проект Резника").
"Таки" - потому, что более-менее сформированный текст был подготовлен ответственным Комитетом (В.Н.Плигина) гораздо раньше и следовало согласовать лишь самое "сладкое" - текст статьи 19.
Итак, можно подводить промежуточные итоги.
Если перечислять самое главное, законопроект…
Читать далее