Да, бесплатные CRM существуют. Это могут быть версии на несколько пользователей с сильно обрезанной функциональностью, однопользовательские полнофункциональные версии, полнофункциональные версии на ограниченное число записей (демо-версии). Вы правда не платите деньги за пользование этими программами. Но, как правило, есть ряд ограничений и тонких моментов:
Шикарное утверждение конечно.
Вот например в магическом квадрате гартнера за 17 год присутствует вполне себе бесплатная, и даже опенсорсная… не буду говорить название, но квадрат вполне себе гуглится по «gartner crm magic quadrant 2017»
Забавно, но почему — то в квадрате системы уважаемого RegionSoft-а нету.
Ну что ж, будем надеяться, что после рекламы на хабре продажи подростут и гартнер заметит этот замечательный продукт =)
Штраф на кого? Если я директор компании, которая игнорирует GDPR, меня будут на кипре вылавливать, когда я туда пузо погреть поеду, и этот штраф с меня вымогать? Если да, тол только ли директора это касается?
Если нет, и проблемы только у юрика, то что это за проблемы? Они касаются только активов компании, находящихся в ЕС, или их контрагентов тоже?
S0krat, спасибо за вашу статью, я уже почти решил, что стоит почитать и сам GDPR.
Но все же, не могли бы вы еще немного подогреть мой интерес… Какое все-таки отношение имеет европейский закон к резидентам РФ? Чего мне бояться, в случае его нарушения, как физическому лицу, или как владельцу ( или ген. директору ) юридического лица, зарегистрированного на территории РФ и не ориентированному на зарубежный рынок?
Вы не поверите наверное…
Но есть такой указ Президента № 260 от 22 мая 2015 года, в котором написано, что все госорганиы в интернеты ходят теперь только через российский сегмент имени ФСО. И к настоящему времени многие органы уже окучены.
И есть такая отечественная операционная система Сейлфиш ( включена в перечень отечественного ПО). Не удивлюсь, если скоро чиновникам можно будет только такие смартфончики пользовать.
Как вы полагаете, будет от этого лучше или хуже, ну в вопросе понимания между вами и чиновниками?
Я надеюсь, вы понимаете, что не все разделяют ваше мнение? Что есть люди, которые полагают, что вот сейчас вам всем просто показали, насколько зыбки и ограничены инструменты, которыми вы привыкли пользоваться? Что если у авиты, например, падает сайт от того, что недоступен гугл, то это только значит что технический директор авиты неправильно оценил риски, связанные с использованием зарубежных сервисов? И что вообще то не все хотят жить в стране, на 100% зависимой от облаков гугла?
Ну, может быть смысл происходящего как раз в том, что бы представители диджитал фронтира так сказать задумались наконец, что на самом то деле они живут не в Интернете а вполне себе в государстве и обществе, и не могут быть свободными от интересов этого общества и ограничений, с ним связанными. Как там Ария пела — «Разделился весь мир, отвечай с км ты».
Впрочем, судя по комментариям, мало кто это заметил =)
Другой же явный вектор происходящего — поддержка отечественных ЦОДов — думаю очевиден всем. А телеграм? Да кого он волнует…
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
Вы в интернет — магазине приняли заказ, и передали его курьерской службе для доставки? ФИО и адрес кому доставить передали? ОК, значит этот пункт не про вас. И согласие нужно, и уведомление подавать. И согласие на передачу третьим лицам брать. А если курьер в штате — то да, вы правы, не нужно.
Про GDPR интересно, конечно. Не планируете более полного обзора?
НБКИ — коммерческая организация, являющаяся оператором ИСПДн, и в соответствии со ст. 7 N 218-ФЗ обеспечивает защиту информации при ее обработке, хранении и передаче сертифицированными средствами защиты в соответствии с законодательством Российской Федерации.
Таким образом, если вас связывают с НБКИ договорные отношения, в этом договоре должно быть предусмотрено обязательства для вас по защите информации.
Если НБКИ вам это не прописал, то вы никому ничего не должны и можете пользоваться обычным openssl + gost, вы ничего не нарушаете, а нарушение законодательства допустил НБКИ.
Если такие требования в договоре есть, то НБКИ закон выполнил, а вы нарушаете договор.
