2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
Вы в интернет — магазине приняли заказ, и передали его курьерской службе для доставки? ФИО и адрес кому доставить передали? ОК, значит этот пункт не про вас. И согласие нужно, и уведомление подавать. И согласие на передачу третьим лицам брать. А если курьер в штате — то да, вы правы, не нужно.
Про GDPR интересно, конечно. Не планируете более полного обзора?
НБКИ — коммерческая организация, являющаяся оператором ИСПДн, и в соответствии со ст. 7 N 218-ФЗ обеспечивает защиту информации при ее обработке, хранении и передаче сертифицированными средствами защиты в соответствии с законодательством Российской Федерации.
Таким образом, если вас связывают с НБКИ договорные отношения, в этом договоре должно быть предусмотрено обязательства для вас по защите информации.
Если НБКИ вам это не прописал, то вы никому ничего не должны и можете пользоваться обычным openssl + gost, вы ничего не нарушаете, а нарушение законодательства допустил НБКИ.
Если такие требования в договоре есть, то НБКИ закон выполнил, а вы нарушаете договор.
Нарушаете ли вы закон в этом случае ( кроме нарушения договора) зависит от того, чьи данные вы оттуда вытягиваете. Если вы физ. лицо и вытягиваете свои данные, то закон не нарушаете, только договор. Если вы физ. лицо и вытягиваете данные другого физ. лица, либо вы юр.лицо и вытягиваете данные физ. лиц, то вы нарушаете требования 152-фз и всей линейки 1119-пп, 21 приказа фстек и 378 приказа фсб.
Если вы вытягиваете данные юр.лиц, то это нарушение в области банковской, налоговоой или коммерческой тайны ( в зависимости от состава данных и обстоятельств), что бы сослаться на подзаконные акты нужно разбираться конкретнее.
В случае, если вы являетесь оператором информационной системы, обрабатывающей информацию, подлежащую защите в соответствии с законодательством РФ, и таковая информация передается вне контролируемой зоны.
Пример конкретный приведите, общими словами можно долго перекидываться.
Сертифицированным из этого является КриптоПро, а остальное — некое прикладное ПО, правила встраивания в которое описано в формуляре. Работать — работает, именно так, через gostengy. Подробности сборки не подскажу, т.к. мне нужно было решение, удовлетворяющее законодательству РФ, а возиться с корректностью встраивания мутно и дорого. А без корректности встраивания это нарушение требований эксплуатационной документации==использование несертифицированного СКЗИ.
Ну, тоесть ответ — нет, не является.
На основе nginx + openssl + cryptopro есть сертифицированные аппаратные решения. И на основе nginx + openssl + VipNet тоже. По сути — аппаратный реверсивный прокси с веб интерфейсом управления. Про первый могу с уверенностью сказать, что работает.
Это — да, является. Но стоит подороже и занимает минимум 1 юнит в стойке.
Если нужно дешевле и сертифицированное, и без нарушений — то нужно накатить криптопро на виндовс, а IIS настроить как реверсивный прокси на что угодно.
Про IIS в формуляре в явном виде написано, что для него корректность встраивания подтверждать ненужно.
Но нужно таки прочитать формуляр и выполнить остальные требования из серии наличия сертифицированного антивируса и т.д.
Есть еще вариант — в коробке с криптопрой лежит stunnel какой-то древней версии, собранный с поддержкой госта. На него тоже не нужно корректности встраивания, но остальные требования тоже нужно соблюдать. В некоторых случаях это помогает.
(из-под стола)Ээээ… Куда-куда вы ключи запихиваете?
Вопрос я ваш не совсем понял.
Что конкретно вам нужно получить?
nginx, поддерживающий серверные сертификаты, подписанные на ГОСТ Р 34.10-2012?
Или какой-то( какой тогда? ) chiper suite?
На опенсорсе? Или коммерческие решения тоже устраивают?
Упражнение интересное, но подход странный.
Для начала отмечу, что в опенсорсной библиотеке ГОСТовый код скорее всего от вендора криптоком, линейка продуктов МагПро. Возможно ли, что какие то из опробованных вами подходов помогут в работе с сертифицированными СКЗИ? Нет. Почему? Я опишу ниже.
Зачем тогда вообще работать с ГОСТом?
Тестовое окружение? Не факт, что тестовый стенд окажется совместимым с сертифицированными скзи. Если нужен тестовый стенд для ГОСТа (ну вот не уберег Вас Господь) — гораздо разумнее получить триальные версии сертифицированных СКЗИ, все вендоры их дают, а некоторые даже позволяют скачать с сайта.
