28 февраля 2012 г.

О мифах, стереотипах и менталитете

Британия - место, связанное в сознании многих россиян с большим количеством устоявшихся стереотипов, вбитых в наши неокрепшие головы еще в детском возрасте. Абсолютно все знают про британскую погоду – туманную, дождливую и промозглую в любое время года. В Британии мой дом – всегда моя крепость. Британцы чопорны, высокомерны и говорят с хорошим английским произношением, не признавая другие языки.
Регулярно приезжая сюда по разным делам в течение последнего десятка лет, ни разу не нашел подтверждения ни одному из этих мифов. Приходилось бывать на островах в самое разное время, отнюдь не самое благоприятное с метеорологической точки. Если британская погода – плохая, московская никакой градации в разумных выражениях вообще не поддается. Вот и в этот раз в феврале Лондон встретил нас плюс шестнадцатью градусами, умеренным мягким солнцем и цветущими гиацинтами, нарциссами, подснежниками в Сент-Джеймсском парке. На лавочках загорали студенты в футболках, а по улицам спешили офисные барышни в строгих костюмах и элегантных туфлях. А на Корнуоле серферы ловили длинную гольфстримовскую волну, часами не вылезая из воды. В феврале.
Поездив по дорогам сельской Англии, насмотрелись и на дома-крепости. Сельские домики, разбросанные на значительном расстоянии друг от друга, с огромными окнами до пола и символическими заборчиками до колена или без них. Приятели, живущие в центре Лондона, у которых заночевали после длительных разговоров, утром попросили захлопнуть на смешные замочки двери в солидную квартиру и в общий подъезд.
Чопорные незнакомые англичане в любимом нашем пабе, в субботний вечер забитом не просто под завязку, а значительно выше нее, своими салфетками протирали столик, на котором освободили нам места под стаканы с гиннесом. и старательно произносили русские слова, которые учили в детстве.
Шоком для россиянина, особенно современного, становится посещение подземного бункера Уинстона Черчилля под правительственными зданиями рядом с Даунинг-стрит, куда в праздничный день Советской армии нас повели деловые партнеры. Аристократ с вековыми корнями, из этих самых, из Мальборо, спал, как и остальные герцоги, маршалы и главнокомандующие, в период массированных бомбежек Лондона под солдатским одеялом и с фаянсовым ночным горшком под кроватью в комнате. Его супруге, как первой даме, в наспех приспособленном под работу правительства и ставки бомбоубежище были предоставлены невиданные привилегии - покрывало с розовыми цветочками вместо хорошо знакомого тем, кто постарше, грубого серо-зеленого одеяла, и скромное кресло в спальне (по совместительству – рабочий кабинет) вместо стандартного стула.
Король Эдвард VII в начале прошлого века хотел купить себе под резиденцию симпатичный дворец на берегу озера в Ирландии, продававшийся после смерти владельца. Каких-то 70 комнат с 33 спальнями. Но запрошенная с учетом личности покупателя цена была признана неприемлемо высокой для королевской семьи. Дворец существенно дороже купил промышленник. Не поверите – себе, а не королю. И ни продавцу, ни покупателю за это ничего не было.
Ну, и про профессиональное в заключение и про разницу в менталитете. Знакомый топ-менеджер одного из крупнейших мировых банков, работающий в Лондоне, рассказывал про отношение к аутсорсерам. Оказывается, аутсорсеров надо беречь, холить и лелеять, постоянно работая над повышением их лояльности. Потому как они, в силу особых отношений с заказчиками, допущены к самому святому, к самому тайному, о котором и в самом банке почти никто не знает. Поэтому хорошо бы его (аутсорсера, а не заказчика),периодически приглашать на финалы «Формулы-1» в разных городах мира, на центральные матчи где-нибудь на стадионе Уэмбли или на премьеру в венской опере. Заодно снимать ему номер в соответствующем уровню мероприятия отеле. За счет заказчика, конечно. А вот билеты на самолет покупать нельзя. Это не комильфо, на коммерческий подкуп смахивает, а не выражение признательности за многолетнюю лояльность. Серьезный аутсорсер никогда за счет заказчика первым классом не полетит. Он себя уважает.
Мифы и стереотипы иногда могут завести далеко в сторону от реальности, а воспитанный ими  менталитет сыграть злую шутку. Может оказаться, что модель поведения, созданная посконным и домотканым этим самым менталитетом, безнадежно устарела. И лучше ее менять.

