?

Log in

No account? Create an account

Журнал о Жизни

Записал, чтобы не забыть

Не уследили
imdi
У Хабрахабра закончился срок регистрации домена, раскупайте скорей! :)
 
Метки:

Преступление и наказание
imdi

Появился еще один замечательный механизм наказания конкурентов, кроме проверки лицензионности Microsoft - через 3 месяца вступает закон о защите персональных данных! Осталось ВСЕГО 3 месяца! А многие организации даже не знают об этом законе...

В прошлом году прокуратура Кировского района Ярославля возбудила дело против заместителя гендиректора кадрового агентства "Поиск". Причина - результаты проверки, которую провели чиновники Роскомназдора, уполномоченные контролировать выполнение закона №152-ФЗ "О персональных данных". Он вступил в силу в январе 2007 года, но предпринимателям дали время на "докрутку" информационных систем. Сначала до 1 января 2010 года, затем срок был увеличен еще на 1 год, теперь еще на полгода - до 1 июля 2011 года. Пока что наказание за невыполнение закона невелико, но проверки выполнения его требований уже идут. Например, все компании, которые работают с персональными данными (это более 5 млн фирм) должны подать заявку о регистрации в Роскомнадзор. Однако это сделали всего чуть более 175 000 компаний. Все остальные - формальные нарушители. Топ-менеджер "Поиска" отделался штрафом в 500 рублей. Однако с 1 июля 2011 года наказание за несоблюдение закона будет уже совершенно иным, а к проверкам вплотную подключатся ФСТЭК (Федеральная служба по техническому и экспортному контролю) и ФСБ.

"Четверокнижие" и другие требования

Закон был принят, поскольку Россия еще в 2001 году присоединилась к Конвенции о защите физических лиц при автоматизированной обработке персональных данных. Разъяснить технические требования к компаниям должны были документы ФСТЭК. В начале 2008 года служба выпустила четыре нормативных документа (известны как "четверокнижие") с подробными инструкциями по исполнению ФЗ-152. Но по факту они-то и создали противоречия. ФСТЭК всегда занималась охраной государственной тайны и по сути повторила в инструкциях режимные требования, предъявляемые к системам, обрабатывающим гостайну.

"Четверокнижие", например, предписывало устранять утечку информации по акустическому и виброакустическому каналам. То есть если в переговорной комнате идет совещание, где упоминаются персональные данные, предполагается, что за окном может подслушивать потенциальный нарушитель. Такую угрозу стоило устранять при помощи создания зашумления с помощью специальных приборов - например, пассивных акустических колонкок. Сейчас подобные угрозы уже не считаются актуальными, но все компании должны использовать средства информационной безопасности, которые получили сертификат ФСТЭК: он подтверждает соответствие IТ-решений требованиям ФЗ-152.

Требования двух других регуляторов - Роскомнадзора и ФСБ, - на первый взгляд, не так архаичны. Однако они предполагают наличие в штате компании специалиста по защите персональных данных, способного разобраться в многостраничных регламентах и подготовить минимальный набор документации. Таких людей готовят лицензиаты ФСТЭК и ФСБ России, а также более 30 обучающих центров по всей России. Опытных специалистов немного - их можно искать в штате системных интеграторов или крупных операторов связи. Зарплаты - от 40 000 рублей.

Пять вариантов выполнить закон

Вариант первый: заказать услугу у системных интеграторов

Заказать консалтинговую услугу и поставку "правильных" технических решений можно практически у любого системного интегратора. Таким путем, как правило, идут крупные компании. Чем заметнее компания, тем выше риск государственных проверок. По оценке участников рынка информационной безопасности, в 2010 году общая стоимость проектов по персональным данным составила более $110 млн.

При выборе исполнителя стоит убедиться, что у него есть активная практика в сфере информационной безопасности, а также необходимые лицензии ФСТЭК и ФСБ. Успех проекта должен оцениваться не подписанием акта приема-передачи, а результатом проверки регуляторами. Поэтому в договоре имеет смысл прописать ответственность поставщика услуги на случай, если, несмотря на проведенные работы, проверка ФСТЭК и ФСБ не будет пройдена. В противном случае компания несет ощутимые финансовые риски. Дополнительно можно устроить "перекрестный контроль" - заказать у другого системного интегратора аудит уже проведенных работ. Стоимость услуг зависит от отрасли, объема персональных данных и прочих факторов. Реализация даже небольшого проекта на трех офисных компьютерах с выходом в интернет потребует более 100 000 рублей. В большой компании со сложной распределенной системой высокого класса секретности проект может стоить до 100 млн рублей.

Вариант второй: своими силами

Самый дешевый вариант - самостоятельно подготовить документы, закупить средства защиты информации, своими силами их внедрить и даже самим продекларировать выполнение требований ФЗ-152. При этом помощь со стороны сведется к разовым консультациям специалистов.

