суббота, 30 мая 2009 г.

Опубликован отчет о деятельности Роскомнадзора за 2008 год в области защиты прав субъектов персональных данных РФ


  На сайте Роскомнадзора наконец-то опубликован отчет за 2008 год в области защиты прав субъектов персональных данных РФ (http://www.rsoc.ru/site/news/?id_news=2422). Отчет достаточно объемный – 29 страниц.
Вот некоторые выдержки из него относительно правоприменительной практики:
… в области персональных данных территориальные органы Федеральной службы в 2008 году провели 76 мероприятий по контролю (надзору).

  По результатам проведенных проверок операторам, осуществляющим обработку персональных данных, выдано 19 предписаний об устранении выявленных нарушений законодательства Российской Федерации в области персональных данных. В восьми случаях материалы представлены в органы прокуратуры для принятия решения о возбуждении административного производства, в одиннадцати – протоколы об административных правонарушениях, составленные государственными инспекторами Федеральной службы, направлены на рассмотрение мировым судьям. 
  Выявленные нарушения были классифицированы по следующим статьям Кодекса Российской Федерации об административных правонарушениях:
  - статья 13.11 - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
  - статья 19.7 - непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или искаженном виде. 
  На 2009 год Федеральной службой запланировано 321 мероприятие по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, из них 61 мероприятие в отношении операторов, осуществляющих обработку биометрических и специальных категорий персональных данных. 

  За отчетный период в адрес Федеральной службы поступило 146 обращений граждан, из них дан ответ заявителям с соответствующими разъяснениями положений Федерального закона – в 60 случаях, в 86 обращениях граждане обжаловали действия конкретных операторов, осуществляющих обработку персональных данных с признаками нарушений требований Федерального закона. Из них направлены: в правоохранительные органы 5 обращений, в органы прокуратуры – 24, в суды – 22, на момент подготовки Отчета находились на рассмотрении – 35 обращений. Информация о результатах рассмотрения будет доведена заявителям в установленные законодательством Российской Федерации сроки.

  В последнее время наметилась тенденция к росту количества обращений граждан, связанных с деятельностью интернет - сайтов. Так, в 2008 году по данному вопросу поступило пять обращений граждан, на момент подготовки Отчета количество обращений возросло более чем в два раза. В каждом случае сотрудниками Федеральной службы были проведены предварительные проверки интернет-сайтов, указанных в обращениях граждан, в ходе которых подтвердились факты размещения в Интернете персональных данных граждан Российской Федерации и стран Содружества Независимых Государств. Учитывая, что данная деятельность в нарушение Федерального закона осуществлялась без согласия субъектов персональных данных, материалы проверок были направлены в правоохранительные органы. 
  В результате взаимодействия с правоохранительными органами, на момент подготовки Отчета, приостановлена деятельность интернет-ресурсов www.nomer.org.ru и www.vslomaj.com, предоставляющих услуги доступа к персональным данным граждан Российской Федерации. Однако по причине того, что ряд интернет-сайтов зарегистрирован за пределами Российской Федерации, в том числе на территории стран, на которые не распространяется действие Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятие мер по пресечению их незаконной деятельности представляется затруднительным (www.radarix.com).

  Из 24 материалов, направленных Уполномоченным органом в органы прокуратуры:
  - в двух случаях по материалам Федеральной службы операторы, осуществляющие обработку персональных данных, были привлечены к административной ответственности по статье 13.11 Кодекса Российской Федерации об административных правонарушениях в виде административного штрафа на общую сумму 5500 рублей.
  - в 16 случаях были вынесены решения об отказе в возбуждении административного производства в отношении операторов, осуществляющих обработку персональных данных в соответствии со статьей 4.5 Кодекса Российской Федерации об административных правонарушениях (истечение срока давности), из них в 7 случаях были вынесены представления об устранении нарушений законодательства Российской Федерации.
  - материалы по шести обращениям граждан на момент подготовки Отчета находились на рассмотрении.

  Судами из 22 административных дел девять рассмотрены в пользу субъектов персональных данных. В указанных случаях операторы, осуществляющие обработку персональных данных с нарушением требований Федерального закона, привлечены к административной ответственности по ст.ст. 19.7, 13.11 Кодекса Российской Федерации об административных правонарушениях. В 13 случаях вынесены постановления о прекращении производства по делам об административных правонарушениях.

  По итогам рассмотрения обращений граждан можно выделить четыре типа операторов, осуществляющих обработку персональных данных с нарушениями законодательства Российской Федерации в области персональных данных:
  - кредитные учреждения – 34 обращения;
  - жилищно-коммунальные организации – 21 обращение;
  - операторы связи – 10 обращений;
  - страховые компании – 9 обращений.
...
Источник: rsoc.ru

Расходы на ИБ сокращаются


  По данным нового исследования международного объединения фирм «Делойт Туш Томацу», в 2008 г. компании сектора высоких технологий, телекоммуникаций и СМИ существенно сократили затраты на обеспечение информационной безопасности (ИБ). 
  Третий выпуск глобального исследования «Делойта» в области информационной безопасности в компаниях сектора высоких технологий, телекоммуникаций и СМИ выявил, что 32% респондентов сократили расходы на обеспечение ИБ, в то время как число тех, кто считает, что предпринимаемых усилий недостаточно для того, чтобы эффективно отреагировать на существующие угрозы ИБ, составило 60%, что значительно выше аналогичных показателей прошлого года (49% опрошенных).
  По мере роста объема электронных данных расходы на обеспечение ИБ должны составлять существенную долю общих затрат компании на развитие ИТ. Однако только 6% опрошенных компаний выделяют не менее 7% средств бюджета на обеспечение ИБ. 
  В текущем году наблюдается значительное снижение данного показателя по сравнению с результатами прошлогоднего исследования, которые показали, что 36% респондентов выделяли на безопасность в сфере ИТ не менее 7% средств бюджета. Исследование также выявило, что сокращение инвестиций в средства ИБ препятствует внедрению новых технологий безопасности: только 53% респондентов относят себя к категории «первых» или «одних из первых» среди компаний, внедряющих ИТ, тогда как в 2007 г. аналогичная цифра составляла 67%. 
  Социальные сети представляют собой еще одну скрытую угрозу. Несмотря на то, что социальные сети и блоги могут способствовать эффективной коммуникации, они также увеличивают риски организаций в области обеспечения внутренней ИБ. Исследование показало, что 83% и 80% респондентов, соответственно, в качестве угрозы ИБ компании рассматривают «использование уязвимости технологий Web 2.0» и методы «социального инжиниринга», такие как претекстинг и фишинг.
  Кроме того, существенное влияние на обеспечение конфиденциальности информации и защиты персональных данных оказывают различия между поколениями. Для молодых сотрудников обмен информацией может выходить за рамки традиционных представлений о конфиденциальности. Сотрудники старшего возраста придерживаются иного взгляда. Данный факт не был обойден вниманием респондентов, 56% из которых рассматривают «культурную интерпретацию» в качестве «средней» или «очень высокой» угрозы ИБ своей компании.
  В текущем году только 28% респондентов сочли себя «очень уверенными» или «весьма уверенными» в отношении реагирования на внутренние угрозы, тогда как в 2007 году данная цифра составляла 51%. 41% опрошенных столкнулись, по крайней мере, с одним случаем нарушения внутренней информационной безопасности за последний год. Кроме того, у компаний нет необходимых ресурсов для того, чтобы справляться с вновь возникающими сетевыми уязвимостями. Только 47% респондентов используют программы по обеспечению защиты конфиденциальной информации, и лишь в 44% опрошенных компаний есть руководитель, ответственный за обеспечение защиты персональных данных (в прошлом году данный показатель составлял 50%). 
  Наряду с этим у многих компаний отсутствуют программа по соответствию требованиям законодательства в области защиты персональных данных (33%), действующие формализованные регламенты в области обеспечения защиты персональных данных (28%) или формализованные процедуры в отношении уничтожения персональных данных (28%).
  Компании сектора высоких технологий, телекоммуникаций и СМИ и сталкиваются с огромным количеством требований действующего законодательства и нормативных актов, которые относятся к вопросам ИБ и должны строго соблюдаться, особенно в условиях финансового кризиса. Их несоблюдение может повлечь за собой наложение внушительных штрафов и привлечение к ответственности. 
  Однако для эффективного снижения рисков в сфере ИБ недостаточно только соблюдать указанные правила и нормативы. По словам более 67% респондентов, нормативные требования в области ИБ в лучшем случае «в некоторой степени эффективны» для улучшения общего уровня информационной безопасности. Большинство респондентов (57%) считают, что эффективное соблюдение нормативно-правовых требований осложняется либо недостаточным финансированием, либо отсутствием поддержки со стороны высшего руководства.

