Законодательство в IT

Проверка смартфонов и ноутбуков в аэропортах — становится нормой для многих стран. Кто-то считает это необходимостью, другие — вмешательством личную жизнь. Обсуждаем ситуацию, последние изменения по теме и рассказываем, как можно действовать в новых обстоятельствах.

В одной из наших предыдущих статей мы затронули вопрос формирования комплекта документов для проверяющих по вопросам защиты персональных данных. Мы дали ссылку на наши шаблоны документов, но остановились на теме документации по информационной безопасности весьма поверхностно.

В этой статье хотелось бы раскрыть эту тему подробнее как в контексте персональных данных в частности, так и защиты информации в целом. Какие документы должны быть у оператора, какие опциональны. Откуда берется требование того или иного документа. Что писать в документах, а чего не стоит. Под катом очень много букв на эту тему.

Рисовальная машина за работой, © axisdraw.com

Электронная подпись в России впервые появилась в январе 2002 года вместе с принятием первого закона «Об электронной цифровой подписи» (1-ФЗ). Затем, спустя 9 лет, в апреле 2011 появился новый закон «Об электронной подписи» (63-ФЗ). Спустя еще 8 лет, в начале лета 2019, в СМИ стали появляться леденящие душу публикации о том, как с помощью электронной подписи воруют квартиры, как мошенники оформляют на ничего не подозревающих граждан фиктивные фирмы, и так далее, и тому подобное.

Давайте без лишних эмоций попробуем разобраться в сложившихся проблемах и подумаем, как их можно исправить.

30 мая сего года на территории «Школы 21» Сбербанка прошло совещание по вопросам развития технологий в области искусственного интеллекта. Совещание можно считать немного эпохальным — во-первых, его вёл Президент России В.В. Путин, а участвовали президенты, генеральные директора и заместители генеральных директоров государственных корпораций и крупных коммерческих компаний. Во-вторых, обсуждалась ни много, ни мало, а национальная Стратегия по развитию технологий искусственного интеллекта, подготовленная Сбербанком, о которой доложил Г.О. Греф.



Совещание мне показалось интересным, хотя и долгим, почти полтора часа, поэтому я предлагаю своеобразный дайджест основных высказываний и мнений участников. Цитаты выбирались наиболее ключевые, как мне кажется, по теме, чтобы не зарываться в детали. Цифры перед именами выступающих означают тайм код по видео, ссылки на видео есть в конце статьи.

В сегодняшнем выпуске:

• Facebook запретила предустановку приложений Facebook, WhatsApp и Instagram на новые смартфоны Huawei;
• депутаты предложили ввести административную ответственность за майнинг криптовалют;
• правительство РФ предлагает Huawei использовать отечественную ОС «Аврора»;
• Совет Федерации может ввести штрафы за использование иностранных сетей спутниковой связи;
• «усатый» датчик откроет роботам глаза на мир;
• штраф за хранение персональных данных россиян за рубежом может быть повышен до 18 млн рублей.

Часть 1 >> Часть 2



Общегосударственная система выборов и референдумов

ОГСВР — подсистема ОГАС 2.0. Позволяет гражданам создавать петиции, вести обсуждение законопроектов, участвовать в общегосударственных электронных референдумах и электронных выборах всех уровней. Доступна через личный кабинет гражданина.

Цели системы

Цели системы – реализация прямой власти народа в стране, создание механизма взаимодействия граждан с законодательной властью, обеспечение контроля за действиями исполнительной власти, обеспечение общественного контроля за принятием всех общегосударственных решений, улучшение избирательной системы.

Общегосударственная система управления производством (ОГСУП)

Подсистема ОГАС 2.0. Предназначена для управления, контроля и учета производственной деятельности любых предприятий и организаций страны.

Руководство и сотрудники предприятий имеют доступ к ОГСУП через ИПП (Информационный Портал Предприятия).

Органы государственной власти имеют доступ к ОГСУП через ИПГО (Информационный Портал Государственного Органа).