Вариант третий: снизить категорию информационной системы

В зависимости от характера обработки персональных данных информационной системе каждой компании присваивается класс от 1-го до 4-го. От этого зависят требования, которые государство предъявляет к организации. Возможный способ сократить бюджет на выполнение ФЗ-152 - снизить класс информационной системы в документации. В результате траты на выполнение ФЗ-152 будут существенно ниже. При этом существует риск, что при проверке Роскомнадзора, ФСТЭК или ФСБ подлог будет обнаружен.

Вариант четвертый: локализовать проблему

Этот способ хорош только для небольших компаний. Нужно провести анализ потоков персональных данных и сознательно ужать его до небольшого сегмента корпоративной сети. Защищать придется только его. Основной риск этого метода - не всегда удается доказать чиновникам адекватность и полноту принятых мер по защите персональных данных.

Вариант пятый: ничего не делать

Примеров серьезных последствий неисполнения закона пока не было. Самая строгая мера, которая применялась к нарушителям, - штраф до 10 000 рублей. Поэтому для небольшой компании до сих пор выгоднее было вообще ничего не предпринимать в отношении ФЗ-152. Однако с 1 июля 2011 года последствия будут более серьезными - в случае проверки ФСТЭК и ФСБ компанию могут лишить права заниматься основным видом деятельности и оштрафовать на сумму до 500 000 рублей. Более того, законом предусмотрен арест собственника бизнеса, лишение его свободы на срок до 5 лет и исправительные работы сроком до года. "В качестве первоочередных мер мы рекомендуем компаниям изучить план проверок, размещенный на официальном сайте Генпрокуратуры. Это поможет понять сроки плановых проверок, которые могут грозить организации", - советует Михаил Башлыков, руководитель направления информационной безопасности компании КРОК.

Трудности исполнения

Одним из путей решения проблемы с ФЗ-152 может стать формирование отраслевых стандартов. Так, Центробанк совместно с банковским сообществом разработал стандарт Банка России, который полностью соответствует требованиям ФЗ-152 и значительно упрощает банкам его выполнение. К стандарту сегодня присоединились более 600 кредитных организаций - это более половины всех банков России. По оценке Артема Сычева, начальника управления информационной безопасности Россельхозбанка, работы по приведению в соответствие с требованиями стандарта могут стоить от 1,5 млн рублей. Продолжительность такого проекта - не менее 3 лет. Привлечение внешнего консультанта в этом случае предпочтительно, однако не исключена возможность реализовать проект силами самого банка. Как правило, это зависит от уровня рисков и объемов бизнеса. Ряд отраслевых сообществ (страховщики, телеком, медицина) уже пошли по пути разработки отраслевых стандартов.

Дмитрий Романченко, директор по развитию направления "Информационная безопасность бизнес-систем" компании IBS, говорит, что сегодня рынок объективно не готов к ФЗ-152: "Это в равной мере относится как к государственному сектору, где просто не заложены бюджеты, так и к коммерческим организациям, где еще не все отошли от последствий кризиса и, как следствие, тотально сокращены издержки на IТ. Ситуация еще осложняется тем, что на рынке практически нет технических средств защиты информации, имеющих все необходимые сертификаты".

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК, считает, что готовы к началу проверок менее 1% компаний. И дело в самом законе. Власть не просто заставляет защищать персональные данные, а говорит, как именно это делать. Предлагаемые методы защиты не работают, но стоят больших денег. К тому же выполнение требований, которые не привязаны к актуальным рискам, неэффективно. Компании вынуждены покупать зачастую плохие решения, у которых, кроме сертификата ФСТЭК, нет никаких рыночных преимуществ. К сожалению, основным мотивом, толкающим компании на проведение работ, является не стремление улучшить защиту данных граждан, а желание пройти проверку регуляторов.

На 2011 год запланировано 2929 проверок...

http://www.astera.ru/news/?id=84115
 


Метки: , ,

Корсары Академгородка
imdi
У родственников пропал Интернет вчера, после 10минутных консультаций по передергиванию проводков в роутере склонился к мысли, что проблема на стороне провайдера. Периодически у них были проблемы с сетевым оборудованием из-за отключения света в домах.

Сегодня позвонив выяснилось, что не все так хорошо, как казалось. Причиной отсутствия интернета стала не проблема с оборудованием, а его отсутствие.