Источник: Пресс-служба компании «Делойт», СНГ

Новые подробности о британской базе биометрических данных


  Министерство внутренних дел Великобритании обнародовало новые подробности о формируемой в Соединенном Королевстве новой базе биометрических данных. Как сообщает Российский биометрический портал BIOMETRICS.RU со ссылкой на ZDNet UK, эта база создается в рамках реализации проекта Национальной идентификационной схемы.
  Формирование национального хранилища биометрических идентификационных данных (National Biometric Identity Store — NBIS) возложено на компанию IBM, с которой подписан соответствующий контракт стоимостью в 265 миллионов британских фунтов. В это хранилище станут заноситься сведения об отпечатках всех 10 пальцев рук тех британцев, что обращаются за получением идентификационных документов нового поколения — биометрических загранпаспортов и ID-карт, удостоверяющих личность на территории самого королевства. Хранилище будет содержать как цифровые модели биометрических идентификаторов, так и изображения отпечатков пальцев.
  Вместе с тем в чипах упомянутых идентификационных документов предусматривается размещать сведения об отпечатках всего лишь двух пальцев. Отвечая на вопросы о том, зачем тогда сканировать отпечатки всех 10 пальцев рук у соискателей биометрических паспортов и ID-карт, представители МВД и Идентификационной и паспортной службы называют несколько причин.
  Во-первых, сканирование отпечатков всех 10 пальцев рук должно предотвратить возможные мошенничества, когда один и тот же человек пытается получить второй паспорт или ID-карту под другой фамилией и проходя идентификацию по ранее не отсканированным отпечаткам пальцев. Во-вторых, эта мера должна помочь тем людям, у которых возникают проблемы со сканированием отпечатков пальцев (например, пожилым гражданам).
  Представители МВД и Идентификационной и паспортной службы заверяют, что хранилище NBIS будет функционировать отдельно от базы данных об отпечатках пальцев Ident1, которую эксплуатирует британская полиция. Полицейские получат доступ к NBIS только в исключительных случаях, предусмотренных законодательствам, — например, когда этого потребует предотвращение или расследование преступлений или «интересы национальной безопасности».

Источник: BIOMETRICS.RU

пятница, 29 мая 2009 г.

Плановые проверки Роскомнадзора (включая выполнение требований в сфере обработки персональных данных)


  Роскомнадзор опубликовал на своем сайте (http://www.rsoc.ru/main/directions/contr/) сведения о планируемых проверках на 2009 год. Достаточно много компаний попали под формулировку «проверка соблюдения обязательных требований: в сфере обработки персональных данных».
  Как сообщается, это сделано в соответствии с Федеральным законом №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
План утвержден Руководителем Службы Сергеем Ситниковым 22 мая.

четверг, 28 мая 2009 г.

Россвязькомнадзор предостерегает нижегородцев от предоставления избыточных персональных данных


  Нижний Новгород. 27 мая. НТА-Приволжье – Управление Федеральной службы по надзоры в сфере связи и массовых коммуникаций (Россвязькомнадзора) по Нижегородской области предостерегает нижегородцев от предоставления в различные организации избыточных персональных данных. 
  Об этом заместитель начальника управления Валерий Репин заявил журналистам в среду.
  По его словам, согласно принятому 27 июля 2006 года федеральному закону "О персональных данных" установлены права и обязанности граждан и операторов обработки персональных данных. Документ предполагает законность цели обработки персональных данных, соответствие обработки данных цели оператора, соответствие объемов и способов запрашиваемых персональных данных установленной цели, достаточность и не избыточность запрашиваемых данных и недопустимость объединения баз данных, составленных с разными целями.
  Между тем, по словам В.Репина, запрошенные персональные данные, особенно паспортные, могут использоваться и в преступных целях, в том числе для осуществления незаконной предпринимательской деятельности, открытия счета в банке на чужое имя, взятия кредита. Так, по словам начальника отдела по защите прав субъектов персональных данных нижегородского управления Россвязькомнадзора Натальи Бычковой, в одном из субъектов РФ организация снимала копии с паспортов посетителей и затем на их имя открывала предприятия, занимающиеся незаконным бизнесом. 
  "От нас постоянно требуют указания наших персональных данных, от детского сада до магазина. Объем данных должен соответствовать условиям оператора, обрабатывающего персональные данные. Некоторые организации запрашивают при входе в помещение или при оформлении карты покупателя паспортные данные, однако в этом не всегда имеется необходимость", - отметила Н.Бычкова.
  Кроме того, по ее словам, в ходе проверки нижегородских банков управление Россвязькомнадзора по Нижегородской области обнаружила в одном из них необходимость указания таких данных, как наличие судимости и состояние здоровья (на предмет нахождения клиента на учете в психоневрологическом диспансере). Указанные данные согласно законодательству являются избыточными, поэтому было выдано предписание устранить выявленные нарушения.
  В.Репин, в свою очередь, сообщил, что за 2008 - начало 2009 года нижегородское управление Россвязькомнадзора провело 16 проверок операторов обработки персональных данных в регионе, в том числе 11 – по обращениям граждан, 5 – плановых. В частности, проверялись банковские и страховые организации, предприятия жилищно-коммунального хозяйства (ЖКХ), органы местного самоуправления (МСУ), территориальные отделения федеральных органов исполнительной власти. 
  По его словам, на территории Нижегородской области заявления на включение в Реестр операторов обработки персональных данных за 2008 - 2009 годы подали лишь 970 операторов, в то время как в Нижегородской области зарегистрировано около 150 тыс. юридических лиц, которые так или иначе запрашивают и обрабатывают персональные данные. При этом, по мнению В.Репина, обязательно должны подать заявление на включение в Реестр крупные промышленные предприятия, так как они оперируют персональными данными в широком масштабе. Между тем, в настоящее время заявления на включение в Реестр Нижегородской области подали в основном соцучреждения (детские сады, школы) и банки, в то время как доля коммерческих структур в реестре не превышает 2%.
  Между тем, как сообщалось ранее, по состоянию на конец апреля Управление Россвязькомнадзора по Нижегородской области внесло в реестр операторов, осуществляющих обработку персональных данных, 941 организацию.
  Указанная работа ведется Управлением с конца 2007 года. На конец апреля 2009 года в Управление поступило более 1 тыс. уведомлений.

Источник: ИА «НТА—Приволжье»

ФСБ стремится обязать операторов использовать только отечественную криптографию


  ФСБ стремится обязать операторов использовать только отечественную криптографию, рассказывает начальник отдела Центра лицензирования, сертификации и защиты государственной тайны ведомства Леонид Беляев. По крайней мере, в сетях особого назначения. Пока же страна, по его мнению, находится «под колпаком» у США (из выступления в рамках Недели российского бизнеса, организованной РСПП).
  Насыщенность иностранной криптографией влияет на информационную безопасность страны. По данным Совета безопасности, в российских информационно-коммуникационных технологиях используется до 98% зарубежных разработок и оборудования, что и составляет самую большую проблему.
  ФСБ в первую очередь беспокоит обилие иностранных средств криптографии в телекоммуникационных сетях. Причем не только в социальных, но и в сетях особого назначения. Криптография почти вся американская. Ее обилие приводит к проблемам и с Советом безопасности, и к проблемам непосредственно с защитой информации.
  Многие полагают, что использование шифровальных алгоритмов с большой длиной ключа прекрасно защищает информацию. На самом деле это не совсем так. В США действует доктрина, подписанная еще в прошлом веке. В ней говорится, что любые используемые средства защиты информации должны быть прозрачны для спецслужб страны. Поэтому не надо надеяться, что можно обеспечить информационную безопасность американскими разработками.
  Простой пример. Есть известный бренд BlackBerry, под которым, помимо прочего, выпущено программное обеспечение, позиционирующееся как защищенная почта. Индия попросила у производителя (канадская компания RIM) предоставить возможность протестировать систему в ведомствах, борющихся с преступностью. Производитель подтвердил, что система прекрасно защищена, и никто, кроме двух абонентов, в том числе и производитель, не получит доступа к информации.
  Почти одновременно с этим запросом большой поклонник BlackBerry Барак Обама, как только стал президентом США, получил предупреждение и предложение от спецслужб заменить систему на другую, более надежную. Это говорит о том, что американские средства, которые поступают к нам, прозрачны для американских спецслужб.
  Для защиты информации должны использоваться именно наши отечественные технологии, в первую очередь сертифицированные. Таких разработок уже достаточно. Отечественные продукты отстают от зарубежных с точки зрения дизайна, но по функциональности намного опережают.
  Работа в этом направлении началась в рамках подготовки вступления России в ВТО. Представители США и стран Европы настаивали, что необходимо сильно упростить процедуру ввоза шифровальных средств. Переговоры закончились компромиссным решением. Для импорта будет создана прозрачная система лицензирования и экспертизы. Уже готов проект постановления, которым вся продукция делится на две категории: вспомогательную и основную. Для категорий определены различные принципы ввоза, что согласовано с администрацией и аппаратом правительства и отражено в проекте. Для вспомогательных средств будут применяться упрощенные правила ввоза. Для основных – будут введены лицензирование импортеров и экспертиза продукции.
  Одновременно надо поставить под контроль всю криптографию, которая производится в России. Для этого был полностью переработан указ от 3 апреля 1995 года № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации». Чтобы исключить проникновение иностранной криптографии на наш рынок, особенно на критически важные объекты, как можно больше расширены направления использования российских сертифицированных средств. Проект указа уже находится в правительстве. Есть надежда, что в ближайшее время документ примут, и им можно будет руководствоваться. Конечно, это не последний шаг в области обеспечения информационной безопасности, а промежуточный. Но он позволит сделать принципы ввоза и использования средств защиты прозрачными и повысить контроль над ними.

