Уже придумали =) Есть идея, состоящая в том, что даже если в информационной системе используется криптография не декларировать что она используется для защиты ПДн, а если он не используется для защиты ПДн, до данный приказ ФСБ не применяется.
Удален он скорее всего потому что они до 18 октября якобы принимали предложения от общественности, видимо после 18 октября и удалили. Теперь документ с внесенными поправками наверняка пылится где-нибудь в минюсте. Вся интрига теперь в том какие поправки внесли, а какие проигнорировали.
Вообще проект располагался здесь: regulation.gov.ru/project/7847.html
Сейчас там написано «Проект удален». Достал текст, вот что там написано по этому поводу:
14. СКЗИ класса КВ2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 – 13 настоящего документа и не менее одной из следующих дополнительных возможностей:
в) возможность располагать исходными текстами входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.
Что касается СПО, то ФСБ сейчас в проекте своего нового приказа по использованию крипты при защите ПДн пытается практически запретить использование СПО, а точнее ввести нереальное требование к классу криптографических средств при использовании СПО в ИСПДн. Если по нашей логике, мы можем проверить исходный код СПО на предмет закладок, то по логике ФСБ, злоумышленник может исследовать исходный код СПО на предмет поиска уязвимостей. В целом в новом проекте приказа ФСБ еще очень много нелепостей и несуразностей, посмотрим в каком виде его примут.
Если статья не касается госов и муниципалов, то все гораздо проще. В новом приказе ФСТЭК по защите ПДн (№ 21 от 18.02.2013) черным по белому написано, что применение СЗИ, прошедших процедуру оценки соответствия необходимо, только в тех случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн. Поэтому рисуем модель угроз, пишем, что для нейтрализации этих угроз обойдемся оргмерами и несертифицированными СЗИ (а то и вообще встроенными функциями ОС), строим защиту, утверждаем необходимые бумажки и живем спокойно. В общем, во главе стола теперь — модель угроз. Также в новом приказе ФСТЭК появилась революционное словосочетание «с учетом экономической целесообразности» =) Главное все грамотно обосновать в модели угроз.
Полномочия-то РКН имеют, это самый уполномоченный орган по защите ПДн, даже наказывать скоро смогут без обращения в прокуратуру. Другое дело, что проверяющие от РКН, как правило, некомпетентны в технических вопросах и сколько бы полномочий у них ни было бы, толком проверить ничего не смогут.
Это очередное достижение одного из лидирующих производителей в компьютерной индустрии, так что при условии разумной цены телефон ожидает успех, ведь явных минусов в нем выявить не удается.
После этой фразы на объективность дальнейшего текста надеяться не приходится.
Совершенству нет предела. Вообще это рассчитано на сознательных людей, которые хотят сделать свой небольшой вклад в развитие науки. Если вам нужны свистелки-перачивки для мотивации, то я считаю это немного странным. Ну вам виднее, если они появятся, то мне от них хуже тоже не будет.
Зарегистрироваться можно и с ПК, операция занимает от силы 30 сек. А в телефоне просто ввести логин и пароль. Тут как говорится тот кто хочет, найдет 1000 возможностей, а кто не хочет, найдет 1000 отговорок.
Если вы так считаете, то вы даже не представляете сколько могут стоить виртуальные вещи и аккаунты с прокачанными персонажами в различных он-лайн играх. Как тут уже правильно сказали, все хорошо в меру.
Не знаю как на западе, но у нас подобные звонки являются нарушением 152-ФЗ «О персональных данных», первый пункт статьи 15, которого гласит «Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.»
Я обычно прошу звонящих удалить мой номер из своего обзвон-листа, но на особо упоротых можно писать жалобы в Роскомнадзор, не факт, что как-то накажут, но внеплановая проверка в любом случае заставит их задуматься.
С этой первой помощью конечно хохма была — в 2008 году получили красивые пакетики с лицензионной виндой и офисом и еще много с чем. Лицензии были на три года. Обрадовались, олицензионили все компы. В 2011 году из департамента образования приходит бумага. «Программа „Первая помощь“ продлеваться не будет, все ПО в срочном порядке удалить!». Руководство приняло решение на письмо забить и ПО оставить…
Сам недавно задумывался над автоматизацией сочинения музыки и тут на хабре сразу несколько топиков по этой теме. Очень познавательно, спасибо. Человека эти алгоритмы пока не заменят. Но, как тут уже заметили, такие решения можно использовать в мобильных играх. Но и музыкантам они могут быть весьма полезны. Есть такое понятие как творческий кризис. В такие моменты можно включить генератор и, возможно, ухо зацепится за какой-то кусочек и человек уже разовьет случайно сгенерированую идею в полноценное произведение. Удачи в начинаниях и успехов в реализации!
Вот я про это и писал в статье, что если читать документ то создается такое впечатление, что в большнистве случаев можно обойтись без сертифицированных СЗИ, но прямым текстом это не написано. Написано что сертифицированные СЗИ нужны только когда они НЕОБХОДИМЫ. Кто и как должен определять эту необходимость — черт его знает =) А в перечне мер написано например «Идентификация и аутентификация пользователей». Эту меру можно реализовать как каким-нибудь секрет нетом, так и штатными функциями любой ОС и так далее в таком духе.
Про оформление модели угроз и анализу рисков тут в нескольких постах не распишешь, некоторые этим вопросам посвящают курсы, которые стоят немалых денег =) Если кратко то по моделированию угроз основной документ фстэка здесь. Оформлять МУ можно по-разному, разные образцы есть в сети. Тоже самое можно сказать по анализу рисков, читаем ГОСТ, проводим мероприятия, документируем в свободной форме.
Уведомление в РКН обязательно нужно послать, как подготовиться к проверке РКН, я писал в другой статье: habrahabr.ru/post/169527/
Насчет шифрования, то это уже стезя ФСБ, нужно смотреть их документы и требования. Насколько я знаю, от ФСБ тоже ожидается в ближайшем времени новый документ по защите ПДн.
Сейчас там написано «Проект удален». Достал текст, вот что там написано по этому поводу:
ФСТЭК со своим приказом № 17 от 11.02.2013 с вами немного не согласен.
После этой фразы на объективность дальнейшего текста надеяться не приходится.
перачивки для мотивации, то я считаю это немного странным. Ну вам виднее, если они появятся, то мне от них хуже тоже не будет.З. Ы. Только что пришло уведомление, что SETI@home тоже проводят бета-тест Андроид-версии, надеюсь скоро запустят!
Я обычно прошу звонящих удалить мой номер из своего обзвон-листа, но на особо упоротых можно писать жалобы в Роскомнадзор, не факт, что как-то накажут, но внеплановая проверка в любом случае заставит их задуматься.
Хоть это радует.
Про оформление модели угроз и анализу рисков тут в нескольких постах не распишешь, некоторые этим вопросам посвящают курсы, которые стоят немалых денег =) Если кратко то по моделированию угроз основной документ фстэка здесь. Оформлять МУ можно по-разному, разные образцы есть в сети. Тоже самое можно сказать по анализу рисков, читаем ГОСТ, проводим мероприятия, документируем в свободной форме.
Уведомление в РКН обязательно нужно послать, как подготовиться к проверке РКН, я писал в другой статье: habrahabr.ru/post/169527/
Насчет шифрования, то это уже стезя ФСБ, нужно смотреть их документы и требования. Насколько я знаю, от ФСБ тоже ожидается в ближайшем времени новый документ по защите ПДн.