Позже на Бабре даже появилась подробная статья по этому поводу:

В результате действий иркутской милиции в отношении компании "Электронный город" большая часть иркутского Академгородка осталась без Интернета и кабельного телевидения.
Очевидец происшествия так описывает свои впечатления:
"Около 17:15 в офис ООО "Электронный город" нагрянули ребята из ГУВД при поддержке ОМОНа, не представившись в резкой форме отстранили сотрудников от компов, "опечатали" их (простым скотчем!), в присутствии понятых описали (например, так: блок системный серого цвета с эмблемой Гигабайт), также демонтировали и вынесли бОльшую часть серверов с узла. Весь процесс занял более четырех часов (бедные понятые!)
В предъявленном "постановлении", даже не скрепленном печатью, речь шла об распространении нелицензионного ПО с помощью ftp.elcity.ru, принадлежащего ЭГ. К сожалению, квалификация сотрудников милиции не подразумевает понимания, что такое сервер биллинга для оператора, и что изъятие его означает прекращение предоставления услуг связи практически для всех абонентов, включая ГУВД Иркутской области. Коммутаторы и маршрутизаторы, слава Богу, не пострадали, только шнуры сетевые повыдергивали. Вернут биллинг - доступ в интернет будет восстановлен в полном объеме."
Эксперты пока расходятся в оценке произошедшего, в основном в силу недостатка информации. Это уже не первая акция милиции против иркутских провайдеров: в текущем году был закрыт сайт Сибирьтелекома, занимавшийся распространением фильмов и музыки. Проверкам подвергся и FTP-сервер "Деловой сети - Иркутск".
Существует предположение, что наводку на "Электронный город" дал кто-то из конкурентов. Иркутский Академгородок является лакомым кусочком для развития сетей телекоммуникации: здесь самый высокий уровень компьютеризации по всему городу. В то же время известная иркутская компания могла пасть жертвой общероссийской акции против пиратского контента.
http://news.babr.ru/?IDE=92371

Ну что сказать...не без греха они были, но до этого около 7 лет без проблем существовали. Вот такая вот антимонопольная политика одного из конкурентов :)

На данный момент, на сколько я знаю, все пользователи Электронного города сидят на одном ???-битном канале, которого всем не хватает. Абонентская плата с пользователей не взимается, да и не за что...
Метки:

Ололо!
imdi
Нашел неплохой сервис взамен разочаровавшего меня простоплеера.com.
Встречайте - http://ololo.fm

Я уже забыл про какой-то там простоплеер...
Метки: ,

Монетизация
imdi
http://prostopleer.com ограничили максимальное количество прослушиваемых композиций в день 15 штуками.

Жаль-жаль... ищу новый сервис...
Метки:

Пратизаны
imdi

Больше четырех месяцев висит баннер с опечаткой. Заказчику и исполнителю по барабану.Photo001

Первая часть - http://imdi.livejournal.com/13607.html.

Метки: ,

Позвони мне, позвони
imdi

В новой версии платформы 2gis появилась возможность совершать звонки через различные VoIP-сервисы прямо из программы. Теперь позвонить с помощью Skype или Microsoft Lynс можно просто щелкнув на номер в справочнике 2gis.

tel

Слой “Фотографии” появился давно, но раньше их было неприлично мало. Сейчас уже есть, на что посмотреть.

2g

Метки:

Тытюб
imdi

Не работает youtube.com. И такие монстры ломаются…image
Update: Нашел, что в 2007 году простой составил 15 минут. Посмотрим насколько это затянется.
Update2: Заработал через минуту :)

Метки:

Звездные войны
imdi

Сегодня первый раз сходил поиграть в лазертаг. Азартно, динамично, весело, спортивно, понравилось  :)

Суть игры заключается в поражении игроков и базы противника безопасными лазерными выстрелами из бластера. В общем такой добрый пейнтбол для гиков, без синяков и ссадин от выстрелов.

Вот как примерно выглядит бой:

Метки:

ПДн
imdi
На хабре опубликовали хорошую статью о персональных данных и их защите по закону ФЗ-152.

Что такое персональные данные?

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:
 — его фамилия, имя, отчество,
 — год, месяц, дата и место рождения,
 — адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
- другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его ...Свернуть )
Метки: ,

Креатив
imdi

Недалеко от стадиона Труд.megafon

Метки:

Впереди 4 выходных
imdi

Метки:

Распродажа
imdi

Беспрецедентная акция от Microsoft! :)

C 1 октября по 15 декабря 2010 года организации получают скидку 15% при покупке лицензий (или лицензий с Software Assurance) Windows Server CAL, SQL Server 2008 R2 CAL и Windows Remote Desktop Services CAL.

До 30 ноября скидка 15% распространяется на приобретение лицензий Windows Pro 7 Upgrade.

Картинка по теме

Метки: ,

Ценник
imdi

После переговоров нашего зампреда правительства Сергея Иванова и ненашего главы Microsoft Стива Балмера появился интернет-ресурс с ориентировочными ценами на программное обеспечение Microsoft для государственных организаций России.

Ознакомиться с этим ресурсом можно здесь - http://ms.365.minsvyaz.ru/Pages/Default.aspx.

Особенно умиляют два идентичных по функционалу, но разных по оформлению калькуляторы с оригинальными названиямиcalc

Как всегда Роисся вперде! :)

Метки: ,

Долго. Дорого. Еще раз Дорого :) Студия Артемия Лебедева
imdi
Долго. Дорого. Еще раз Дорого :) Студия Артемия Лебедева

Помогая Теме с рейтингом не забываем о себе http://imdi.livejournal.com/  :)
Ждем индексацию...
Метки: