Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"
Опубликовано 5 марта 2010 г.
Вступает в силу: 16 марта 2010 г.
Зарегистрирован в Минюсте РФ 19 февраля 2010 г.
Регистрационный N 16456
В соответствии с пунктом 3 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001), приказываю:
Утвердить прилагаемое Положение о методах и способах защиты информации в информационных системах персональных данных.
Директор Федеральной службы по техническому и экспортному контролю С. Григоров
Приложение
Положение о методах и способах защиты информации в информационных системах персональных данных
I. Общие положения
1.1. Настоящее Положение разработано в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от
17 ноября 2007 г. N 781 (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001), и устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).
В настоящем Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.
1.2. К методам и способам защиты информации в информационных системах относятся:
методы и способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от несанкционированного доступа);
методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от утечки по техническим каналам).
1.3. Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России
3 апреля 2008 г., регистрационный N 11462).
Модель угроз разрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.
1.5. Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных.
II. Методы и способы защиты информации от несанкционированного доступа
2.1. Методами и способами защиты информации от несанкционированного доступа являются:
реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
использование защищенных каналов связи;
размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
2.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.
Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению.
2.3. В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.
2.4. При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными в пункте 2.1 настоящего Положения, основными методами и способами защиты информации от несанкционированного доступа являются:
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы.
2.5. Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно-телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; N 43, ст. 4919).
2.6. Для обеспечения безопасности персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) с целью получения общедоступной информации помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);
периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов.
Для реализации указанных методов и способов защиты информации могут применяться межсетевые экраны, системы обнаружения вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности информации.
2.7. Для обеспечения безопасности персональных данных при удаленном доступе к информационной системе через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
проверка подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) данных;
управление доступом к защищаемым персональным данным информационной сети;
использование атрибутов безопасности.
2.8. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
создание канала связи, обеспечивающего защиту передаваемой информации;
осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.
2.9. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
создание канала связи, обеспечивающего защиту передаваемой информации;
аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.
2.10. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.
2.11. Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов.
2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).
2.13. В зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных.
III. Методы и способы защиты информации от утечки по техническим каналам
3.1. Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществляется в случаях, когда при определении угроз безопасности персональных данных и формировании модели угроз применительно к информационной системе являются актуальными угрозы утечки акустической речевой информации, угрозы утечки видовой информации и угрозы утечки информации по каналам побочных электромагнитных излучений и наводок, определенные на основе методических документов, утвержденных в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.
3.2. Для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в информационных системах 1 класса могут применяться следующие методы и способы защиты информации:
использование технических средств в защищенном исполнении;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
размещение объектов защиты в соответствии с предписанием на эксплуатацию;
размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация.
3.3. В информационных системах 2 класса для обработки информации используются средства вычислительной техники, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники.
3.4. При применении в информационных системах функции голосового ввода персональных данных в информационную систему или функции воспроизведения информации акустическими средствами информационных систем для информационной системы 1 класса реализуются методы и способы защиты акустической (речевой) информации.
Методы и способы защиты акустической (речевой) информации заключаются в реализации организационных и технических мер для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена информационная система, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при голосовом вводе персональных данных в информационной системе или воспроизведении информации акустическими средствами.
Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки персональных данных в информационной системе.
3.5. Размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные.
Приложение к Положению
Методы и способы защиты информации от несанкционированного доступа в зависимости от класса информационной системы
1. Методы и способы защиты информации от несанкционированного доступа для обеспечения безопасности персональных данных в информационных системах 4 класса и целесообразность их применения определяются оператором (уполномоченным лицом).
2. Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности и безопасного межсетевого взаимодействия для информационных систем 3 класса.
2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
а) управление доступом:
идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
б) регистрация и учет:
регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы;
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета;
в) обеспечение целостности:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;
физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;
периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;
наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.