Источник: finansmag.ru

Каждый третий сотрудник телекоммуникационной компании готов рассмотреть вопрос о продаже коммерческой информации своих клиентов


  Излишнее доверие к сотрудникам телекоммуникационных компаний может принести серьезный вред. 
  Более 30% сотрудников IT компаний признались в ходе опроса, проведенного исследовательским холдингом "Анкор", что могли бы принять запрос о продаже коммерческой информации. Более половины -57% опрошенных рассказали, что с переходом на новое место работы уносят с собой коммерческую информацию и разработки, строго отрицательно на этот вопрос ответили ли 26% специалистов.
  Сохранность конфиденциальных данных уже привлекла внимание контролирующих органов. Руководитель Роскомнадзора Сергей Ситников на расширенном заседании коллегии Министерства связи и массовых коммуникаций заявил, что наметилась тенденция к росту количества обращений граждан, связанных с незаконным распространением сведений о них на интернет-сайтах. 
  "Характер размещаемой в интернете информации о персональных данных граждан позволяет полагать, что утечки происходят, в том числе из госорганов. Это вызывает у нас особую тревогу" - подчеркнул Ситников. 
  По словам Сергей Ситникова деятельность двух интернет - ресурсов, незаконно предоставляющих услуги доступа к персональным данным, уже приостановлена, адреса сайтов чиновник не назвал.
  Самой "нашумевшей" за последний год стала история с сайтом Radarix.com, который появился весной 2008 года. На этом ресурсе можно было найти данные обо всех жителях России и СНГ. В базе данных Radarix была информация, актуальная на 2003-2004 годы. Найти интересующую персону можно было по имени и фамилии, номеру водительского удостоверения, адресу, телефону, ИНН и т.д.
  В апреле 2009 года работа Radarix.com была заблокирована. Когда пользователь открывал страницу, он видел крупную надпись: "Ресурс закрыт в соответствии с конвенцией совета Европы "О защите физических лиц при автоматизированной обработке персональных данных". Также на сайте была размещена ссылка на интернет-страницу Федеральной службы безопасности России.

Источник: dp.ru

среда, 27 мая 2009 г.

Плановые и внеплановые проверки реализации положений ФЗ №152-ФЗ «О персональных данных» Территориальными Управлениями Роскомнадзора в мае 2009 года


29 мая 2009
Татарстан (http://16.rsoc.ru/news/?id_news=159) - 1 проверка - РКН - плановая
Башкортостан (http://02.rsoc.ru/news/?id_news=109) - 1 проверка - РКН
Саратовская обл. (http://64.rsoc.ru/news/?id_news=42) - арбитражный суд - отказ в удовлетворении требований о признании незаконными требований РКН 

27 мая 2009
Ульяновская обл. (http://www.rsoc.ru/main/about/regional_news.shtml?id_news=2410) - обращение в прокуратуру - РКН - по результатам мониторинга СМИ
26 мая 2009
Ингушетия (http://poriadok.ru/main/news/2009/05/26/1856/) - 1 проверка - прокуратура
25 мая 2009
Ростовская обл. (http://61.rsoc.ru/news/?id_news=220) - 1 проверка - РКН - плановая
22 мая 2009
Челябинская обл. (http://www.nr2.ru/chel/233249.html) - суд, по представлению прокуратуры
21 мая 2009
Нижегородская обл. (http://www.vremyan.ru/news/realizatsiju_zakona_o_personalnyx_dannyx_proverjat_v_kazhdom_rajone.html) - 16 проверок (итог) - РКН - 5 плановых и 11 неплановых
Краснодарский край (http://23.rsoc.ru/news/?id_news=230) - адм. ответственность - РКН - по внеплановой проверке
20 мая 2009
Пензенская обл. (http://www.procpenza.ru/?menu=64&id=599) - 1 проверка - прокуратура
19 мая 2009
Краснодарский край (http://23.rsoc.ru/news/?id_news=228) - РКН - обзор
Новосибирская обл. (http://54.rsoc.ru/news/?id_news=36) - 1 проверка - прокуратура, на основании обращения РКН
18 мая 2009
Краснодарский край (http://23.rsoc.ru/news/?id_news=227) - адм. ответственность - РКН - по внеплановой проверке
15 мая 2009
Ульяновская обл. (http://uloblproc.mv.ru/news/last/?id=2261&dat=2009-05-15) - 1 проверка - прокуратура
Мари-Эл (http://proc.gov12.ru/newsline-detail.htm?news_start=10&news_id=961&news_start=10&&) - 1 проверка - прокуратура
14 мая 2009
Дагестан (http://www.rsoc.ru/main/about/regional_news.shtml?id_news=2355) - 1 проверка - РКН - плановая
Тверская обл (http://69.rsoc.ru/news/?id_news=69) - 2 проверки - РКН - плановые
13 мая 2009
Тверская обл. (http://it4business.ru/itsec/Federal'nyjjArbitrazhnyjjSudSeveroZapadnogoOkruga13052009) - арбитражный суд по кассационной жалобе на проверку РКН
12 мая 2009
Приморский край (http://25.rsoc.ru/news/?id_news=108) - РКН
08 мая 2009
Самарская обл. (http://63.rsoc.ru/news/?id_news=39) - 1 проверка - РКН - плановая
07 мая 2009
Челябинская обл. (http://www.chelproc.ru/default.aspx?c_id=1&method=NewsFullText&templateName=FullText2&s_id=8&m_id=2&NewsId=2448) - прокуратура
Приморский край (http://www.prosecutor.ru/pressrelease/1241675383/) - прокуратура
06 мая 2009
Томская обл. (http://70.rsoc.ru/news/?id_news=81) - 1 проверка - РКН - плановая
Воронеж (http://36.rsoc.ru/news/?id_news=135) - РКН
05 мая 2009
Кировская обл. (http://www.prokuror.kirov.ru/news/detail.php?ID=4784) - 1 проверка - прокуратура
04 мая 2009
ЕАО (http://79.rsoc.ru/news/?id_news=56) - 1 проверка - РКН - плановая

Источник: http://community.livejournal.com/personal_data/

Руководитель Роскомнадзора подписал приказ о переименовании территориальных управлений Службы


   Территориальные управления Россвязькомнадзора переименованы в территориальные управления Роскомнадзора. Соответствующий приказ подписал Руководитель Федеральной службы Сергей Ситников.

   Другими приказами С. Ситникова утверждены Положения о 78 территориальных управлениях Роскомнадзора.

Источник: rsoc.ru

вторник, 26 мая 2009 г.

Практическая конференция «Защита персональных данных»


Организаторы: Академия Информационных Систем.
Даты проведения: 21 – 28 июня 2009 года. 
Место проведения: Хорватия, Сплит.

   Актуальность темы ни у кого не вызывает сомнений, о чем говорит большое количество конференций, семинаров и других разъяснительных мероприятий, которые периодически проводятся, в частности, с непосредственным участием представителей Роскомнадзора, ФСТЭК России и ФСБ России. Несмотря на это, с каждым днем появляется все больше и больше вопросов, связанных с практической реализацией требований Федерального Закона № 152-ФЗ. Ситуацию осложняет и тот факт, что с 01.01.2010 года начнут применяться фискальные меры за несоблюдение этого закона.

   Главной целью проведения данного мероприятия, является обмен практическим опытом между организациями, которые успешно начали внедрять и/или внедрили информационные системы персональных данных, удовлетворяющие требованиям Федерального Закона № 152-ФЗ «О персональных данных».