Есть нюанс — даже сертифицированные СКЗИ между собою как правило или совсем несовместимы, или совместимы с бубном. А вы что то там на опенсорсе пробуете…
Нет документации? Да полноте, есть она на все. Что нет на сайтах прямо сразу — вендоры дают по первой просьбе. У криптопры даже форум есть, там даже тем, кто первый раз в жизни make запускает рассказывают как его так запустить, что бы ngix с криптопрой собрался.
А теперь вишенка на торт… или кучу, тут уж как посмотреть. С сертифицированным средством связываются, когда нужен сертификат. На сертификате написано ( на любом, посмотрите) «безопасность информации обеспечивается при условии выполнения требований формуляра №Формуляра». А в формуляре написано, что инсталлировать СКЗИ можно только с официально полученного дистрибутива. Т.е. не с гитхаба, а с CD диска с номером экземпляра. А еще сказано(ну грубо говоря, сами почитайте )что при встраивании СКЗИ в апач или нжинкс нужно проходить проверку корректности встраивания (ну или оценку влияния прикладного ПО на функции защиты, тоже самое) по тех. заданию, согласованному с 8 центром, что примерно то же самое, что и сертификация нового СКЗИ.
Кактотак.
Любое мясо нужно уметь готовить. Дикая косуля очень вкусна, сын очень ценит, и фиг объяснишь ребенку что это в магазине не продают, не каждый день порадовать можно =)
Да и покупной то стейк не всякий правильно зажарит…
По существу вопроса, поднятого в статье… Ну что ж, забавно будет понаблюдать, как мир подсаживают на очередной эрзац по каким то бредовым причинам.
Что то у меня наблюдения несколько противоположные… Года так с 2002-го, с первых версий инфовотча нашим только дай закрыть и заблокировать, фиг кого убедишь что контролировать — эффективнее.
Книжка замечательная, молодцы.
Прочел на одном дыхании.
Вне всякого сомнения может быть рекомендована всем, кто желает разобраться, чего же от него требует закон.
К сожалению, практика выполнения требований 152-ФЗ делает упоротым буквоедом любого, не миновало это и меня =)) По этому вот вам пара замечаний-дополнений.
1) на 20-й странице вы пишете: " 17 приказ разработан для государственных органов и муниципалитетов".
Это не совсем точное утверждение, и оно может ввести в заблуждение.
17 приказ — требования к ГИСам. В соответствии с 14 ст. 149-ФЗ ГИС создается в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. В соответствии с пп 676 основанием для создания системы является:
а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами;
б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий.
Иными словами, не всякая система в органе исполнительной власти есть ГИС, а только созданные, как ГИС в соответствии с НПА или для реализации полномочий органа власти.
Впрочем, это уточнение не влияет на вашу дальнейшую логику, так как про ГИСы вы не пишете.
В части ответственности за невыполнение и проверок…
во-первых, по 5.27 КоАП можно выхватить приостановление деятельности на срок до девяноста суток, и как -то раз из кого-то даже сделали пример, что бы мы не думали, что оно не работает =)
Во вторых, ФСБ может не только проверять, но и вести ОРД. Ну т.е. схема такая: постановление о производстве оперативно-розыскного мероприятия «обследование помещений, зданий, сооружений, участков местности и транспортных средств». Для него ни плана не нужно, ни сроков, ни мораториев нету. Приходят оперативник со специалистом, обследуют объект, выписывают протокол по 13… чегонибудь КОАП. Следом за протоколом организация получает представление об устранении причин и условий, способствующих совершению административного правонарушения.
А вот за неисполнения представления вилка большая — можно и штрафиком отделаться, а можно и дисквалификацию административную на генерального директора схлопотать по ст. 19.5 КОАП.
Я бы на такую железяку NT 4.0 посоветовал бы. И сетка нормально заработает. Правда, ЕМНИП, директ X -а там нету совсем.
Интересно, нельзя ли будет подобрать из пожилых версий мозиллы такую, которая и более-менее будет работать на такой машине и показывать хоть какие то сайты?
У меня кстати есть dell latitude c400 — имхо сравнимая машинка, тоже пентиум 3. Он с XP-шкой дожил до широкополосного интернета, и линукс у меня на нем жил вполне сносно.
В принципе, машина и сейчас жива — держу на нем дос и прошивальщик для моторол серии gp300 — у него есть аппаратный com порт.