22 февраля 2012 г.

С профессиональным праздником!

Я не знаю, почему этот праздник называют «мужским днем». Я не знаю, почему в этот день или накануне девочки в детском саду поздравляют мальчиков, а ребятишки, откосившие от армии, откупоривают в офисах теплое пиво и поздравляют друг друга. Я не могу их поздравить, потому что в этот день – не с чем.
Я поздравляю тех, кто служил, кто носил форму и вышагивал по плацу, тех, кто его любил, и тех, кто этот плац ненавидел. Кто стрелял – в реальной обстановке, на стрельбище или в тире, даже если это противно их убеждениям. Кто честно оттрубил свои 45 календарных или год срочной. Кому это было сложно, но, сжав челюсти, он отдал свой долг своим согражданам и своей Родине, дотянув до законного дембеля или оргштатных мероприятий. Тех, кто мерз на севере, жарился на юге и «просиживал штаны» в штабах, институтах и «учреждениях Минобороны», и пусть те, кто так считают, попробуют просидеть хотя бы пару этих штанов. У каждого из них было свое дело, и называлось оно «служба в армии и на флоте». Не в МВД, не в КГБ и не в ФСБ, не в пожарной охране и не в спасателях. У них свои профессиональные праздники, и они честно и с достоинством поздравляют друг друга и принимают поздравления, когда эти праздники приходят.
Я поздравляю Вас, коллеги, «сапоги» и «пиджаки», курсанты, «прошедшие славный путь» до полковников, и салабоны, не менее славным путем ставшие дедами, с нашим профессиональным праздником, какие бы названия не придумывали ему власть предержащие и не зависимо от того, была ли выиграна битва 23 февраля 1918 года, или этот день придумали. Мы этот день не назначали. Мы делали свое дело и имеем право этим гордиться, независимо от того, что об этом думают те, кто мыслит иначе.
С Праздником.  Здоровья Вам, сил и удачи. И простого человеческого счастья, того, которое каждый из нас считает таковым. Хотя бы немного. Мы его заслужили.
Особые, персональные поздравления тем, кто сменил армейские и флотские погоны на мифическую в России должность «офицера по информационной безопасности». Говорят, за нами будущее – поля сражение перемещаются в кибер-пространство. Хотелось бы другого будущего, без этих полей. Но будем реалистами.
С праздником! И успехов Вам!  

20 февраля 2012 г.