2.2. Для информационных систем
3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
а) управление доступом:
идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
б) регистрация и учет:
регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная);
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета;
в) обеспечение целостности:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, а целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации;
физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;
периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;
наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.
2.3. Для информационных систем
3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
а) управление доступом:
идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
б) регистрация и учет:
регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);
в) обеспечение целостности:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;
периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;
наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.
2.4. Безопасное межсетевое взаимодействие для информационных систем
3 класса при их подключении к сетям международного информационного обмена, а также для распределенных информационных систем 3 класса при их разделении на подсистемы достигается путем применения средств межсетевого экранирования (межсетевых экранов), которые обеспечивают:
фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);
идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;
регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);
контроль целостности своей программной и информационной части;
фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
восстановление свойств межсетевого экрана после сбоев и отказов оборудования;
регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.
Межсетевые экраны, которые обеспечивают выполнение указанных выше функций, применяются в распределенных информационных системах 2 и 1 классов при их разделении на отдельные части.
При разделении информационной системы при помощи межсетевых экранов на отдельные части системы для указанных частей системы может устанавливаться более низкий класс, чем для информационной системы в целом.
3. Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности и безопасного межсетевого взаимодействия для информационных систем 2 класса.
3.1. Для информационных систем
2 класса при однопользовательском режиме обработки персональных данных применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при однопользовательском режиме обработки.
3.2. Для информационных систем
2 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей.
3.3. Для информационных систем
2 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей реализуются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей.
3.4. Безопасное межсетевое взаимодействие для информационных систем
2 класса при их подключении к сетям международного информационного обмена достигается путем применения средств межсетевого экранирования, которые обеспечивают:
фильтрацию на сетевом уровне независимо для каждого сетевого пакета (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);
фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;
фильтрацию с учетом любых значимых полей сетевых пакетов;
регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);
идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;
регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);
регистрацию запуска программ и процессов (заданий, задач);
контроль целостности своей программной и информационной части;
восстановление свойств межсетевого экрана после сбоев и отказов оборудования;
регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.
4. Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности и безопасного межсетевого взаимодействия для информационных систем 1 класса.
4.1. Для информационных систем
1 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
а) управление доступом:
идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
б) регистрация и учет:
регистрация входа (выхода) пользователя в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная);
регистрация выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), краткое содержание документа (наименование, вид, код), спецификация устройства выдачи (логическое имя (номер) внешнего устройства);
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета;
дублирующий учет защищаемых носителей информации;
очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и внешних носителей информации;
в) обеспечение целостности:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов средств защиты информации, а целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;
физическая охрана технических средств информационных систем (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания;
периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;
наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.
4.2. Для информационных систем
1 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
а) управление доступом:
идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
идентификация технических средств информационных систем и каналов связи, внешних устройств информационных систем по их логическим адресам (номерам);
идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
б) регистрация и учет:
регистрация входа (выхода) пользователя в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;
регистрация выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи (логическое имя (номер) внешнего устройства), краткое содержание документа (наименование, вид, шифр, код), идентификатор пользователя, запросившего документ;
регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки персональных данных. В параметрах регистрации указываются дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор пользователя, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный);
регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого файла;
регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей). В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого объекта (логическое имя (номер));
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);
дублирующий учет защищаемых носителей информации;
очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационных систем и внешних носителей информации;
в) обеспечение целостности:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность системы защиты персональных данных проверяется при загрузке системы по наличию имен (идентификаторов) ее компонент, а целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;
физическая охрана технических средств информационной системы (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания;
периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;
наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.