Отвлекся. Это я к чему — можно попробовать и XP поставить, и линукс. 98-й — это не сетевая ОС, да и вообще не ос а дрянь. Помните такое слово мастдайка?
И все же повышение осведомленности сотрудников в области ИБ несомненно является одной из лучших практик, рекомендовано как российскими так и международными стандартами. Если этого нету — это явная недоработка СБ, раз уж ИБ к ним относятся =)
Хочу дополнить методику обнаружения некоторыми своими наблюдениями.
1) Для достижения высокого уровня производительности некоторых майнеров, прежде всего CPU майнеров, необходимо выполнить на операционной системе настройки, позволяющие выделять большой кусок памяти процессу. В случае windows — и настройки политики, позволяющие пользователям, от имнеи которых запускается майнер, выделять память (Local Security Setting – Lock pages) Такие настройки легко обнаруживаются стандартными средствами администрирования.
2) в протоколе взаимодействия майнера и пула, который по сути представляет из себя tcp сокет, внутри которого перебрасывают json-чики, меняться могут и порты назначения и адреса и все, что угодно, кроме примерного объема трафика и постоянно поддерживаемого соединения. Можно искать по этим критериям — по длительности соединений, в том числе в нерабочее время.
3) для средств вычислительной техники, оборудованных средствами мониторинга, да хотя бы заббиксом, майнер дает очень красивый ровный график CPU = 100% =)
4) рабочие станции конечно редко оборудуют заббиксом, и майнеры обычно запускают с низким приоритетом, пользователь может и не замечать задержек, но все равно — простой «ручной тест» — запустить cpu монитор, оторвать интернет, если cpu usage упал — там точно майнер.
В свою очередь хотел бы задать и вопрос. Понятно, что потребление электроэнергии сервером возрастет при запуске майнера.
Но верно ли то же для рабочей станции, обычной, офисной? Есть у меня сомнения, что дефолтные настройки энергосбережения windows для профиля настольного компьютера позволят заметить разницу…
Я вот не в тренде немного отвечу… У нас довольно консервативное законодательство. Так что как ГИБДД это чудо на дороги общего пользования выпустит, так и я готов буду сесть в него покататься. Но я имею в виду именно вариант, когда робот сам управляет автомобилем. Ассистент любой степени мне не интересен, что нибудь одно, или-или. Или я управляю автомобилем, и отвечаю за последствия, и никакая электронная гадюка мне не мешает. Или робот, а отвечает кто то другой — разработчик, камаз, орган сертификации, страховщик, мне все равно кто.
Хотел бы я посмотреть на модель угроз, пережившую проверку ФСТЭКом или ФСБой, в которой перехват трафика признан неактуальным =)
До проверки то, понятно, что угодно написать можно — бумага стерпит.
Мне кажется что это все же скользкая дорожка.
Закон в явном виде разрешает «Сбор, использование, передачу (распространение, предоставление, доступ) ПДн зарубежом»
При этом в явном виде требует запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение вести на территории РФ.
По сути за рубежом можно хранить только резервную копию, даже не реплику, иначе нарушается или пункт изменение или пункт извлечение.
Кстати, за нарушение требований 152-ФЗ сейчас гендир может схлопотать административную дисквалификацию, правда только если не сможет выполнить предписание, полученное после проверки. Очень было бы интересно узнать, есть ли уже практика по этому вопросу, или эта возможность пока теоретическая.
Спасибо. Я правильно поимаю, что моноколесо позволяет большую часть пути передвигаться не по автодороге, и за счет этого вероятность быть расплющенным ниже?
Может быть не совсем уместный вопрос, но раз уж вы утверждаете, что не только ради развлечения его купили, то почему не максискутер? Теплее, чем на многих других открытых видах транспорта, 19 км не проблема, по пробкам сильно проще чем на машине, проще с парковкой… Права? Или все-таки желание нового гаджета?
Вы в интернет — магазине приняли заказ, и передали его курьерской службе для доставки? ФИО и адрес кому доставить передали? ОК, значит этот пункт не про вас. И согласие нужно, и уведомление подавать. И согласие на передачу третьим лицам брать. А если курьер в штате — то да, вы правы, не нужно.
Про GDPR интересно, конечно. Не планируете более полного обзора?
Таким образом, если вас связывают с НБКИ договорные отношения, в этом договоре должно быть предусмотрено обязательства для вас по защите информации.
Если НБКИ вам это не прописал, то вы никому ничего не должны и можете пользоваться обычным openssl + gost, вы ничего не нарушаете, а нарушение законодательства допустил НБКИ.