Врачу, исцелися сам

Вы поверите дерматологу, лицо которого покрыто сыпью и струпьями? Пойдете к стоматологу, от которого надо отойти на пару метров, чтобы не чувствовать запаха его зубов?
Извините за натурализм, но иные аналогии не приходят в голову, когда приходится знакомиться с документами компаний, особенно выплеснувшихся на рынок информационной безопасности в последние годы и продвигающих свои услуги на поляне, расчищенной государственным регулированием.
Иногда хочется найти руководителя или владельца компании и приватно сообщить ему: «Юрист твой – враг твой». Неграмотность в вопросах, которыми занимается компания, где такой юрист работает, может свести на нет все усилия специалистов, затраченные на пресейл. Например, в договоре на оказание услуг по защите информации ограниченного доступа компания-исполнитель предлагает заказчику принять на себя ответственность за охрану конфиденциальности сведений, указанных в договоре. Хотелось бы только понять, зачем это заказчику, и какие именно тайны исполнителя надо строго хранить?
Или исполнитель настаивает на обязательстве обоюдно защищать конфиденциальную информацию. Принесшей на рынок знания и навыки своих консультантов компании-исполнителю неплохо бы разобраться с законодательством и выяснить, что понятия конфиденциальной информации нет ни в одном законе, а исполнитель, судя по определению, предлагаемому в договоре, относит к таковой исключительно сведения, составляющие, в соответствии с формальными признаками, коммерческую тайну, но тщательно этого термина избегает (видимо, потому, что режима коммерческой тайны не установил или установить не умеет).
В коммерческом предложении на выполнение работ по персональным данным упорно отстаивается тезис об обязательности получения письменного согласия субъекта на любую обработку персданных и обещается научить заказчика способам получения «правильного» согласия на все случаи жизни. Почитать ФЗ-152 и выяснить, что согласие – всего лишь одно из одиннадцати законных оснований обрабатывать персональные данные, новоявленным консультантам некогда, поскольку надо деньги зарабатывать. Как и некогда выяснить, что в законе «О персональных данных» всего пять случаев получения согласия в письменной форме, а в остальных ситуациях оно должно быть просто доказываемым. Любым разумным способом.
В предложении на построение системы защиты коммерческой тайны говорится об обязательности аттестации информационной системы заказчика как финального аккорда всей работы «по приведению в соответствие», хотя аттестовать можно только объект информатизации, и для коммерческой тайны этого вовсе не требуется, да, и если говорить честно, невозможно в принципе. Но положение Гостехкомиссии аж 1994 года читать в лом, да и не выгодно – на аттестации можно нарубить еще денег.
Менеджер по продажам, приехавший вместе с инженером «ломать» заказчика на установку антивирусов производства компании А, упорно «не замечает», что на принесенных ими ноутбуках в трее свернут значок антивируса производителя Б. Чего, спрашивается, тогда толкаете А?
Инженер, настаивающий на обязательности установки для удаленного доступа в систему заказчика только сертифицированного клиента системы криптографической защиты, в ходе демонстрации втыкает в свой ноут токен, поднимает https и на голубом глазу демонстрирует эффективность использования продвигаемого решения.
Представитель вендора, убеждающий  применять шифрование дисков на мобильных устройствах, выносимых за пределы охраняемой территории, приходит на встречу с планшетом, на котором записаны все параметры предлагаемого решения, внутренние цены, типовые договора и особые условия поставки, с которыми он периодически сверяется, продвигая предложение. Естественно, без всякого их расшифрования.
И так до бесконечности.
У продвинутых заказчиков, которых с каждым годом становится все больше, вслед за Станиславским из груди невольно рвется «Не верю!». Но они на переговорах тактично и воспитанно молчат. Только не надо удивляться, что коммерческое предложение не принято, а проект договора возвращен после вроде бы успешных переговоров с категорическим отказом обсуждать работу в дальнейшем. Помешали сыпь на лице дерматолога и перекошенный костюм модного портного.

9 февраля 2012 г.

Лицензирование ТЗКИ усложнит жизнь операторам персональных данных


Персональные данные на компьютере
Вышедшее недавно постановление правительства РФ о лицензировании деятельности по технической защите конфиденциальной информации (ТЗКИ) закрепило необходимость лицензирования технической защиты персональных данных, даже если это данные собственных сотрудников компании.
09/02/201219:15
МОСКВА, 9 фев - Digit.ru. Вышедшее недавно постановление правительства РФ о лицензировании деятельности по технической защите конфиденциальной информации (ТЗКИ) закрепило необходимость лицензирования технической защиты персональных данных, даже если это данные собственных сотрудников компании, говорят опрошенные Digit.ru эксперты.
"Из Постановления Правительства однозначно вытекает, что даже установка антивирусной программы на компьютер пользователя в офисе компании является лицензируемым видом деятельности, если на этом компьютере хранится и обрабатывается информация, доступ к которой ограничен федеральным законом", - говорит Михаил Емельянников, управляющий партнер Консалтингового агентства "Емельянников, Попова и партнеры".
До сих пор с момента вступления в силу Федерального закона "О персональных данных" четкого ответа на этот вопрос не существовало.
При условии жесткого применения указанных норм рынок может вырасти за счет более частого обращения компаний к лицензиатам. "Однако такой вариант событий представляется маловероятным, так как все эти нормы существовали, фактически, и раньше, но на практике карательные меры применялись крайне редко", - считает Емельянников.
Кроме того, к видам деятельности, подлежащих лицензированию, добавились установка, монтаж, испытания и ремонт средств защиты. По мнению Сергея Вихорева, заместителя генерального директора компании "ЭЛВИС-ПЛЮС", этот пункт вызовет много нареканий и вопросов. "Скорее всего, в этой связи чаще будут обращаться к лицензиатам за помощью в подготовке системы к эксплуатации и периодическому контролю", - говорит Вихорев.

8 февраля 2012 г.