   Аудитория: к участию в мероприятии приглашаются специалисты кредитно-финансовых учреждений, операторов связи, телекоммуникационных компаний, органов здравоохранения, страховых и транспортных компаний, представители государственных и коммерческих организаций, а также представители регуляторов, в том числе ФСТЭК России, ФСБ России и Роскомнадзора.

   Программа конференции:

   1. Рабочая секция «Характерные недостатки выполнения требований Федерального Закона № 152-ФЗ «О персональных данных». Оценка и характеристика выявленных Роскомнадзором недостатков».
   2. Рабочая секция «Методика оценки защищенности персональных данных в информационной системе организации. Имеются ли отличия от методик, применяемых для оценки защищенности других видов конфиденциальной информации?»
   3. Круглый стол «Особенности построения систем защиты персональных данных в распределено-телекоммуникационных сетях».
   - Вопросы подготовки оператора персональных данных (организации-Заказчика) к проведению аудита защищенности персональных данных;
   - Обеспечение неизменности программно-аппаратной среды аттестованной системы защиты от НСД к персональным данным.

 Условия участия:
Стоимость участия в мероприятии составляет 2700 евро.
В пакет участника входит
Авиаперелет (Москва – Сплит - Москва);
Трансфер по маршруту а/п – отель - а/п;
Участие в деловой программе; 
Участие в культурной и экскурсионных программах; 
Проживание в отеле 4*. Одноместное заселение;
Питание, в т.ч. тематические вечера 
в соответствии с программой конференции.


понедельник, 25 мая 2009 г.

АИС приняла участие в IV-х учебно-методических сборах руководителей служб безопасности и подразделений по персоналу АФК «Система»


   В период с 21 по 22 мая 2009 года мне удалось принять участие в IV-х учебно-методических сборах руководителей служб безопасности и подразделений по персоналу Акционерной Финансовой Корпорации «Система» (АФК «Система»).
   Академия Информационных Систем была организатором 8-ми докладов по наиболее актуальным проблемам обеспечения ИБ:
- Расследование преступлений в сфере мобильных телекоммуникаций. Этапы.
- Стратегии и тактики противодействия мошенническим операциям с банковскими картами.
- Современные подходы в построении эффективных систем обеспечения ИБ.
- Изменения в законодательстве РФ в сфере ИБ. Правонарушения и ответственность.
- Разъяснение основных требований новых нормативно-методических документов по организации защиты персональных данных.
- Лицензирование деятельности по ТЗКИ (применительно к защите ПДн).
- Организационно-правовые проблемы борьбы с правонарушениями в сфере компьютерной информации.
- Расследование преступлений в сфере компьютерной информации.
   В качестве слушателей присутствовали представители менеджмента компаний, входящих в корпорацию АФК «Система».
   По окончании семинаров всем слушателям были выданы сертификаты АИС по соответствующему направлению.

  Для справки:
  АФК «Система» - крупнейшая в России и СНГ публичная диверсифицированная корпорация, владеющая и управляющая пакетами акций компаний, работающих в быстрорастущих сервисных секторах экономики. В настоящее время в портфеле АФК «Система» сосредоточены наиболее перспективные активы в таких отраслях как телекоммуникации (МТС, МГТС, "Комстар Объединенные Телесистемы"), высокие технологии (НИИМЭ и завод «Микрон», «Стром-Телеком», «Ситроникс», «Квазар-Микро»), страхование (РОСНО), недвижимость («Система-Галс»), банковский сектор (АКБ «МБРР»), розничная торговля («Детский Мир») и масс-медиа (Системы Масс-медиа) и многие другие.

Вебинар RISSPA по противодействию DDoS-атакам


  Ассоциация RISSPA оценила все преимущества проведения он-лайн конференций и планирует очередной вебинар провести 27 мая в 10:00 по Московскому времени. Как и во всех мероприятиях Ассоциации участие в вебинаре бесплатное.
  В рамках вебинара будут рассмотрены основные меры и тенденции в области противодействия DDoS-атакам, а также реальный практический опыт.

  DDoS-атаки - распределенные атаки типа отказ в обслуживании (DDoS - Distributed Denial of Service). Сегодня подобный тип атак является одним из самых распространенных и опасных. Ежегодно атаки DDoS стоят различным компаниям и госструктурам миллиарды долларов и таят в себе серьезную угрозу для любой компьютерной системы. Результат таких атак - длительные простои системы, потерянная прибыль и др.

  Программа семинара и докладчики:
  1) «Стратегии защиты от DDoS-атак», Ларин Виктор, глава представительства ARBOR Networks в России и СНГ;
  2) Решение Cisco Clean Pipes по защите от DDoS-атак», Антонов Павел, технический консультант, Cisco Systems; 
  3) «Оценка эффективности противодействия DDoS-атакам», Сергей Гордейчик, руководитель отдела консалтинга и аудита, Positive Technologies; 
  4) «Практические аспекты защиты от DDOS-атак», Емельянов Роман, начальник отдела развития систем информационной безопасности, ТТК.

Источник: risspa.org

Правительство Нижегородской области рассмотрело вопрос о реализации закона "О персональных данных"


  Региональный кабинет министров на заседании 21 мая заслушал вопрос о реализации Федерального закона "О персональных данных" на территории Нижегородской области. Целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  Для реализации функций по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных в 2008 году в Управлении Россвязькомнадзора по Нижегородской области был создан отдел по защите прав субъектов персональных данных. 
  Как сообщили корреспонденту REGIONS.RU в пресс-службе губернатора и правительства региона, на сегодня отделом было проведено 5 плановых мероприятий по контролю за соответствием обработки персональных данных требованиям законодательства Российской Федерации и 11 внеплановых мероприятий. Мероприятия проводились как в отношении юридических лиц и индивидуальных предпринимателей, так и в отношении органов местного самоуправления и территориальных органов федеральных органов исполнительной власти. 
  Наиболее распространенными нарушениями законодательства в области обработки персональных данных являются: 
  - отсутствие договора между оператором и третьим лицом на обработку персональных данных, а также отсутствие в договоре требований обеспечения конфиденциальности и безопасности; 
  - отсутствие письменного согласия субъекта на обработку его персональных данных или несоответствие содержания согласия субъекта требованиям законодательства РФ. 
  Всего по итогам проведенных проверок Управлением Россвязькомнадзора по Нижегородской области было выдано 10 предписаний об устранении выявленных нарушений. Следует отметить, что неисполненных предписаний с наступившим сроком устранения в настоящий момент нет. 
  В настоящее время в Реестр операторов, осуществляющих обработку персональных данных, включено более 46 тысяч юридических, физических лиц, индивидуальных предпринимателей, негосударственных и муниципальных органов. 
  Управлением Россвязькомнадзора по Нижегородской области работа по созданию Реестра операторов, осуществляющих обработку персональных данных, ведется с конца 2007 года. На конец апреля 2009 г. в Управление поступило более 1000 уведомлений. По результатам проведенной обработки уведомлений в Реестр внесены 941 оператор.

Источник: REGIONS.RU

Правительство РФ определило ответственных за обеспечение безопасности информационных систем для размещения информации госорганов в Интернете


  МОСКВА, 22 мая. /ПРАЙМ-ТАСС/. Правительство РФ определило ответственных за обеспечение безопасности информационных систем для размещения информации госорганов в Интернете. Об этом говорится в постановлении правительства РФ от 18 мая 2009 г N 424.
  Постановление касается информационных систем, созданных или используемых в целях реализации полномочий федеральных органов исполнительной власти и содержащих сведения, обязательные для размещения в информационно-телекоммуникационной сети Интернет /информационных систем общего пользования/.
  Согласно постановлению, операторы информационных систем общего пользования при подключении этих систем к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц /Интернету – прим. ПРАЙМ-ТАСС/, обязаны обеспечить:
  - защиту информации, содержащейся в информационных системах общего пользования, от уничтожения, изменения и блокирования доступа к ней;
  - постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования;
  - восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более 8 часов;
  - использование при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям средств защиты информации, прошедших оценку соответствия /в том числе в установленных случаях сертификацию/, в порядке, установленном законодательством Российской Федерации.
  Операторы информационных систем общего пользования и операторы связи обязаны обеспечивать информационную безопасность при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям.
  Правительство также поручило Министерству связи и массовых коммуникаций в 3-месячный срок утвердить требования по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования.
  Федеральной службе безопасности /ФСБ/ совместно с Федеральной службой по техническому и экспортному контролю /ФСТЭК/ в трехмесячный срок поручено утвердить требования о защите информации, содержащейся в информационных системах общего пользования.
  Постановлением рекомендовано органам государственной власти субъектов РФ учитывать требования, предусмотренные этим постановлением, при подключении региональных государственных информационных систем к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц.