Если такие требования в договоре есть, то НБКИ закон выполнил, а вы нарушаете договор.
Нарушаете ли вы закон в этом случае ( кроме нарушения договора) зависит от того, чьи данные вы оттуда вытягиваете. Если вы физ. лицо и вытягиваете свои данные, то закон не нарушаете, только договор. Если вы физ. лицо и вытягиваете данные другого физ. лица, либо вы юр.лицо и вытягиваете данные физ. лиц, то вы нарушаете требования 152-фз и всей линейки 1119-пп, 21 приказа фстек и 378 приказа фсб.
Если вы вытягиваете данные юр.лиц, то это нарушение в области банковской, налоговоой или коммерческой тайны ( в зависимости от состава данных и обстоятельств), что бы сослаться на подзаконные акты нужно разбираться конкретнее.
Пример конкретный приведите, общими словами можно долго перекидываться.
Ну, тоесть ответ — нет, не является.
На основе nginx + openssl + cryptopro есть сертифицированные аппаратные решения. И на основе nginx + openssl + VipNet тоже. По сути — аппаратный реверсивный прокси с веб интерфейсом управления. Про первый могу с уверенностью сказать, что работает.
Это — да, является. Но стоит подороже и занимает минимум 1 юнит в стойке.
Если нужно дешевле и сертифицированное, и без нарушений — то нужно накатить криптопро на виндовс, а IIS настроить как реверсивный прокси на что угодно.
Про IIS в формуляре в явном виде написано, что для него корректность встраивания подтверждать ненужно.
Но нужно таки прочитать формуляр и выполнить остальные требования из серии наличия сертифицированного антивируса и т.д.
Есть еще вариант — в коробке с криптопрой лежит stunnel какой-то древней версии, собранный с поддержкой госта. На него тоже не нужно корректности встраивания, но остальные требования тоже нужно соблюдать. В некоторых случаях это помогает.
Вопрос я ваш не совсем понял.
Что конкретно вам нужно получить?
nginx, поддерживающий серверные сертификаты, подписанные на ГОСТ Р 34.10-2012?
Или какой-то( какой тогда? ) chiper suite?
На опенсорсе? Или коммерческие решения тоже устраивают?
Для начала отмечу, что в опенсорсной библиотеке ГОСТовый код скорее всего от вендора криптоком, линейка продуктов МагПро. Возможно ли, что какие то из опробованных вами подходов помогут в работе с сертифицированными СКЗИ? Нет. Почему? Я опишу ниже.
Зачем тогда вообще работать с ГОСТом?
Тестовое окружение? Не факт, что тестовый стенд окажется совместимым с сертифицированными скзи. Если нужен тестовый стенд для ГОСТа (ну вот не уберег Вас Господь) — гораздо разумнее получить триальные версии сертифицированных СКЗИ, все вендоры их дают, а некоторые даже позволяют скачать с сайта.
Есть нюанс — даже сертифицированные СКЗИ между собою как правило или совсем несовместимы, или совместимы с бубном. А вы что то там на опенсорсе пробуете…
Нет документации? Да полноте, есть она на все. Что нет на сайтах прямо сразу — вендоры дают по первой просьбе. У криптопры даже форум есть, там даже тем, кто первый раз в жизни make запускает рассказывают как его так запустить, что бы ngix с криптопрой собрался.
А теперь вишенка на торт… или кучу, тут уж как посмотреть. С сертифицированным средством связываются, когда нужен сертификат. На сертификате написано ( на любом, посмотрите) «безопасность информации обеспечивается при условии выполнения требований формуляра №Формуляра». А в формуляре написано, что инсталлировать СКЗИ можно только с официально полученного дистрибутива. Т.е. не с гитхаба, а с CD диска с номером экземпляра. А еще сказано(ну грубо говоря, сами почитайте )что при встраивании СКЗИ в апач или нжинкс нужно проходить проверку корректности встраивания (ну или оценку влияния прикладного ПО на функции защиты, тоже самое) по тех. заданию, согласованному с 8 центром, что примерно то же самое, что и сертификация нового СКЗИ.
Кактотак.
Да и покупной то стейк не всякий правильно зажарит…
По существу вопроса, поднятого в статье… Ну что ж, забавно будет понаблюдать, как мир подсаживают на очередной эрзац по каким то бредовым причинам.
Прочел на одном дыхании.
Вне всякого сомнения может быть рекомендована всем, кто желает разобраться, чего же от него требует закон.
