Законодательство в IT
Следим за тем, как регулируют IT-индустрию
Гайд по внутренней документации по информационной безопасности. Что, как и зачем
В одной из наших предыдущих статей мы затронули вопрос формирования комплекта документов для проверяющих по вопросам защиты персональных данных. Мы дали ссылку на наши шаблоны документов, но остановились на теме документации по информационной безопасности весьма поверхностно.
В этой статье хотелось бы раскрыть эту тему подробнее как в контексте персональных данных в частности, так и защиты информации в целом. Какие документы должны быть у оператора, какие опциональны. Откуда берется требование того или иного документа. Что писать в документах, а чего не стоит. Под катом очень много букв на эту тему.
Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это можно исправить
Рисовальная машина за работой, © axisdraw.com
Электронная подпись в России впервые появилась в январе 2002 года вместе с принятием первого закона «Об электронной цифровой подписи» (1-ФЗ). Затем, спустя 9 лет, в апреле 2011 появился новый закон «Об электронной подписи» (63-ФЗ). Спустя еще 8 лет, в начале лета 2019, в СМИ стали появляться леденящие душу публикации о том, как с помощью электронной подписи воруют квартиры, как мошенники оформляют на ничего не подозревающих граждан фиктивные фирмы, и так далее, и тому подобное.
Давайте без лишних эмоций попробуем разобраться в сложившихся проблемах и подумаем, как их можно исправить.
- Предисловие
- Часть 1 — проблемы законодательства
- Проблема № 1 — идентификация клиентов удостоверяющими центрами
- Проблема № 2 — ограничение использования электронной подписи
- Проблема № 3 — получение извещения о выпуске электронной подписи
- Проблема № 4 — правила использования СКЗИ
- Проблема № 5 — стандартизация средств электронной подписи
- Проблема № 6 — старые подписи
- Проблема № 7 — «атака назад в будущее»
- Часть 2 — работа над ошибками
- Послесловие
- Дополнительные материалы
90 миллиардов рублей на развитие искусственного интеллекта
Совещание мне показалось интересным, хотя и долгим, почти полтора часа, поэтому я предлагаю своеобразный дайджест основных высказываний и мнений участников. Цитаты выбирались наиболее ключевые, как мне кажется, по теме, чтобы не зарываться в детали. Цифры перед именами выступающих означают тайм код по видео, ссылки на видео есть в конце статьи.
Новости недели: Facebook отказывает Huawei в приложениях, ОС “Аврора" вместо Android, наказания за майнинг
В сегодняшнем выпуске:
- Facebook запретила предустановку приложений Facebook, WhatsApp и Instagram на новые смартфоны Huawei;
- депутаты предложили ввести административную ответственность за майнинг криптовалют;
- правительство РФ предлагает Huawei использовать отечественную ОС «Аврора»;
- Совет Федерации может ввести штрафы за использование иностранных сетей спутниковой связи;
- «усатый» датчик откроет роботам глаза на мир;
- штраф за хранение персональных данных россиян за рубежом может быть повышен до 18 млн рублей.
Электронное государство будущего. Часть 3
Общегосударственная система выборов и референдумов
ОГСВР — подсистема ОГАС 2.0. Позволяет гражданам создавать петиции, вести обсуждение законопроектов, участвовать в общегосударственных электронных референдумах и электронных выборах всех уровней. Доступна через личный кабинет гражданина.
Цели системы
Цели системы – реализация прямой власти народа в стране, создание механизма взаимодействия граждан с законодательной властью, обеспечение контроля за действиями исполнительной власти, обеспечение общественного контроля за принятием всех общегосударственных решений, улучшение избирательной системы.
Электронное государство будущего. Часть 2
Общегосударственная система управления производством (ОГСУП)
Подсистема ОГАС 2.0. Предназначена для управления, контроля и учета производственной деятельности любых предприятий и организаций страны.
Руководство и сотрудники предприятий имеют доступ к ОГСУП через ИПП (Информационный Портал Предприятия).
Органы государственной власти имеют доступ к ОГСУП через ИПГО (Информационный Портал Государственного Органа).
Цели и задачи системы
- Централизованное управление производством всех предприятий и организаций страны как единого хозяйствующего субъекта.