Источник: Прайм-Тасс

Российский рынок ИТ-безопасности кризису неподвластен


  Российский рынок систем защиты информации сохранил высокие темпы роста в прошлом году. Согласно отчету исследовательской компании IDC, рост рынка составил 46,7%. Положительная динамика ожидается и в будущем году, однако высока вероятность замедления темпов роста.
  В отчете "Russia Security Software 2009-2013 Forecast and 2008 Vendor Shares"компании IDC, посвященном состоянию российского рынка систем информационной безопасности, сказано, что общий объем рынка составил $211 млн. Это на 46,7% больше, чем в 2007 году. В России в 2007 году, по данным IDC, рынок систем безопасности вырос на 75,8% и достиг показателя в $156 млн. IDC пересмотрела свой предыдущий прогноз, в котором было сказано, что рост систем безопасности в ближайшие 5 лет сохранится на уровне 42%. В новом отчете высказано предположение, что рынок будет расти в среднем на 16% ежегодно. 
  Рост программного обеспечения в сфере информационной безопасности снизился на 30% по сравнению с 2007 годом. Однако и в этом случае он выше на 21%, чем на рынке ПО в целом. Более того, специалисты IDC считают, что и в будущем сегмент рынка ПО для обеспечения безопасности будет более перспективным, нежели нежели рынок программных продуктов в целом. 
  Наиболее динамичный рост на рынке ИТ-безопасности в прошлом году показал сегмент домашних пользователей и малого бизнеса. А вот корпоративный рынок демонстрировал сокращение ИТ-бюджетов, что повлияло и на долю этого сегмента в общей структуре рынка систем информационной безопасности. 
  Согласно отчету IDC, 60% рынка систем безопасности в России контролируют несколько компаний: "Лаборатория Касперского", Eset, CheckPoint, Symantec и Microsoft.

Источник: Ruformator.ru

63% web-сайтов содержат опасные уязвимости


  Компания WhiteHat Security опубликовала результаты исследования безопасности web-сайтов в сети. В соответствии с представленным отчетом, программное обеспечение 63% исследованных сайтов различных компаний содержит по меньшей мере одну критическую или опасную уязвимость. При этом в среднем на один сайт приходится 7 неисправленных проблем безопасности, среди которых лидируют уязвимости, позволяющие осуществить межсайтовый скриптинг (подвержено 65% сайтов) и ошибки приводящие к утечке информации (47% сайтов). 
  Около 30% сайтов содержат ошибки, позволяющие формировать подставной контент (spoofing), 18% имеют проблемы с авторизацией пользователей, 17% позволяют осуществлять подстановку SQL кода, 14% размещают скрытые ресурсы в предсказуемых местах, 11% допускают перехват сессий, 11% подвержены CSRF (cross-site request forger) атакам. 
  Если рассматривать степень подверженности уязвимостям сайтов в зависимости от области деятельности поддерживающих их организаций, то уязвимости были зафиксированы у 82% сайтов социальных сетей; 75% у сайтов фирм, связанных с информационными технологиями; 65% - финансовые компании; 64% - страховые фирмы; 61% - компании, занимающиеся розничной продажей; 59% - фармацевтические фирмы; 54% - предприятия, работающие в области телекоммуникаций; 47% - организации, связанные со здравоохранением. 
  Кроме того, в отчете подчеркнута проблема низкой эффективности и медлительности исправления ошибок. Например, среднее время исправления уязвимости, позволяющей осуществить подстановку SQL кода - 38 дней, XSS уязвимости - 58 дней, устранение утечки информации - 85 дней, проблемы с аутентификацией - два месяца.

Источник: Opennet.ru

Национальные архивы США потеряли диск с терабайтом приватных данных


  Национальное управление архивов и документации США (National Archives and Records Administration) сообщило о потере жесткого диска, содержащего большое количество информации, которая не предназначена для посторонних глаз.
  По предварительным данным, на винчестере хранились номера социального страхования и адреса проживания сотрудников администрации президента Билла Клинтона. Кроме того, диск содержал документы, касающиеся деятельности Секретной службы и Белого дома. В общей сложности носитель содержал около терабайта информации. 
  Жесткий диск, по всей видимости, пропал в период с октября 2008 по март 2009 года, однако об утере Национальное управление сообщило только сейчас. Ведомство намерено проинформировать о случившемся лиц, данные о которых были записаны на винчестере; Федеральное бюро расследований (FBI) уже завело по факту пропажи уголовное дело. 
  Пока не совсем ясно, был ли жесткий диск похищен злоумышленниками — или же его пропажа произошла по халатности архивистов. Как сказали работники ведомства, винчестер некоторое время не использовался и просто хранился на полке.

Источник: Компьюлента

пятница, 22 мая 2009 г.

Сотрудник «Росгосстраха» торговал данными москвичей


  Бывший сотрудник отдела телефонных продаж «Росгосстраха» приговорен к году колонии-поселения за продажу клиентской базы данных. За информацию о 34 тыс. клиентов он пытался получить 50 тыс. рублей.

  Таганский районный суд вынес приговор в отношении ведущего специалиста отдела телефонных продаж ООО «Росгосстрах-Столица», обвиняемого в разглашении коммерческой тайны. Как сообщает прокуратура Москвы, гражданин Молдавии 22−летний Иван Швага получил год лишения свободы с отбыванием наказания в колонии-поселении.
  Согласно материалам дела с октября 2006 года по июнь 2008 года, работая в «Росгосстрах-Столице», Швага имел доступ к клиентским базам, содержащим сведения о физических лицах — клиентах общества. В частности, в базах находились полные анкетные данные, включающие фамилии, имена, отчества, адреса мест регистрации (жительства), номера телефонов, объекты страхования (марки, модели автомобилей, идентификационные номера, регистрационные знаки, годы выпуска), суммы страховых премий, сроки действия договоров, номера страховых полисов. 
  Преступник скопировал клиентскую базу на флеш-карту, а 6 февраля 2009 года нашел в интернете покупателя, заинтересованного в этой информации, и договорился о встрече в одном из кафе столицы. 
  Покупателем выступил сотрудник департамента экономической и информационной безопасности ООО «ХК «Росгосстрах». Швага продал ему информацию о более чем 34 тыс. физических лиц за 50 тыс. рублей, после чего был задержан сотрудниками милиции.
  Дело расследовалось по ч. 3 ст. 183 УК (незаконное разглашение сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому она стала известна по работе, совершенное из корыстной заинтересованности). 
  Как сообщали ранее в «Росгосстрахе», сотрудник получил допуск к базе данных, чтобы обзвонить клиентов и напомнить, что у них заканчивается срок действия страхового полиса.

Источник: http://infox.ru

среда, 20 мая 2009 г.

Роскомнадзор считает необходимым ограничить число данных, предоставляемых населением операторам


  Москва. 20 мая. ИНТЕРФАКС - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) считает необходимым ограничить перечень информации, запрашиваемой операторами персональных данных, сообщил руководитель службы Сергей Ситников на пресс-конференции в центральном офисе "Интерфакса" в среду.
  По словам С.Ситникова, в настоящее время на законодательном уровне не определены критерии, определяющие достаточность перечня персональных данных, запрашиваемых операторами, осуществляющих их обработку.
  Он отметил, что растет количество обращений населения, связанных с незаконным распространением персональных данных на интернет-сайтах. При этом утечки происходят, в том числе и из государственных органов.
  Также глава службы отметил организационно сложную и финансово обременительную методологию, обусловленную требованиями смежных организаций. В первую очередь это относится к операторам муниципального уровня - детским садам, школам, больницам.
  Роскомнадзор внес в план законопроектных работ Минкомсвязи на 2009 год предложения по разработке концепции закона о внесении изменений в федеральный закон "О персональных данных".

Источник: Интерфакс

Роскомнадзор не настаивает на регистрации как СМИ интернет-сайтов с новостями


  Москва. 20 мая. ИНТЕРФАКС - Руководство Роскомнадзора не поддерживает предложение об обязательной регистрации информационных интернет-сайтов как средств массовой информации.
  "Когда создается сайт, его вовсе не обязательно регистрировать как средство массовой информации. Более того, мы не разделяем требования о необходимости регистрировать отдельные сайты, которые имеют новостную линейку, как СМИ", - заявил руководитель Роскомнадзора Сергей Ситников на пресс-конференции в центральном офисе "Интерфакса" в среду.
  Между тем, по его словам, "на сегодняшний день ситуация со средствами массовой информации, которые работают в интернет-среде, не отрегулирована, хотя проблема ясна".
  Он уточнил, что создатели сайтов регистрируют их как СМИ для того, чтобы легально заниматься рекламным бизнесом, привлекать информационные заказы, а также получить журналистам доступ к информации.
  "Зарегистрированное интернет-СМИ подпадает под закон о средствах массовой информации", - сказал С.Ситников. Поэтому, если у правоохранительных органов возникают претензии к материалам, размещенным на этих ресурсах, они "передают эти вопросы в наш надзорный орган для профессиональной оценки ситуации".
  "Там, где сайт не зарегистрирован как СМИ, начинается работа правоохранительных органов", - добавил глава Роскомнадзора.