4.3. Для информационных систем
1 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
а) управление доступом:
идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
идентификация терминалов, технических средств, узлов сети, каналов связи, внешних устройств по логическим именам;
идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
контроль доступа пользователей к защищаемым ресурсам в соответствии с матрицей доступа;
б) регистрация и учет:
регистрация входа (выхода) пользователей в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа, код или пароль, предъявленный при неуспешной попытке;
регистрация выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи (логическое имя (номер) внешнего устройства), краткое содержание документа (наименование, вид, шифр, код), идентификатор пользователя, запросившего документ;
регистрация запуска (завершения) программ процессов (заданий, задач), предназначенных для обработки персональных данных. В параметрах регистрации указываются дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор пользователя, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный);
регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого файла;
регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей). В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого объекта (логическое имя (номер));
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);
очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и внешних накопителей;
в) обеспечение целостности:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность системы защиты персональных данных проверяется при загрузке системы по контрольным суммам компонентов системы защиты, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения персональных данных;
физическая охрана технических средств информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации;
периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;
наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.
4.4. Безопасное межсетевое взаимодействие для информационных систем
1 класса при их подключении к сетям международного информационного обмена достигается путем применения средств межсетевого экранирования, которые обеспечивают выполнение следующих функций:
фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);
фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;
фильтрацию с учетом любых значимых полей сетевых пакетов;
фильтрацию на транспортном уровне запросов на установление виртуальных соединений с учетом транспортных адресов отправителя и получателя;
фильтрацию на прикладном уровне запросов к прикладным сервисам с учетом прикладных адресов отправителя и получателя;
фильтрацию с учетом даты и времени;
аутентификацию входящих и исходящих запросов методами, устойчивыми к пассивному и (или) активному прослушиванию сети;
регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);
регистрацию и учет запросов на установление виртуальных соединений;
локальную сигнализацию попыток нарушения правил фильтрации;
идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;
предотвращение доступа неидентифицированного пользователя или пользователя, подлинность идентификации которого при аутентификации не подтвердилась;
идентификацию и аутентификацию администратора межсетевого экрана при его удаленных запросах методами, устойчивыми к пассивному и активному перехвату информации;
регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);
регистрацию запуска программ и процессов (заданий, задач);
регистрацию действия администратора межсетевого экрана по изменению правил фильтрации;
возможность дистанционного управления своими компонентами, в том числе возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации;
контроль целостности своей программной и информационной части;
контроль целостности программной и информационной части межсетевого экрана по контрольным суммам;
восстановление свойств межсетевого экрана после сбоев и отказов оборудования;
регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого, экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.
5. Анализ защищенности проводится для распределенных информационных систем и информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) анализа защищенности.
Средства (системы) анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему.
6. Обнаружение вторжений проводится для информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) обнаружения вторжений.
7. Для информационных систем 1 класса применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.
Источник: http://www.rg.ru/2010/03/05/dannye-dok.html
пятница, 19 марта 2010 г.
среда, 3 марта 2010 г.
Персональные данные погибших в войне
Российский историк Михаил Супрун и полковник милиции Александр Дударев начали исследовать судьбы советских немцев, заключенных в тюрьмы во время Второй мировой войны, но попали под уголовное преследование. Это дело вызвало резонанс в Германии и других странах Европы - там посчитали, что имеют дело с «кремлевской попыткой реабилитировать Сталина». Однако причина тому - абсурды современного российского законодательства, согласно которому судить надо не только ученых-историков, но и создателей Книг памяти, в которых перечислены погибшие в Великой Отечественной войне.
Книги памяти «вне закона»?
Международный скандал учинило УФСБ России по Архангельской области. Все началось с того, что чекисты стали «разрабатывать» профессора - известного исследователя истории сталинских репрессий Михаила Супруна. Завкафедрой отечественной истории Архангельского Поморского госуниверситета тихо-мирно работал над очередным проектом - «Этнические российские немцы, репрессированные в 40-е годы» и его продолжением «Немецкие военнопленные на русском Севере».
Эти труды создавались на основе договора между Красным Крестом Германии, начальником УВД Архангельской области и ректором Поморского университета. Так как материалы дел спецпереселенцев хранятся в архиве информационного центра при УВД по Архангельской области, то историку помогал начальник этого центра - полковник Александр Дударев, он обеспечивал доступ в архив.