- Автоматическое планирование производства на основании анализа спроса на продукцию предприятия.
- Получает из других подсистем, обрабатывает и предоставляет руководству предприятия всю необходимую управленческую информацию для управления предприятием.
- Получает от предприятия, обрабатывает и распределяет по другим подсистемам данные о работе предприятия.
- Осуществляет программное ценообразование на продукцию и услуги предприятия.
- Управляет открытием, расширением и закрытием предприятий.
- Управляет качеством продукции.
- Управляет начислением заработной платы сотрудникам предприятия.
Как скорректировать закон Яровой, чтобы он стал подъёмным для малых провайдеров? Отменить его
Мы попросили прокомментировать ситуацию юриста, представляющего интересы «Фирмы Связь», гендиректора компании «Ордерком» Дмитрия Галушко.
Он рассказал, что после вступления в силу закона Яровой на рынке сложилась плачевная ситуация. Малым провайдерам установка оборудования обходится в 50–70% годовой выручки. Многие уходят с рынка в чёрные или серые схемы, или вынуждены продаваться.
Новости недели: корпоративный блокировщик рекламы в Chrome, ФСБ и ключи шифрования «Яндекса», связь дорожает
В новом выпуске дайджеста читайте:
- VPN-сервис HideMy.name смог добиться в суде отмены блокировки;
- полноценный блокировщик рекламы в Chrome будет доступен только для корпоративных пользователей;
- данные eSim будут хранить на территории РФ;
- Яндекс не предоставил ФСБ ключи шифрования;
- связь в России дорожает из-за отмены роуминга;
- команда МФТИ выходит в финал конкурса Amazon;
- Apple удаляет из сети неугодные ролики;
- краснодарский провайдер отказывается устанавливать оборудование для «Закона Яровой».
Как мы компанию в ЕС регистрировали
Итак, добро пожаловать в Вентспилский Парк высоких технологий.
Как ИТ-компании мира защищаются от конкурентов в лице бывших сотрудников?
В этой теме я сторонний наблюдатель — часто перевожу разные договоры и соглашения про эту боль для ИТ-компаний.
Однажды задался вопросом — а как в целом в разных странах, ну и в первую очередь в России, защищаются от этой беды?
Про неконкуренцию
Вообще, уход сотрудника — это 3 «полярные лисички», а не одна.
Ушедший сотрудник:
- создает свою компанию или устраивается к конкурентам (даже не знаю, что хуже);
- уносит с собой голову, в которой хранится куча конфиденциальной информации и наработок;
- уводит сотрудников, как правило, наиболее ценных, чем делает «лисичку» еще полнее.
Как бы ты хорошо ни относился к сотруднику, поневоле задумаешься о разных ограничительных соглашениях, обозначаемых за рубежом общим термином non-competes.
О них и поговорим.
Руководство по заполнению уведомления оператора персональных данных
В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.
Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.
Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.
Электронное государство будущего
«I have a dream…»
Мартин Лютер Кинг
У меня есть мечта. Мечта об обществе всеобщего процветания, справедливости и равных возможностей, обществе заботы и всестороннего развития каждого человека. Обществе, где важен и нужен каждый, обществе любви и сотрудничества между людьми.
Реально ли построить такое общество на нашей планете, полной войн, страданий, нищеты, неравенства, эксплуатации человека человеком? На планете, где 8 богатейших людей богаче, чем 3,5 миллиарда бедных?
Ближайшие события
Новости недели: у Huawei всё ещё проблемы, «квантовый телефон» в РФ, у ARM новые процессоры
В этом выпуске читайте:
- Huawei теряет возможность выпускать устройства с картами памяти SD;
- Рунет обходит телевидение по рекламным доходам;
- ARM представляет новые процессоры;
- в России разработали«квантовый телефон»;
- размер заработной платы зависит от наследственности;
- у программных инженеров и DevOps зарплаты выше;
Конец эпохи ремонта девайсов. Как Apple и Amazon зачищают торговцев старой электроникой
Прошло шесть месяцев с момента вступления в силу сделки между Amazon и Apple. Яблочная компания согласилась самостоятельно продавать свои гаджеты в самом большом интернет-магазине. Это стало настоящим ударом для, казалось бы, не связанных с этим напрямую бизнесов по починке бывших в употреблении устройств. Две гигантские техкомпании заключили сделку, и теперь тысячи мелких предпринимателей вдруг остались без места для работы. О том, что теперь случилось с этим бизнесом, и как теперь в новом цифровом веке пытаются выживать ремонтные мастерские – новом материале The Verge.