К сожалению, практика выполнения требований 152-ФЗ делает упоротым буквоедом любого, не миновало это и меня =)) По этому вот вам пара замечаний-дополнений.
1) на 20-й странице вы пишете: " 17 приказ разработан для государственных органов и муниципалитетов".
Это не совсем точное утверждение, и оно может ввести в заблуждение.
17 приказ — требования к ГИСам. В соответствии с 14 ст. 149-ФЗ ГИС создается в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. В соответствии с пп 676 основанием для создания системы является:
а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами;
б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий.
Иными словами, не всякая система в органе исполнительной власти есть ГИС, а только созданные, как ГИС в соответствии с НПА или для реализации полномочий органа власти.
Впрочем, это уточнение не влияет на вашу дальнейшую логику, так как про ГИСы вы не пишете.
В части ответственности за невыполнение и проверок…
во-первых, по 5.27 КоАП можно выхватить приостановление деятельности на срок до девяноста суток, и как -то раз из кого-то даже сделали пример, что бы мы не думали, что оно не работает =)
Во вторых, ФСБ может не только проверять, но и вести ОРД. Ну т.е. схема такая: постановление о производстве оперативно-розыскного мероприятия «обследование помещений, зданий, сооружений, участков местности и транспортных средств». Для него ни плана не нужно, ни сроков, ни мораториев нету. Приходят оперативник со специалистом, обследуют объект, выписывают протокол по 13… чегонибудь КОАП. Следом за протоколом организация получает представление об устранении причин и условий, способствующих совершению административного правонарушения.
А вот за неисполнения представления вилка большая — можно и штрафиком отделаться, а можно и дисквалификацию административную на генерального директора схлопотать по ст. 19.5 КОАП.
Както так =)
Интересно, нельзя ли будет подобрать из пожилых версий мозиллы такую, которая и более-менее будет работать на такой машине и показывать хоть какие то сайты?
У меня кстати есть dell latitude c400 — имхо сравнимая машинка, тоже пентиум 3. Он с XP-шкой дожил до широкополосного интернета, и линукс у меня на нем жил вполне сносно.
В принципе, машина и сейчас жива — держу на нем дос и прошивальщик для моторол серии gp300 — у него есть аппаратный com порт.
Отвлекся. Это я к чему — можно попробовать и XP поставить, и линукс. 98-й — это не сетевая ОС, да и вообще не ос а дрянь. Помните такое слово мастдайка?
1) Для достижения высокого уровня производительности некоторых майнеров, прежде всего CPU майнеров, необходимо выполнить на операционной системе настройки, позволяющие выделять большой кусок памяти процессу. В случае windows — и настройки политики, позволяющие пользователям, от имнеи которых запускается майнер, выделять память (Local Security Setting – Lock pages) Такие настройки легко обнаруживаются стандартными средствами администрирования.
2) в протоколе взаимодействия майнера и пула, который по сути представляет из себя tcp сокет, внутри которого перебрасывают json-чики, меняться могут и порты назначения и адреса и все, что угодно, кроме примерного объема трафика и постоянно поддерживаемого соединения. Можно искать по этим критериям — по длительности соединений, в том числе в нерабочее время.
3) для средств вычислительной техники, оборудованных средствами мониторинга, да хотя бы заббиксом, майнер дает очень красивый ровный график CPU = 100% =)
4) рабочие станции конечно редко оборудуют заббиксом, и майнеры обычно запускают с низким приоритетом, пользователь может и не замечать задержек, но все равно — простой «ручной тест» — запустить cpu монитор, оторвать интернет, если cpu usage упал — там точно майнер.
В свою очередь хотел бы задать и вопрос. Понятно, что потребление электроэнергии сервером возрастет при запуске майнера.
Но верно ли то же для рабочей станции, обычной, офисной? Есть у меня сомнения, что дефолтные настройки энергосбережения windows для профиля настольного компьютера позволят заметить разницу…
До проверки то, понятно, что угодно написать можно — бумага стерпит.
Закон в явном виде разрешает «Сбор, использование, передачу (распространение, предоставление, доступ) ПДн зарубежом»
При этом в явном виде требует запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение вести на территории РФ.
По сути за рубежом можно хранить только резервную копию, даже не реплику, иначе нарушается или пункт изменение или пункт извлечение.
Кстати, за нарушение требований 152-ФЗ сейчас гендир может схлопотать административную дисквалификацию, правда только если не сможет выполнить предписание, полученное после проверки. Очень было бы интересно узнать, есть ли уже практика по этому вопросу, или эта возможность пока теоретическая.