Снова про лицензии на ТЗКИ

Получилось многобукв :-(.
Как многие, наверное, знают, 3 ноября 2011 г. вступил в силу Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности». Для деятельности в области информационной безопасности в законе, напомню, было две новости. Как обычно, одна хорошая и одна плохая. Хорошая заключалась в том, что в отношении деятельности по  техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств появилась приписка «за исключением случая, если техническое обслуживание… осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя». А плохая – в том, что для деятельности по технической защите конфиденциальной информации такой приписки не появилось.
Расстроило то, что единственным законом, в котором сохранился термин «конфиденциальная информация», похоже, остался закон о лицензировании. Во всех остальных актах 200-ФЗ 2011 года выжег эти слова каленым железом, заменив на «информацию, в отношении которой установлено требование об обеспечении ее конфиденциальности» и «информацию ограниченного доступа». Правда, не пояснив, чем эти понятия отличаются. Порадовало в 99-ФЗ то, что лицензии стали бессрочными.
Весьма оперативно ФСТЭК подготовила, а Правительство Постановлением от 03.02.2012 № 79 утвердило новое «Положение о лицензировании деятельности по технической защите конфиденциальной информации», заменившее положение 2004 г., утвержденное Постановлением Правительства № 504. По этому поводу уже отпостились А.Лукацкий и А.Бондаренко.
Весьма кстати 7 февраля на пленарке 14-го Инфофорума начальник управления ФСТЭК И.Г.Назаров прокомментировал как новый закон, так и постановление.
Комментарий вкратце сводился к тому, что:
  1. Лицензии теперь бессрочные, но тем, кто получил их до 03.11.2011, по истечении срока действия срочные лицензии придется переоформить.
  2. Переоформление потребуется и при изменении перечня лицензируемых видов деятельности в отношении тех, которые в имеющейся лицензии не указаны. Видами деятельности, указанными в лицензии, можно будет заниматься и без получения новой даже при изменении перечня.
  3. С 1 июля 2012 г. заявку на получение лицензии можно будет направлять в электронном виде.
  4. ФСТЭК разрабатывает новый административный регламент деятельности по лицензированию.
Про собственные нужды и изменение понятия деятельности по ТЗКИ комментариев не было. Как обычно на пленарках Инфофорума, вопросы из зала предусмотрены не были.
Несколько соображений об изменениях в Положении.
В п.1 в скобках дано пояснение, что же такое конфиденциальная информация: не содержащая сведения, составляющие государственную тайну, но защищаемая в соответствии с законодательством Российской Федерации. Таким образом, формально техническая защита сведений с грифом ДСП не лицензируется. Из ГК РФ понятие служебной тайны ушло вместе с исключенной статьей 139, ФЗ «О служебной тайне» Госдумой с рассмотрения снят, а 8-ФЗ 2009 г. категорично и четко определяет (ст.5):
1. Доступ к информации о деятельности госорганов… ограничивается в случаях, если указанная информация отнесена в установленном федеральным законом порядке к сведениям, составляющим государственную или иную охраняемую законом тайну.
2. Перечень сведений, относящихся к информации ограниченного доступа, а также порядок отнесения указанных сведений к информации ограниченного доступа устанавливается федеральным законом.
Нет закона – нет ограничений. А закона нет.
В определении ТЗКИ «комплекс мероприятий» заменен на «выполнение работ».
В п.4 появился исчерпывающий перечень видов работ и услуг, требующих лицензирования. Сжато:
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам (вопросов нет);
б) контроль защищенности конфиденциальной информации от НСД и ее модификации в средствах и системах информатизации (поскольку про собственные нужды нигде нет ни слова, похоже, речь идет о деятельности в рамках эксплуатации ИС – см., например, п.9 части 2 ст.19 ФЗ-152: контроль за принимаемыми мерами по обеспечению безопасности персональных данных);
в) сертификационные испытания;
г) аттестационные испытания и аттестация;
д) проектирование всякого в защищенном исполнении (по пунктам в)-д)), ИМХО, тоже без вопросов);
и самое интересное - пункт
е) установка, монтаж, испытания, ремонт СЗИ (технических СЗИ, защищенных ТСОИ, технических средств контроля эффективности мер защиты информации, программных (программно-технических) СЗИ, защищенных программных (программно-технических) СОИ, программных (программно-технических) средств контроля защищенности информации).
Жирным выделено мною. Получается «Установка программных СЗИ». То бишь, как справедливо пишет А.Бондаренко, антивируса в офисе. И, как справедливо пишет А.Лукацкий, на писюк или ноут вновь принятого на работу. Каждого. Т.е. надо звать лицензиата, чтобы в своей сети негромко чихнуть.
Лицензионные требования изменились незначительно, но знаково.
Индивидуальному предпринимателю, решившему на свой комп поставить антивирус, теперь надо иметь высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование при условии прохождения им переподготовки или повышения квалификации по вопросам технической защиты информации.
Наличие контрольно-измерительного оборудования (прошедшего метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым ФСТЭК, теперь требуется не вообще, а для некоторых видов деятельности, но упомянутый пункт е) по-прежнему обуславливается приобретением оборудования.
Контроль защищенности от НСД требует наличия у лицензиата средств контроля, сертифицированных по требованиям безопасности информации, в соответствии с перечнем, утверждаемым ФСТЭК.
Если честно, не понял. Похоже, ФСТЭК утвердит перечень средств контроля, без которых проверять ничего будет нельзя. А может, речь идет просто о существующем перечне сертифицированных СЗИ, но он ведь не утверждается…
Сохранилось требование о наличии автоматизированных систем, аттестованных и (или) сертифицированных по требованиям безопасности информации. Но аттестовать можно только объект информатизации, а не систему. Опять загадка.
Вместо «нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации» теперь требуется техническая документация, национальные стандарты (!) и методические документы, необходимые для выполнения работ и (или) оказания услуг, по-прежнему, в соответствии с перечнем ФСТЭК.
В качестве требования добавилось наличие системы производственного контроля в соответствии с установленными стандартами.
Про стандарты, как в области ИБ, так и производственного контроля, наверное, придется запостить как-нибудь отдельно. Там история, похоже, веселая – см. главу закона «О техническом регулировании».
Добавился порядок переоформления лицензии на новые виды работ и услуг и оказание услуг по адресу, не указанному в лицензии.
Исключены положения, вошедшие в новый закон о лицензировании.
Вроде бы все.
Будем ждать и смотреть. Опять.
Особенно интересна практика правоприменения нового положения в отношении юрлиц, которые никаких услуг по ТЗКИ не оказывают, но защищать информацию должны по закону. Пикантность ситуации в том, что видов информации, в отношении которой законами ограничен доступ, по разным оценкам у нас от 30 до 50. В том числе всякие там адвокатские, аудиторские, нотариальные и прочие тайны, тайны связи в телекоме и т.д. Ну, и конечно, персональные данные. 

5 февраля 2012 г.

«Хочу, чтобы мне за это ничего не было» -2. Ждем перемен?

Недавно запостил про ответственность за нарушения законодательства о персональных данных, писал про небольшие штрафы и перспективы развития событий после их наложения.
Но жизнь не стоит на месте, и бывает, что ситуация меняется быстро.
В Думу внесен очередной законопроект об изменениях Кодекса об административных правонарушениях. Предлагается внести весьма занятную статью 13.11.1 «Предоставление недостоверной информации о гражданах (персональных данных) оператору персональных данных», предусматривающая ответственность уполномоченного лица, заключающего от имени оператора персональных данных договор. В первую очередь статья направлена, как явствует из текста пояснительной записки, против агентов компаний сотовой связи, продающих симки без паспортов или по «левым» копиям паспортов. Инициаторы законопроекта с тревогой отмечают, что такие злоупотребления создают препятствия при проведении оперативно-розыскных действий, так как затрудняют идентификацию абонента. При этом установлено, что более 70% всех ложных сообщений о готовящихся терактах поступает с мобильных телефонов. Вот такая беда.
Поэтому таких «коммерческих представителей, оказывающих посреднические услуги в заключении договоров оказания услуг подвижной связи» надо прижать к ногтю и давить их штрафами до трехсот тысяч рублей. Вот как. На оператора, допускающего какие угодно нарушения, - не более 10 тысяч, а на его агента – аж 300.
Недоумение было недолгим.
Сайт Роскомнадзора со ссылкой, но без линка на агентство Маркер, сообщил, что «Правительство России подготовило законопроект об изменении статьи 13.11 Кодекса об административных правонарушениях (КоАП) РФ». В этой статье говорится о нарушении установленного законом порядка обработки персональных данных. Наказание за данное нарушение планируется увеличить в десятки раз. Т.е. ситуацию предлагается выровнять, и по ст.13.11 КоАП карать операторов персданных штрафами от 200 тыс. до 500 тыс. рублей.
Вот и правильно. А то как-то несправедливо: ЛООПДПО – 300 тысяч штрафа за нарушения, а оператору – только 10. Ату их!
Ждем перемен?