Проблемы действующей методики определения актуальных угроз от ФСТЭК
Доброго времени суток, Хабр! Сегодня мы бы хотели покритиковать документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный ФСТЭК России 14 февраля 2008г. (далее – Методика).
Эта Методика является единственным утвержденным документом по определению актуальных угроз безопасности, а в соответствии с действующим законодательством «Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России...».
Как видно из даты утверждения Методики, ей уже более 10 лет и с ней действительно много проблем. Какие именно — рассмотрим далее.
О недавней кибератаке Балтимора
25 мая в The New York Times вышел подробный материал о кибератаках Балтимора. Заражены тысячи компьютеров, остановились коммунальные и кадастровые службы, пострадали медицинские учреждения. Буквально катастрофа по Голливудскому сюжету. И знаете кто виноват? Всё верно — Китай, совместно с Россией и Северной Кореей.
Началось всё с того, что в АНБ разрабатывали какое-то очень серьёзное ПО для управления всего и вся, но потеряли контроль над процессом. Ну а наши с азиатами подхватили эти технологии и обернули их против американцев. Система может парализовать работу аэропортов, транспортных узлов, банкоматов, фармзаводов и прочего. АНБ c ФБР ситуацию не комментируют. Беды ожидают ещё ряд городов от Пенсильвании до Техаса. В общем всё серьёзно.
Pythonhosted.org ошибочно заблокирован Роскомнадзором
Поводом для написания статьи послужило отсутствие упоминаний данного события в Рунете. Виной тому, предположительно, является несоблюдение провайдерами требования РКН, о котором пойдет речь ниже. Мне его удалось обнаружить только в корпоративной сети. Но нет никаких сомнений, что рано или поздно это коснётся всех.
Разбор и детали под катом.
Мошенники и ЭЦП — всё очень плохо
Недавно общественность облетела новость о первом случае продажи квартиры мошенниками с помощью ЭЦП и подделки документов. Когда я раньше читал подобные новости, всегда воспринимал отстранённо, как будто со мной этого не может произойти, но я ошибался. И теперь могу заявить, в зоне риска мошенников — каждый, увы, даже хабровчане.
Принципы свободного рынка в понимании США
Однажды я вам рассказывал про случай, когда служба CFIUS при Министерстве внутренней безопасности США заставила китайцев продать ЛГБТ соцсеть, ибо негоже, что у Пекина так много данных о гражданах «самой свободной». Тогда меня это удивило, но это вполне себе распространённая практика. К примеру, долю в медтех стартапе PatientsLikeMe китайцев тоже заставили продать и по тем же самым причинам. На минуточку, инвесторы из Поднебесной приобрели мажоритарную долю в раунде на $100 мультов.
Есть ещё история про Pamplona Capital Management, в которую активно инвестирует LetterOne Михаила Фридмана. Их принудили продать Cofense, которую они купили вместе с BlackRock за $400 миллионов. Cofense занимается кибербезопасностью и разрабатывает решения против фишинговых атак. А мотив CFIUS лишь в том, что уж больно велика доля иностранцев. Как вам вообще такое? Я, конечно, слышал про подобные методы в одной стране, но там хотя бы всё чётко регламентировано и затрагивает только СМИ.
А теперь о главном — Хуавэй, с мыслей о котором и появилось желание написать всё это. Многие не знают, но прения между телекоммуникационным гигантом и штатами возникли ещё в начале нулевых. Причём претензии Cisco были частично справедливы, однако потом всё стало походить на какой-то театр абсурда.
Вклад авторов
alizar 7068.8marks 6436.7Mithgol 2331.0semen_grinshtein 2006.8ancotir 1932.1RationalAnswer 1709.0ITSumma 1132.9LMonoceros 1132.0sardarbinyan 1103.0