Цели и задачи системы

• Централизованное управление производством всех предприятий и организаций страны как единого хозяйствующего субъекта.
• Автоматическое планирование производства на основании анализа спроса на продукцию предприятия.
• Получает из других подсистем, обрабатывает и предоставляет руководству предприятия всю необходимую управленческую информацию для управления предприятием.
• Получает от предприятия, обрабатывает и распределяет по другим подсистемам данные о работе предприятия.
• Осуществляет программное ценообразование на продукцию и услуги предприятия.
• Управляет открытием, расширением и закрытием предприятий.
• Управляет качеством продукции.
• Управляет начислением заработной платы сотрудникам предприятия.

7 июня 2019 года на Хабре развернулось бурное обсуждение ситуации, которая сложилась вокруг небольшого интернет-провайдера «Фирма Связь» из города Ейск Краснодарского края (5000 клиентов, годовая выручка 20 млн руб.). Провайдер отказался выполнять требование Роскомнадзора по закону Яровой — закупить оборудование, которое еще не прошло сертификацию — и стал оспаривать результаты проверки. Роскомнадзор подал в суд. При этом, суд, допустив процессуальные нарушения, принял решение через семь рабочих дней после поступления заявления РКН, что нарушает конституционное право на судебную защиту. В Минкомсвязи признали наличие пробела в законодательстве и пообещали устранить «законодательную лакуну».

Мы попросили прокомментировать ситуацию юриста, представляющего интересы «Фирмы Связь», гендиректора компании «Ордерком» Дмитрия Галушко.

Он рассказал, что после вступления в силу закона Яровой на рынке сложилась плачевная ситуация. Малым провайдерам установка оборудования обходится в 50–70% годовой выручки. Многие уходят с рынка в чёрные или серые схемы, или вынуждены продаваться.

В новом выпуске дайджеста читайте:

• VPN-сервис HideMy.name смог добиться в суде отмены блокировки;
• полноценный блокировщик рекламы в Chrome будет доступен только для корпоративных пользователей;
• данные eSim будут хранить на территории РФ;
• Яндекс не предоставил ФСБ ключи шифрования;
• связь в России дорожает из-за отмены роуминга;
• команда МФТИ выходит в финал конкурса Amazon;
• Apple удаляет из сети неугодные ролики;
• краснодарский провайдер отказывается устанавливать оборудование для «Закона Яровой».

Необходимость регистрации компании в ЕС возникла сразу вслед за необходимостью закупки собственного оборудования для реализации некоторых возможностей, которые мы не могли предложить на арендованном. И как бы ни хотелось помахать перед уважаемыми читателями рекламным баннером и рассказать, сколько всего приятного мы теперь можем делать (например, роутить ваши подсети, объединять оборудование в частные сети, принимать оплату на счёт и давать красивые закрывающие документы для бухгалтерии с печатями), всё же в посте я сосредоточусь на вопросах перевода бизнеса или открытия подразделения в ЕС. А плюшки, которые мы теперь можем предложить, оставлю напоследок.

Итак, добро пожаловать в Вентспилский Парк высоких технологий.

В этой теме я сторонний наблюдатель — часто перевожу разные договоры и соглашения про эту боль для ИТ-компаний.

Однажды задался вопросом — а как в целом в разных странах, ну и в первую очередь в России, защищаются от этой беды?

Про неконкуренцию

Вообще, уход сотрудника — это 3 «полярные лисички», а не одна.

Ушедший сотрудник:

1. создает свою компанию или устраивается к конкурентам (даже не знаю, что хуже);
2. уносит с собой голову, в которой хранится куча конфиденциальной информации и наработок;
3. уводит сотрудников, как правило, наиболее ценных, чем делает «лисичку» еще полнее.

Как бы ты хорошо ни относился к сотруднику, поневоле задумаешься о разных ограничительных соглашениях, обозначаемых за рубежом общим термином non-competes.

О них и поговорим.

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.

«I have a dream…»
Мартин Лютер Кинг

У меня есть мечта. Мечта об обществе всеобщего процветания, справедливости и равных возможностей, обществе заботы и всестороннего развития каждого человека. Обществе, где важен и нужен каждый, обществе любви и сотрудничества между людьми.

Реально ли построить такое общество на нашей планете, полной войн, страданий, нищеты, неравенства, эксплуатации человека человеком? На планете, где 8 богатейших людей богаче, чем 3,5 миллиарда бедных?