Источник: Интерфакс

Госдума запретила сообщать народу о чиновничьих преступлениях


   Госдума запретила размещать в интернете "позорные доски" с именами государственных служащих, совершивших должностные преступления. Народные избранники настаивают на конфиденциальности сведений о судимостях чиновников, однако по закону эти данные к секретным не относятся, пишут "Новые известия". 
   Законопроект с оригинальной идеей сетевой "позорной доски" был внесен еще в 2007 году. В документе было перечислено 9 соответствующих статей УК: злоупотребление должностными полномочиями и их превышение, нецелевое расходование бюджетных средств, незаконное участие должностного лица в предпринимательской деятельности, получение взятки, служебный подлог, халатность. 
   На сайте кабинета министров предлагалось публиковать фамилию, имя, отчество; дату рождения преступника, занимаемую им до осуждения должность и статьи УК, дату вступления приговора в законную силу; назначенное наказание; а также "иную информация по усмотрению правительства". После погашения или снятия судимости информация с сайта должна была удаляться. 
   Однако депутаты большинством голосов отклонили этот законопроект. Комитет по гражданскому, уголовному, арбитражному и процессуальному законодательству настоял на том, что персональные данные о судимости субъекта,являются конфиденциальными, а значит "в вопросе их опубликования не может применяться избирательный подход только к определенной группе осужденных, так как это противоречит конституционному принципу равенства прав человека и гражданина". 
   За право граждан знать все о чиновниках-коррупционерах все же высказались некоторые депутаты. Представитель фракции ЛДПР Сергей Иванов поинтересовался, чем чиновники лучше обычных правонарушителей, замеченных в гораздо меньших проступках. Он напомнил, что в советское время на специальных досках вывешивались фотографии безбилетников, а сейчас – фотографии тех, кто ворует в супермаркетах. Коммунист Николай Коломейцев обратил внимание, что в большинстве развитых стран законы защищают не тех, кого осудили, а общество. 
   Эксперты: налогоплательщики должны знать, кого они "кормят" 
   Эксперты считают аргументы Госдумы необоснованными: по закону никакого секрета данные о судимости чиновников не представляют. Так, президент Комиссии по свободе доступа к информации Иосиф Дзялошинский отмечает, конфиденциальной информация о судимости является только в том случае, если судимость снята. 
   Такого же мнения придерживается и директор Института развития свободы информации Иван Павлов. По его словам, сокрытие данных о преступлениях, совершенных представителями власти, противоречит основным принципам уголовного и уголовно-процессуального законодательства. К тому же, любая информация о представителях власти социально значима в силу своей природы: граждане-налогоплательщики, должны знать, что власть делает на те средства, которые они перечисляют в бюджет.

Источник: newsru.com

вторник, 19 мая 2009 г.

Семинар по персональным данным в Екатеринбурге…взгляд специалиста


   Сейчас в регионах проводится достаточно много мероприятий по просвещению народа по теме персональных данных. Да, эта тема сейчас на волне и на подобных мероприятиях еще можно услышать нечто интересное и вразумительное. Конечно общий процент этого вразумительного за редким исключением превышает величину 5-8 %.
  Недавно в Екатеринбурге состоялся семинар по вопросам обеспечения безопасности персональных данных на котором мне, к сожалению, не удалось побывать. Поэтому привожу описание данного мероприятия, которое я нашел на сайте http://www.securitylab.ru/opinion/379585.php
  Цитирую (дословно) посетителя данного семинара:

  Был семинар в Екатеринбурге. Тема: защита персональных данных. 
Докладчики - один местный ВУЗ, ФСБ, ИЗ, и прочая братия.
Если усушить всё, что они сказали, до внятных и понятных слов, то было сказано следующее:
  1. Закон плохой, не работающий, непонятно как исполнять (это видят все, и было произнесено открытым текстом с трибуны) - но это закон. По запросу на вероятность его изменения непосредственно разработчики закона ответили, что сначала поэкспериментируют на людях, поглядят как эта хрень будет работать, и лишь потом, гарантированно не ранее 2011года. 
  2. При решении задачи исполнения ФЗ 152 и иже с ним, возникают такие-то и такие-то вопросы (далее перечень вопросов, пауза в ожидании аплодисментов). Аплодисментов не последовало, хоть вопросы и были поставлены верно и грамотно, не возразить. Продолжение (вы думаете, ответы на вопросы? Фиг вам!!!) "А если вы не знаете, что делать с этими вопросами, наш ВУЗ с удовольствием обучит вас, как их решать". Вот так. Хотите - научим, за отдельную плату. Фиг с ними, в кризис каждый крутится, как умеет... 
  3. Сроки поджимают, делать что-то надо. Если вы не знаете, что делать, то мы готовы научить вас. За отдельную плату. И МЫ ДАЖЕ ГОТОВЫ ПРЕДОСТАВИТЬ ВАМ АУТСОРСИНГ! Вторят другие докладчики... Которые уже не представители ВУЗа. 
  4. Выход на сцену представителя ФСБ. В брежневском стиле, по бумажке, но чуть побыстрее и чуть внятнее был зачитан текст закона. Всё. Народ в зале развёл руками - может, размахнулся для аплодисментов, но скорее всего от недоумения. 
Да, и в очередной раз было озвучено подтверждение допустимости использования для защиты персональных данных только сертифицированных СКЗИ.
  Всё это действо перемежалось фильмами с рекламой ВУЗа, и устной рекламой ВУЗа. Причём фильмы крутили детской направленности - типа, поглядите какие у нас хорошие спортзалы (видеоряд) и красивые студентки (видеоряд, предствительницы в зале для наглядной демонстрации), и как много зданий у института (видеоряд, половина нарисована в 3D Max), и насколько их станет ещё больше в скором времени. 
  Когда стало очевидно, что ничего действительно полезного я тут не услышу, встал и ушел. Да, прослушал актуальный перечень вопросов, это ценно, ибо правильная постановка задачи иногда несёт половину её решения.
  Для себя сделал вывод, что семь человек, которые будут заниматься в Екатеринбурге проверками, просто порвутся проверять всех, потому что проверять надо именно ВСЕХ. Все конторы работают с персональными данными, почти без исключения. 
  Значит, или играем в игру повезёт-неповезёт с проверкой, оценим это 50/50 по методу блондинки (или придут, или не придут). Или будет заказуха, и постепенное осваивание рынка разными монополистами СКЗИ и прочими "интеграторами" и "аутсорсерами". А скорее, всё это вместе взятое.

Источник: securitylab

Стратегия национальной безопасности Российской Федерации до 2020 года


   Дмитрий Медведев подписал Стратегию национальной безопасности Российской Федерации до 2020 года. Она размещена на сайте Совета Безопасности РФ и с ее содержанием можно ознакомиться по ссылке http://www.scrf.gov.ru/documents/99.html 
Достаточно большой документ и сложно его осилить за один раз.

Национальные стандарты по IT-безопасности скоро будут внедрены в Азербайджане


   Проект национальных стандартов Азербайджана представлен в Государственный комитет по стандартизации, метрологии и патентам для государственной регистрации. 
  Как сказано в сообщении Министерства связи и информационных технологий Азербайджана, проект был подготовлен на основании 2-го и 3-ей частей международного стандарта по информационной безопасности ISO/IEC 15408-2008 Техническим комитетом «Информационно-коммуникационные технологии» под председательством заместителя министра связи и информационных технологий Эльмира Велизаде. 
  «Ожидается что, в ближайшее время, данные стандарты будут зарегистрированы и внедрены в республике», - сказано в сообщении. 
  Основной целью Технического комитета по стандартизации «Информационно-коммуникационные технологии», созданного Министерством связи и информационных технологий совместно с Государственным комитетом по стандартизации, метрологии и патентам, является внедрение в секторе ИКТ национальных стандартов, соответствующих международным и региональным, разработка соответствующих нормативных документов, повышение эффективности их использования, участие в международных и межгосударственных работах по стандартизации.

Источник: abc.az

понедельник, 18 мая 2009 г.