В общем, ничего особенного, составлением Книг памяти давно занимаются во всем мире. В том числе и в Архангельской области: исторический проект там инициировала местная прокуратура еще 10 лет назад - уже опубликованы семь томов Книги памяти! В частности, полковник Дударев помогал составлять Книгу памяти репрессированных поляков.
Супрун работал над российско-немецким проектом с 2007 года. К осени 2009-го он уже собрал данные почти о 5 тысячах спецпереселенцев. Но 13 сентября машину профессора перехватили на шоссе. Сотрудник ФСБ усадил Супруна в свое авто и отвез к следователю. Оказалось, что нашелся человек, который заявил на ученого в органы, поскольку не хочет видеть в Книге памяти данные о своих родственниках. Чекисты провели обыски дома и на работе у Супруна, его аспирантки и полковника Дударева, изъяли документы и все компьютеры. Научное сообщество было шокировано.
По материалам чекистской проверки местное следственное управление СКП возбудило уголовное дело. Профессор Супрун подозревается в «незаконном сборе сведений о частной жизни лица», а также в «подстрекательстве должностного лица» к превышению полномочий. По версии следователя Владимира Шевченко, ученый Супрун «умышленно путем уговоров склонил начальника ИЦ УВД полковника Александра Дударева обеспечить ему доступ» к архивным документам. Самого Дударева подозревают в превышении должностных полномочий. Проект Супруна свернули. Дударев был вынужден написать заявление об уходе из органов по собственному желанию.
Спустя два месяца дело из Архангельска передали «наверх» - в Следственный отдел СКП по Северо-Западу. Прошло полгода, а следствие до сих пор не может сформулировать и предъявить обвинение подозреваемым. Историки, архивисты со всего мира недоумевают. Марианне Биртлер, уполномоченная по архивам «Штази» в Германии, даже написала письмо президенту Медведеву, в котором прямо заявила, что органы России мешают «разъяснению трагической судьбы тысяч российских немцев в ГУЛАГе на Северо-Западе Советского Союза… Это производит впечатление запугивания людей, которые хотят пролить свет на тьму памяти о времени сталинизма и напомнить о его жертвах.
В наши дни, когда «Архипелаг ГУЛАГ» Александра Солженицына по инициативе властей должен стать обязательным для чтения в российских средних школах, стиль действий российских спецслужб воспринимается чудовищным анахронизмом». Британская газета The Guardian подхватила: «Это дополняет кремлевские попытки реабилитировать Сталина и пресечь независимое историческое исследование - политические репрессии в советский период и жертвы системы ГУЛАГа теперь запретные темы».
Роль «личности» в истории
Любопытно, как следствие будет выпутываться из этого парадоксального дела. По логике, издание любой Книги памяти (коих сотни) - уголовно наказуемое деяние. Ведь там содержится информация о «личной семейной тайне» гражданина, его персональные данные, которые берутся без его согласия. Но такие сборники публикуются по всей стране. Более того, Закон о реабилитации жертв политических репрессий (статья 18) даже предписывает публиковать эти списки в обязательном порядке! В регионах составление этих книг курируют, в том числе, МВД, ФСБ и обязательно прокуратура.
- Если профессор совершил, как считает следствие, уголовное преступление, собрав «сведения о частной жизни пяти тысяч спецпереселенцев», то общество «Мемориал», которое уже в течение двадцати лет собирает и публикует биографические справки и списки жертв политического террора в СССР, совершает это «преступление» систематически, - говорят в обществе «Мемориал», которое вызвалось помочь архангельскому коллеге.