В этом выпуске читайте:

• Huawei теряет возможность выпускать устройства с картами памяти SD;
• Рунет обходит телевидение по рекламным доходам;
• ARM представляет новые процессоры;
• в России разработали«квантовый телефон»;
• размер заработной платы зависит от наследственности;
• у программных инженеров и DevOps зарплаты выше;

Прошло шесть месяцев с момента вступления в силу сделки между Amazon и Apple. Яблочная компания согласилась самостоятельно продавать свои гаджеты в самом большом интернет-магазине. Это стало настоящим ударом для, казалось бы, не связанных с этим напрямую бизнесов по починке бывших в употреблении устройств. Две гигантские техкомпании заключили сделку, и теперь тысячи мелких предпринимателей вдруг остались без места для работы. О том, что теперь случилось с этим бизнесом, и как теперь в новом цифровом веке пытаются выживать ремонтные мастерские – новом материале The Verge.

Доброго времени суток, Хабр! Сегодня мы бы хотели покритиковать документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный ФСТЭК России 14 февраля 2008г. (далее – Методика).

Эта Методика является единственным утвержденным документом по определению актуальных угроз безопасности, а в соответствии с действующим законодательством «Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России...».

Как видно из даты утверждения Методики, ей уже более 10 лет и с ней действительно много проблем. Какие именно — рассмотрим далее.

Сей пост есть дубль записи из моего Телеграм канала. Посчитал нужным поделиться обнаруженными фактами c хабраобществом.

25 мая в The New York Times вышел подробный материал о кибератаках Балтимора. Заражены тысячи компьютеров, остановились коммунальные и кадастровые службы, пострадали медицинские учреждения. Буквально катастрофа по Голливудскому сюжету. И знаете кто виноват? Всё верно — Китай, совместно с Россией и Северной Кореей.

Началось всё с того, что в АНБ разрабатывали какое-то очень серьёзное ПО для управления всего и вся, но потеряли контроль над процессом. Ну а наши с азиатами подхватили эти технологии и обернули их против американцев. Система может парализовать работу аэропортов, транспортных узлов, банкоматов, фармзаводов и прочего. АНБ c ФБР ситуацию не комментируют. Беды ожидают ещё ряд городов от Пенсильвании до Техаса. В общем всё серьёзно.

Поводом для написания статьи послужило отсутствие упоминаний данного события в Рунете. Виной тому, предположительно, является несоблюдение провайдерами требования РКН, о котором пойдет речь ниже. Мне его удалось обнаружить только в корпоративной сети. Но нет никаких сомнений, что рано или поздно это коснётся всех.

Разбор и детали под катом.

Недавно общественность облетела новость о первом случае продажи квартиры мошенниками с помощью ЭЦП и подделки документов. Когда я раньше читал подобные новости, всегда воспринимал отстранённо, как будто со мной этого не может произойти, но я ошибался. И теперь могу заявить, в зоне риска мошенников — каждый, увы, даже хабровчане.

Сей пост есть дубль записей из моего Телеграм канала. Посчитал нужным поделиться обнаруженными фактами c хабраобществом.

Однажды я вам рассказывал про случай, когда служба CFIUS при Министерстве внутренней безопасности США заставила китайцев продать ЛГБТ соцсеть, ибо негоже, что у Пекина так много данных о гражданах «самой свободной». Тогда меня это удивило, но это вполне себе распространённая практика. К примеру, долю в медтех стартапе PatientsLikeMe китайцев тоже заставили продать и по тем же самым причинам. На минуточку, инвесторы из Поднебесной приобрели мажоритарную долю в раунде на $100 мультов.

Есть ещё история про Pamplona Capital Management, в которую активно инвестирует LetterOne Михаила Фридмана. Их принудили продать Cofense, которую они купили вместе с BlackRock за $400 миллионов. Cofense занимается кибербезопасностью и разрабатывает решения против фишинговых атак. А мотив CFIUS лишь в том, что уж больно велика доля иностранцев. Как вам вообще такое? Я, конечно, слышал про подобные методы в одной стране, но там хотя бы всё чётко регламентировано и затрагивает только СМИ.

А теперь о главном — Хуавэй, с мыслей о котором и появилось желание написать всё это. Многие не знают, но прения между телекоммуникационным гигантом и штатами возникли ещё в начале нулевых. Причём претензии Cisco были частично справедливы, однако потом всё стало походить на какой-то театр абсурда.