Китай внедрил собственную операционную систему с ядром на основе FreeBSD


  Китайские военные и правительственные учреждения используют собственную операционную систему Kylin, разработанную с особыми требованиями к безопасности. Компьютеры на которые устанавливается ОС Kylin, основаны на разработанном в Китае процессоре, обладающем дополнительными аппаратными возможностями для поддержки выполнения приложений в условиях повышенной изоляции. 
  Советник Правительства США по вопросам безопасности подтвердил полную неготовность спецслужб США к нанесению кибератак на данную ОС, так как она не является прямым клоном Windows, UNIX или Linux. ОС Kylin разработана в недрах Китайского университета науки и технологий по заказу Министерства национальной безопасности Китая. Предварительный анализ показал, что данная система базируется на ядре FreeBSD, доработанном в плане добавления дополнительных механизмов контроля безопасности. При разработке заимствованы различные компоненты Linux, Darwin и FreeBSD, пользовательский интерфейс основан на GNOME.

Источник: opennet.ru

суббота, 16 мая 2009 г.

Решение Управления ФАС России по Свердловской области в отношении открытого конкурса… и здесь не обошлось без закона о персональных данных


  Сейчас многие гос.заказчики при объявлении конкурсов на модернизацию, обслуживание, сопровождение и т.п. информационных систем включают пункт с требованиями наличия у Исполнителя лицензий на ТЗКИ и опыта работ по защите ПДн. Зачастую эта перестраховка становится предметом жалоб.
  Полный текст Решения приведен по ссылке http://sverdlovsk.fas.gov.ru/page.php?id=141.

  В комиссию Управления Федеральной антимонопольной службы по Свердловской области по контролю в сфере размещения заказов поступила жалоба (вх. № 01-1627 от 02.03.2009) ООО «СпецсвязьСервис» на действия (бездействие) заказчика (его комиссии по размещению заказов) в лице ГУ Отделение ПФР по Свердловской области при размещении заказа путем открытого конкурса на оказание услуг по проведению технического обслуживания КСПД ПФР в Уральском федеральном округе в части наличия нарушений Закона о размещении заказов.
  В своей жалобе ООО «СпецсвязьСервис», сообщает, что ГУ Отделение ПФР по Свердловской области был объявлен открытый конкурс на заключение государственного контракта по проведению технического обслуживания КСПД ПФР в Уральском федеральном округе. При рассмотрении конкурсной документации ООО «Спецсвязь Сервис» направило в Управление ОПФР РФ по Свердловской области следующие вопросы:

2) Разъяснить требование конкурсной документации о необходимости наличия лицензии на «деятельность по технической защите конфиденциальной информации для обеспечения защиты персональных данных» т.к. предмет конкурса не предусматривает привлечения исполнителя в качестве оператора информационной системы.

  В свою очередь Заказчик ответил следующее:
  Корпоративная сеть передачи данных (далее КСПД) ОПФР, входящих в Уральский федеральный округ, как телекоммуникационная составляющая является частью автоматизированной системы обработки данных о пенсионерах, застрахованных лицах и страхователей в соответствии с Федеральным законом № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996. В соответствии со ст. 3 Федерального закона №152-ФЗ от 08.07.2006г. «О персональных данных» эти сведения являются персональными данными. В соответствии со ст.7 Федерального закона №152-ФЗ от 08.07.2006г определяется конфиденциальность персональных данных. В соответствии с требованиями постановления Правительства РФ от 16.08.2006г № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» (п.п. (г) п.4 Положения «О лицензировании деятельности по технической защите конфиденциальной информации») лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации является использование автоматизированных систем, обрабатывающих конфиденциальную информацию. Проведение технического обслуживания КСПД, в ходе которого осуществляется физический и удаленный доступ к оборудованию, к настройкам данного оборудования, к каналам передачи данных, само проведение работ является непосредственным использованием автоматизированной системы, в которой обрабатываются персональные данные, конфиденциальность которых необходимо обеспечить.

  В итоге комиссия УФАС усмотрела в действиях Заказчика нарушения ряда статей Федерального закона от 26.07.2006 № 135-ФЗ «О защите конкуренции» и Федерального Закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд».

Источник: http://sverdlovsk.fas.gov.ru

пятница, 15 мая 2009 г.

Госдума ограничила детям доступ к порнографии


   Субъекты РФ смогут ужесточить возрастные ограничения для доступа детей к порнопродукции. Как передает корреспондент ИА REGNUM Новости, 15 мая законопроект "О внесении изменения в статью 14 федерального закона "Об основных гарантиях прав ребенка в РФ" Государственная дума РФ приняла в третьем чтении. Законопроект направлен на защиту детей от негативных воздействий печатной и иной продукции, пропагандирующей насилие и жестокость, порнографию, наркоманию, токсикоманию, антиобщественное поведение и наносящей вред их здоровью, нравственному и духовному развитию. Предлагается повысить возраст детей, в отношении которых могут быть установлены ограничения законами субъектов РФ в части доступа к такой продукции, с 16 до 18 лет.
   Интересно, как законодатели планируют отслеживать действие закона в жизни???

Источник: ИА REGNUM

На интернет-сайте Роскомнадзора размещен Публичный доклад об итогах деятельности Службы в 2008 году


  К огромному сожалению, мне не удалось открыть данный доклад, который находится по ссылке: http://www.rsoc.ru/main/about/960/
  Привожу комментарии к данному докладу с сайта Роскомнадзора:
  В докладе показаны роль и место Службы в системе регулирования отраслей связи, информационных технологий и массовых коммуникаций, дается конкретная информация о результатах работы в 2008 году по каждому направлению деятельности. 
  Как подчеркнул Руководитель Роскомнадзора Сергей Ситников во вступительном слове к докладу, основная задача Службы «соблюдение интересов граждан, государства и бизнеса в сферах полномочий Службы в условиях снижения административного давления на участников рынков связи, информационных технологий и СМИ, обеспечения транспарентности контрольно-надзорной деятельности, недопущения коррупционных проявлений».

Артиллерийскими залпами по хакерам…


  Генерал военно-воздушных сил и глава стратегического командования США Кевин Чилтон (Kevin Chilton) заявил, что продолжающиеся кибер-атаки на компьютеры американской армии могут вызвать "традиционный" военный ответ со стороны Соединенных Штатов.
  В настоящее время компьютерные сети Пентагона подвергаются атакам несколько тысяч раз в день, причем целью проникновения является шпионаж, а не вывод системы из строя. Значительная часть атак предпринимается с серверов, расположенных в Китае, что вызвало обвинения в финансировании хакеров в адрес китайского руководства.
  Пентагон не исключает возможности физической атаки на тех, кто нападает на США из Сети.
  "Если вы не ограничиваете себя в средствах, то почему это должны делать мы?" - заявил генерал Чилтон. Кроме этого, он предложил провести реформу кибер-ведомства вооруженных сил, через объединение всех подразделений в единую службу и наём от 2 до 4 тысяч новых сотрудников.
  Президент США Барак Обама еще не принял решения относительно IT-реформы в вооруженных силах страны.

Источник: Itoday.ru

Firebox на защите компьютерной сети службы национальной безопасности


  Удалось мне побывать последние дня четыре в одной из дружественных (и очень гостеприимных) нам республик в службе национальной безопасности. Летал я туда для чтения курса по администрированию UTM-устройства Firebox X e-series компании WatchGuard Technologies. Как позже оказалось одной из моих задач было не только научить наших уважаемых коллег работать с данным оборудованием, но и настроить их волшебную красную коробку, чтобы она не только проверяла весь проходящий через нее трафик, но и отражала угрозы, проверяла на вирусы, фильтровала спам и контролировала доступ пользователей к ресурсам интернет.
  Не смотря на то, что данная задача является достаточно тривиальной, но внедрить устройство в уже имеющуюся сетевую инфраструктуру оказалось не простой задачей. За те 3 дня которые я был в соседней республике мне приходилось с утра до вечера совместно с их специалистами настраивать оборудование для защиты сети. Радовало то (вернее было не так обидно), что погода стояла достаточно пасмурная и дождливая. Также было очень приятно работать с хорошими специалистами, которые быстро освоили волшебную красную коробку :).

воскресенье, 10 мая 2009 г.

Более миллиона человек воспользовались услугами биометрической системы сопровождения часто путешествующих авиапассажиров


  Миллионный путешественник воспользовался услугами пункта биометрической системы сопровождения часто путешествующих авиапассажиров Clear в американском аэропорту Орландо (штат Флорида). Как сообщает Российский биометрический портал BIOMETRICS.RU со ссылкой на сайт Clear, Орландо стал первым аэропортом, где биометрические технологии были внедрены в июле с 2005 года, и с тех пор удерживает «пальму первенства» среди воздушных гаваней США по числу пассажиров, чье обслуживание ускоряется и улучшается благодаря применению биометрии.
  Путешественники, желающие присоединиться к программе Clear, должны пройти предварительную проверку по линии американского Управления транспортной безопасности и зарегистрировать свои биометрические идентификаторы. Сведения об отпечатках пальцев и радужной оболочке глаз пассажира заносятся в память смарт-карты; прибыв в аэропорт, владелец карты предъявляет ее, вновь проходит биометрическую идентификацию, и это существенно ускоряет неизбежные процедуры предполетного контроля.
  Членство в программе Clear и ее аналогах, действующих на территории США, является платным. Однако для американских авиапассажиров (особенно совершающих частые перелеты) их время оказывается дороже, и популярность биометрических технологий в аэропортах неуклонно растет. На данный момент линии «быстрого контроля», которыми могут воспользоваться пассажиры из числа держателей биометрических карт, действуют в 21 аэропорту США.

Источник: Российский биометрический портал BIOMETRICS.RU

пятница, 8 мая 2009 г.

Домашний компьютер + Нелицензионное ПО = Уголовная ответственность


  Следственным отделом по Кировскому району Екатеринбурга передано в суд уголовное дело в отношении екатеринбуржца Александра Иванчикова-Нееловского, которого обвиняют в незаконном использовании компьютерных программ и неправомерном доступе к компьютерной информации.
  Как сообщили в пресс-службе Следственного комитета при прокуратуре РФ, Иванчиков-Нееловский в марте 2009 года у себя дома на системный блок установил программное обеспечение, обладающее признаками контрафактности: "Microsoft Windows Professional SP3/ Русская версия", "Microsoft Office 2007. Русская версия", и другие программы, правообладателями которых являются корпорация Microsoft. Указанные программы являются объектами авторского права, их общая стоимость составляет более 125 тысяч рублей.
  Следственным отделом по Кировскому району Екатеринбурга по данному факту возбуждено уголовное дело по части 2 статьи 146 УК РФ "Нарушение авторских и смежных прав". В ходе следствия ему предъявлено обвинение в совершении еще ряда преступлений, в том числе по статье 272 УК РФ "Неправомерный доступ к компьютерной информации".
  Сегодня уголовное дело было направлено в Кировский районный суд Екатеринбурга для рассмотрения по существу. Часть 2 статьи 146 УК РФ "Незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере" наказываются штрафом в размере до 200 тысяч рублей, либо обязательными работами на срок от 180 до 240 часов, либо лишением свободы на срок до 2 лет.

Источники: http://www.regnum.ru/; http://www.worldsec.org/

среда, 6 мая 2009 г.

5 мая … День шифровальщика!


  В начале было Слово… Потом появилось много слов. И очень скоро человек понял, что слова надо прятать. Так началось зарождение криптографии. В переводе с древнегреческого «криптография» означает «тайнопись».
  Шифровальный аппарат, предположительно изобретенный Леонардо да Винчи.
  Но еще до введения в обиход данного понятия человек пользовался сокрытием информации с помощью доступных для своего времени способов. Например, во времена правления династии египетских фараонов применялся довольно своеобразный метод передачи тайного письма. В качестве носителя информации выбирался раб, точнее, его голова. Голову брили наголо и водостойкой растительной краской наносили текст сообщения. Когда волосы отрастали, его отправляли к адресату. После того, как раб-носитель информации добирался по назначению, волосы снова сбривали и читали нанесенный текст. Для удобства обработки голову предварительно снимали с плеч. Главными недостатками данного метода являлись слабая оперативность передачи сообщений и большая ненадежность. Ведь в процессе путешествия носителя сообщения тот мог быть убит, мог заболеть, наконец, просто сбежать.
  Новый импульс в развитии шифровального дела был дан в связи с появлением проводного телеграфа и изобретением радио. Скорость передачи информации несоизмеримо возросла, и все большие объемы ее были подвержены перехвату и прочтению.
  В этот день, Криптографическая служба России отмечает свой праздник. Как говорится в распространенном сообщении ЦОС ФСБ, служба, созданная постановлением Совета народных комиссаров РСФСР от 5 мая 1921 года, обеспечивает с помощью шифровальных (криптографических) средств защиту информации в информационно-телекоммуникационных системах и системах специальной связи в РФ и ее учреждениях за рубежом, в том числе в системах, использующих современные информационные технологии.

воскресенье, 3 мая 2009 г.

Компьютерный сбой уничтожил австралийское озеро


   Компьютерная ошибка стала причиной исчезновения целого озера в австралийском городе Аделаида. Каким же было удивление местных жителей, когда вместо привычной водной глади они обнаружили пустырь, усыпанный мусором и металлоломом. 
   Муниципальные службы города сразу начали выяснять причины произошедшего. Как выяснилось в результате расследования, из-за возникшего сбоя в компьютерной системе автоматически были открыты ворота плотины, удерживавшей водный поток. Таким образом, миллионы литров воды исчезли за несколько часов, сообщает ИТАР-ТАСС. По словам руководителя муниципальной службы Питера Смита, среди версий случившегося также рассматривались человеческий фактор, саботаж и даже происки компьютерных хакеров. Однако расследование доказало полную непричастность людей.


Источник: ИТАР-ТАСС

пятница, 1 мая 2009 г.

ИТ ЕВРО ФОРУМ 2009


   Любого профессионала интересуют мировые тенденции выбранной отрасли. Люди, которые выбрали своей сферой деятельности информационные технологии или информационную безопасность, здесь не исключение. Множество российских специалистов получили доступ к знаниям и технологиям международного сообщества, так называемым "лучшим практикам". К сожалению, возможность обучения заграницей или общение с иностранными коллегами доступно далеко не всем. Поэтому мы задумали ИТ Евро Форум (ITEF) (http://www.itef.ru/), как российскую площадку, на которой можно увидеть, что же действительно "делается в мире". Мы старались обеспечить такую среду, в которой участники форума получили бы проверенный опыт и знания, а также могли услышать новые идеи. В пользу этого говорит и поддержка таких известных некоммерческих международных организаций как ISSA, (ISC)², ISACA, ITGI, BCI, BSI, MIS.
   Программа форума чередует выступления зарубежных и российских профессионалов и составлена таким образом, чтобы стимулировать обмен мнениями и выработку эффективных решений актуальных проблем отрасли. 

Цель проведения: обмен международным опытом в области управления ИТ, ИТ-рисками,
информационной безопасностью, планирования непрерывности бизнеса и аудита ИТ.

Аудитория: руководство и специалисты ответственные за операционную деятельность, управление рисками, информационные технологии, информационную безопасность и аудит.
 
   1-й ИТ Евро Форум в Москве предлагает уникальную возможность получить до 24 часов профессионального образования (CPE) прослушав ключевые доклады спикеров мирового класса, посетив любые из 18-ти сессий и демонстраций поставщиков решений и услуг в области ИТ и информационной безопасности. Услышьте экспертов мирового класса, получите последние новости индустрии, знакомьтесь и общайтесь, откройте для себя последние новости из мира ИТ и информационной безопасности.
 
   Форум предлагает три трека:
- управление ИТ (IT Governance) 
- информационная безопасность (Information Security) 
- управление ИТ рисками и непрерывностью ведения бизнеса (ITR&BC Management)
и три мастер-класса:
- возврат инвестиций в ИТ 
- внедрение стандарта ISO/IEC 27001 
- курс восстановления с концентрацией как на центре обработки данных, так и бизнес подразделениях.
Основные организаторы ИТ Евро Форума "Академия Информационных Систем" и компания "4х4 Бюро профессиональных услуг".

Роскомнадзор: интернет-СМИ должны быть ответственны за свои форумы


   Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разработала предложения, которые позволят определить ответственность интернет-СМИ за информацию, публикуемую на форумах изданий, сообщил в четверг заместитель руководителя службы Роман Шередин.
   "Мы разработали некие предложения, которые позволят в дальнейшем регулировать этот рынок и понять, что к чему", - сказал он в ходе круглого стола в РИА Новости.
   Шередин подчеркнул, что сегодня нет четкой позиции законодателей относительно того, относятся ли форумы на страницах интернет-изданий, где высказывают свое мнение читатели, к зоне ответственности СМИ, нет "правового регулирования, которое бы позволило сказать, что к чему отнести".
   "Но мы свою позицию сформировали и будем ее отстаивать... Форумы, которые организованы при тех или иных зарегистрированных СМИ, они однозначно являются частью СМИ со всеми вытекающими из этого последствиями", - отметил замруководителя Роскомнадзора.
   При этом он отметил, что позиция Федеральной службы в этом вопросе направлена на то, чтобы издания сами регулировали информацию, появляющуюся в их доменах.
   "Не самоцель закрывать какие-то издания. Цель - чтобы в интернете наступила цивилизация, причем не насильственная, насажденная, а чтобы они сами понимали, что существуют некие правила морали, и их надо соблюдать", - пояснил Шередин.

Источник: РИА Новости (www.rian.ru/)