Нарушаете ли вы закон в этом случае ( кроме нарушения договора) зависит от того, чьи данные вы оттуда вытягиваете. Если вы физ. лицо и вытягиваете свои данные, то закон не нарушаете, только договор. Если вы физ. лицо и вытягиваете данные другого физ. лица, либо вы юр.лицо и вытягиваете данные физ. лиц, то вы нарушаете требования 152-фз и всей линейки 1119-пп, 21 приказа фстек и 378 приказа фсб.
Если вы вытягиваете данные юр.лиц, то это нарушение в области банковской, налоговоой или коммерческой тайны ( в зависимости от состава данных и обстоятельств), что бы сослаться на подзаконные акты нужно разбираться конкретнее.
В случае, если вы являетесь оператором информационной системы, обрабатывающей информацию, подлежащую защите в соответствии с законодательством РФ, и таковая информация передается вне контролируемой зоны.
Пример конкретный приведите, общими словами можно долго перекидываться.
Сертифицированным из этого является КриптоПро, а остальное — некое прикладное ПО, правила встраивания в которое описано в формуляре. Работать — работает, именно так, через gostengy. Подробности сборки не подскажу, т.к. мне нужно было решение, удовлетворяющее законодательству РФ, а возиться с корректностью встраивания мутно и дорого. А без корректности встраивания это нарушение требований эксплуатационной документации==использование несертифицированного СКЗИ.
Ну, тоесть ответ — нет, не является.
На основе nginx + openssl + cryptopro есть сертифицированные аппаратные решения. И на основе nginx + openssl + VipNet тоже. По сути — аппаратный реверсивный прокси с веб интерфейсом управления. Про первый могу с уверенностью сказать, что работает.
Это — да, является. Но стоит подороже и занимает минимум 1 юнит в стойке.
Если нужно дешевле и сертифицированное, и без нарушений — то нужно накатить криптопро на виндовс, а IIS настроить как реверсивный прокси на что угодно.
Про IIS в формуляре в явном виде написано, что для него корректность встраивания подтверждать ненужно.
Но нужно таки прочитать формуляр и выполнить остальные требования из серии наличия сертифицированного антивируса и т.д.
Есть еще вариант — в коробке с криптопрой лежит stunnel какой-то древней версии, собранный с поддержкой госта. На него тоже не нужно корректности встраивания, но остальные требования тоже нужно соблюдать. В некоторых случаях это помогает.
(из-под стола)Ээээ… Куда-куда вы ключи запихиваете?
Вопрос я ваш не совсем понял.
Что конкретно вам нужно получить?
nginx, поддерживающий серверные сертификаты, подписанные на ГОСТ Р 34.10-2012?
Или какой-то( какой тогда? ) chiper suite?
На опенсорсе? Или коммерческие решения тоже устраивают?
Упражнение интересное, но подход странный.
Для начала отмечу, что в опенсорсной библиотеке ГОСТовый код скорее всего от вендора криптоком, линейка продуктов МагПро. Возможно ли, что какие то из опробованных вами подходов помогут в работе с сертифицированными СКЗИ? Нет. Почему? Я опишу ниже.
Зачем тогда вообще работать с ГОСТом?
Тестовое окружение? Не факт, что тестовый стенд окажется совместимым с сертифицированными скзи. Если нужен тестовый стенд для ГОСТа (ну вот не уберег Вас Господь) — гораздо разумнее получить триальные версии сертифицированных СКЗИ, все вендоры их дают, а некоторые даже позволяют скачать с сайта.
Есть нюанс — даже сертифицированные СКЗИ между собою как правило или совсем несовместимы, или совместимы с бубном. А вы что то там на опенсорсе пробуете…
Нет документации? Да полноте, есть она на все. Что нет на сайтах прямо сразу — вендоры дают по первой просьбе. У криптопры даже форум есть, там даже тем, кто первый раз в жизни make запускает рассказывают как его так запустить, что бы ngix с криптопрой собрался.
А теперь вишенка на торт… или кучу, тут уж как посмотреть. С сертифицированным средством связываются, когда нужен сертификат. На сертификате написано ( на любом, посмотрите) «безопасность информации обеспечивается при условии выполнения требований формуляра №Формуляра». А в формуляре написано, что инсталлировать СКЗИ можно только с официально полученного дистрибутива. Т.е. не с гитхаба, а с CD диска с номером экземпляра. А еще сказано(ну грубо говоря, сами почитайте )что при встраивании СКЗИ в апач или нжинкс нужно проходить проверку корректности встраивания (ну или оценку влияния прикладного ПО на функции защиты, тоже самое) по тех. заданию, согласованному с 8 центром, что примерно то же самое, что и сертификация нового СКЗИ.
Кактотак.
Любое мясо нужно уметь готовить. Дикая косуля очень вкусна, сын очень ценит, и фиг объяснишь ребенку что это в магазине не продают, не каждый день порадовать можно =)
Да и покупной то стейк не всякий правильно зажарит…
По существу вопроса, поднятого в статье… Ну что ж, забавно будет понаблюдать, как мир подсаживают на очередной эрзац по каким то бредовым причинам.
Что то у меня наблюдения несколько противоположные… Года так с 2002-го, с первых версий инфовотча нашим только дай закрыть и заблокировать, фиг кого убедишь что контролировать — эффективнее.
Книжка замечательная, молодцы.
Прочел на одном дыхании.
Вне всякого сомнения может быть рекомендована всем, кто желает разобраться, чего же от него требует закон.
К сожалению, практика выполнения требований 152-ФЗ делает упоротым буквоедом любого, не миновало это и меня =)) По этому вот вам пара замечаний-дополнений.
1) на 20-й странице вы пишете: " 17 приказ разработан для государственных органов и муниципалитетов".
Это не совсем точное утверждение, и оно может ввести в заблуждение.
17 приказ — требования к ГИСам. В соответствии с 14 ст. 149-ФЗ ГИС создается в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. В соответствии с пп 676 основанием для создания системы является:
а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами;
б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий.
Иными словами, не всякая система в органе исполнительной власти есть ГИС, а только созданные, как ГИС в соответствии с НПА или для реализации полномочий органа власти.
Впрочем, это уточнение не влияет на вашу дальнейшую логику, так как про ГИСы вы не пишете.
В части ответственности за невыполнение и проверок…
во-первых, по 5.27 КоАП можно выхватить приостановление деятельности на срок до девяноста суток, и как -то раз из кого-то даже сделали пример, что бы мы не думали, что оно не работает =)
Во вторых, ФСБ может не только проверять, но и вести ОРД. Ну т.е. схема такая: постановление о производстве оперативно-розыскного мероприятия «обследование помещений, зданий, сооружений, участков местности и транспортных средств». Для него ни плана не нужно, ни сроков, ни мораториев нету. Приходят оперативник со специалистом, обследуют объект, выписывают протокол по 13… чегонибудь КОАП. Следом за протоколом организация получает представление об устранении причин и условий, способствующих совершению административного правонарушения.
А вот за неисполнения представления вилка большая — можно и штрафиком отделаться, а можно и дисквалификацию административную на генерального директора схлопотать по ст. 19.5 КОАП.
Я бы на такую железяку NT 4.0 посоветовал бы. И сетка нормально заработает. Правда, ЕМНИП, директ X -а там нету совсем.
Интересно, нельзя ли будет подобрать из пожилых версий мозиллы такую, которая и более-менее будет работать на такой машине и показывать хоть какие то сайты?
У меня кстати есть dell latitude c400 — имхо сравнимая машинка, тоже пентиум 3. Он с XP-шкой дожил до широкополосного интернета, и линукс у меня на нем жил вполне сносно.
В принципе, машина и сейчас жива — держу на нем дос и прошивальщик для моторол серии gp300 — у него есть аппаратный com порт.
Отвлекся. Это я к чему — можно попробовать и XP поставить, и линукс. 98-й — это не сетевая ОС, да и вообще не ос а дрянь. Помните такое слово мастдайка?
Шикарное утверждение конечно.
Вот например в магическом квадрате гартнера за 17 год присутствует вполне себе бесплатная, и даже опенсорсная… не буду говорить название, но квадрат вполне себе гуглится по «gartner crm magic quadrant 2017»
Забавно, но почему — то в квадрате системы уважаемого RegionSoft-а нету.
Ну что ж, будем надеяться, что после рекламы на хабре продажи подростут и гартнер заметит этот замечательный продукт =)
Если нет, и проблемы только у юрика, то что это за проблемы? Они касаются только активов компании, находящихся в ЕС, или их контрагентов тоже?
Но все же, не могли бы вы еще немного подогреть мой интерес… Какое все-таки отношение имеет европейский закон к резидентам РФ? Чего мне бояться, в случае его нарушения, как физическому лицу, или как владельцу ( или ген. директору ) юридического лица, зарегистрированного на территории РФ и не ориентированному на зарубежный рынок?
Но есть такой указ Президента № 260 от 22 мая 2015 года, в котором написано, что все госорганиы в интернеты ходят теперь только через российский сегмент имени ФСО. И к настоящему времени многие органы уже окучены.
И есть такая отечественная операционная система Сейлфиш ( включена в перечень отечественного ПО). Не удивлюсь, если скоро чиновникам можно будет только такие смартфончики пользовать.
Как вы полагаете, будет от этого лучше или хуже, ну в вопросе понимания между вами и чиновниками?
Впрочем, судя по комментариям, мало кто это заметил =)
Другой же явный вектор происходящего — поддержка отечественных ЦОДов — думаю очевиден всем. А телеграм? Да кого он волнует…
Вы в интернет — магазине приняли заказ, и передали его курьерской службе для доставки? ФИО и адрес кому доставить передали? ОК, значит этот пункт не про вас. И согласие нужно, и уведомление подавать. И согласие на передачу третьим лицам брать. А если курьер в штате — то да, вы правы, не нужно.
Про GDPR интересно, конечно. Не планируете более полного обзора?
Таким образом, если вас связывают с НБКИ договорные отношения, в этом договоре должно быть предусмотрено обязательства для вас по защите информации.
Если НБКИ вам это не прописал, то вы никому ничего не должны и можете пользоваться обычным openssl + gost, вы ничего не нарушаете, а нарушение законодательства допустил НБКИ.
Если такие требования в договоре есть, то НБКИ закон выполнил, а вы нарушаете договор.
Нарушаете ли вы закон в этом случае ( кроме нарушения договора) зависит от того, чьи данные вы оттуда вытягиваете. Если вы физ. лицо и вытягиваете свои данные, то закон не нарушаете, только договор. Если вы физ. лицо и вытягиваете данные другого физ. лица, либо вы юр.лицо и вытягиваете данные физ. лиц, то вы нарушаете требования 152-фз и всей линейки 1119-пп, 21 приказа фстек и 378 приказа фсб.
Если вы вытягиваете данные юр.лиц, то это нарушение в области банковской, налоговоой или коммерческой тайны ( в зависимости от состава данных и обстоятельств), что бы сослаться на подзаконные акты нужно разбираться конкретнее.
Пример конкретный приведите, общими словами можно долго перекидываться.
Ну, тоесть ответ — нет, не является.
На основе nginx + openssl + cryptopro есть сертифицированные аппаратные решения. И на основе nginx + openssl + VipNet тоже. По сути — аппаратный реверсивный прокси с веб интерфейсом управления. Про первый могу с уверенностью сказать, что работает.
Это — да, является. Но стоит подороже и занимает минимум 1 юнит в стойке.
Если нужно дешевле и сертифицированное, и без нарушений — то нужно накатить криптопро на виндовс, а IIS настроить как реверсивный прокси на что угодно.
Про IIS в формуляре в явном виде написано, что для него корректность встраивания подтверждать ненужно.
Но нужно таки прочитать формуляр и выполнить остальные требования из серии наличия сертифицированного антивируса и т.д.
Есть еще вариант — в коробке с криптопрой лежит stunnel какой-то древней версии, собранный с поддержкой госта. На него тоже не нужно корректности встраивания, но остальные требования тоже нужно соблюдать. В некоторых случаях это помогает.
Вопрос я ваш не совсем понял.
Что конкретно вам нужно получить?
nginx, поддерживающий серверные сертификаты, подписанные на ГОСТ Р 34.10-2012?
Или какой-то( какой тогда? ) chiper suite?
На опенсорсе? Или коммерческие решения тоже устраивают?
Для начала отмечу, что в опенсорсной библиотеке ГОСТовый код скорее всего от вендора криптоком, линейка продуктов МагПро. Возможно ли, что какие то из опробованных вами подходов помогут в работе с сертифицированными СКЗИ? Нет. Почему? Я опишу ниже.
Зачем тогда вообще работать с ГОСТом?
Тестовое окружение? Не факт, что тестовый стенд окажется совместимым с сертифицированными скзи. Если нужен тестовый стенд для ГОСТа (ну вот не уберег Вас Господь) — гораздо разумнее получить триальные версии сертифицированных СКЗИ, все вендоры их дают, а некоторые даже позволяют скачать с сайта.
Есть нюанс — даже сертифицированные СКЗИ между собою как правило или совсем несовместимы, или совместимы с бубном. А вы что то там на опенсорсе пробуете…
Нет документации? Да полноте, есть она на все. Что нет на сайтах прямо сразу — вендоры дают по первой просьбе. У криптопры даже форум есть, там даже тем, кто первый раз в жизни make запускает рассказывают как его так запустить, что бы ngix с криптопрой собрался.
А теперь вишенка на торт… или кучу, тут уж как посмотреть. С сертифицированным средством связываются, когда нужен сертификат. На сертификате написано ( на любом, посмотрите) «безопасность информации обеспечивается при условии выполнения требований формуляра №Формуляра». А в формуляре написано, что инсталлировать СКЗИ можно только с официально полученного дистрибутива. Т.е. не с гитхаба, а с CD диска с номером экземпляра. А еще сказано(ну грубо говоря, сами почитайте )что при встраивании СКЗИ в апач или нжинкс нужно проходить проверку корректности встраивания (ну или оценку влияния прикладного ПО на функции защиты, тоже самое) по тех. заданию, согласованному с 8 центром, что примерно то же самое, что и сертификация нового СКЗИ.
Кактотак.
Да и покупной то стейк не всякий правильно зажарит…
По существу вопроса, поднятого в статье… Ну что ж, забавно будет понаблюдать, как мир подсаживают на очередной эрзац по каким то бредовым причинам.
Прочел на одном дыхании.
Вне всякого сомнения может быть рекомендована всем, кто желает разобраться, чего же от него требует закон.
К сожалению, практика выполнения требований 152-ФЗ делает упоротым буквоедом любого, не миновало это и меня =)) По этому вот вам пара замечаний-дополнений.
1) на 20-й странице вы пишете: " 17 приказ разработан для государственных органов и муниципалитетов".
Это не совсем точное утверждение, и оно может ввести в заблуждение.
17 приказ — требования к ГИСам. В соответствии с 14 ст. 149-ФЗ ГИС создается в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. В соответствии с пп 676 основанием для создания системы является:
а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами;
б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий.
Иными словами, не всякая система в органе исполнительной власти есть ГИС, а только созданные, как ГИС в соответствии с НПА или для реализации полномочий органа власти.
Впрочем, это уточнение не влияет на вашу дальнейшую логику, так как про ГИСы вы не пишете.
В части ответственности за невыполнение и проверок…
во-первых, по 5.27 КоАП можно выхватить приостановление деятельности на срок до девяноста суток, и как -то раз из кого-то даже сделали пример, что бы мы не думали, что оно не работает =)
Во вторых, ФСБ может не только проверять, но и вести ОРД. Ну т.е. схема такая: постановление о производстве оперативно-розыскного мероприятия «обследование помещений, зданий, сооружений, участков местности и транспортных средств». Для него ни плана не нужно, ни сроков, ни мораториев нету. Приходят оперативник со специалистом, обследуют объект, выписывают протокол по 13… чегонибудь КОАП. Следом за протоколом организация получает представление об устранении причин и условий, способствующих совершению административного правонарушения.
А вот за неисполнения представления вилка большая — можно и штрафиком отделаться, а можно и дисквалификацию административную на генерального директора схлопотать по ст. 19.5 КОАП.
Както так =)
Интересно, нельзя ли будет подобрать из пожилых версий мозиллы такую, которая и более-менее будет работать на такой машине и показывать хоть какие то сайты?
У меня кстати есть dell latitude c400 — имхо сравнимая машинка, тоже пентиум 3. Он с XP-шкой дожил до широкополосного интернета, и линукс у меня на нем жил вполне сносно.
В принципе, машина и сейчас жива — держу на нем дос и прошивальщик для моторол серии gp300 — у него есть аппаратный com порт.
Отвлекся. Это я к чему — можно попробовать и XP поставить, и линукс. 98-й — это не сетевая ОС, да и вообще не ос а дрянь. Помните такое слово мастдайка?