- Недостаточно доказать, что велся сбор сведений о частной жизни лица, надо еще доказать, что эти сведения составляли его «личную, семейную тайну». Определения этих понятий в законе нет. Прописана разве что тайна усыновления, а о других личных тайнах ничего не расписано, - рассказывает адвокат фигурантов дела Иван Павлов. - Сам факт репрессии - депортации, ссылки, реабилитация и иные действия следственных органов и правосудия - не является сведениями о частной жизни лиц, поскольку касается действий публичных государственных органов власти! Поэтому сбор таких сведений не может рассматриваться как нарушение конституционных прав, на которые «налегает» следствие.
Еще один нюанс. Формально дело было возбуждено не по факту, а по заявлению. Заявителем оказался Иван Филипп, который не хотел, чтобы информация об его родителях была в Книге памяти. По логике, если тысячи родственников ринутся в органы с заявлением, что личная тайна их родственника нарушена в одной из сотен Книг памяти, в стране появятся сотни уголовных дел в отношении историков.
Однако полковник Дударев, приезжавший недавно в Петербург, заявил, что считает, что это дело возбуждено по заявлению гражданина Филиппа лишь формально, а инициировано оно «из Москвы».
- Раньше у меня были сомнения, но теперь я вижу, как дело намеренно затягивается, как его передали на уровень выше. Все это подтверждает: была команда из Москвы, - сказал Александр Дударев.
Он также заметил, что следствие уже предлагало прекратить дело за примирением сторон. Но подозреваемые отказались - ведь формально такой исход их не реабилитирует.
Гриф секретности без срока давности
Проблема еще в том, что российские законы противоречат друг другу. В законе «Об архивной деятельности» (статья 25) действительно прописаны ограничения на доступ к архивным документам, «содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, - на срок 75 лет со дня создания документов». Подлил масла в огонь и закон «О персональных данных».
- Но при этом нигде нет четкого понятия, что же это такое - «сведения о личной и семейной тайне гражданина, его частной жизни». Такая ситуация позволяет архивным работникам подводить под «тайну личной и семейной жизни» практически все архивы. И это главная проблема, - говорит юрист Института развития свободы информации Дарья Назарова. - Но с другой стороны, есть указ президента от 1993 года, где говорится, что информация, представляющая общественный интерес, должна быть открытой! Историческая информация, разумеется, такой интерес представляет.
Сегодня, по мнению юриста, благодаря ущербному законодательству исследователям отказывают во многих архивах госорганов. Особенно в этом преуспел Центральный архив Министерства обороны, где сконцентрирована большая часть документов времен Великой Отечественной войны. В ноябре прошлого года, по данным Назаровой, сотрудникам архива спущено указание ограничивать доступ исследователей даже к несекретным документам, содержащим «негативные сведения» о военнослужащих вооруженных сил.
Другая проблема - необоснованное засекречивание документов. Минобороны не снимает гриф секретности даже с тех дел, по которым срок секретности (а это 30 лет) давно прошел.
Надежда поправить ситуацию связана с новым законом «Об обеспечении доступа к информации о деятельности госорганов и органов местного самоуправления», который начал действовать с 1 января этого года. Юристы одобряют его, но подчеркивают, что главное в России - не законы, а практика их применения. Ведь сегодня получается, что закон «О персональных данных» превратился в инструмент для уголовного преследования неугодных исследователей, архивистов, историков. Достаточно найти «недовольного» родственника.
- Мое дело политическое, я уверен, что заявителя Филиппа специально «нашли», - рассказал Михаил Супрун «Тайному советнику». - За несколько месяцев до возбуждения уголовного дела я обращался в местные ФСБ и СКП с просьбой подключиться к нашему проекту, ведь одни мы могли его не потянуть. Но они отказались от сотрудничества, наверное, уже тогда взяли нас в разработку. А сегодня работники архивов уже перестраховываются и ограничивают доступ к документам.
Источник: http://www.fontanka.ru/2010/03/02/066/
Книги памяти «вне закона»?
Международный скандал учинило УФСБ России по Архангельской области. Все началось с того, что чекисты стали «разрабатывать» профессора - известного исследователя истории сталинских репрессий Михаила Супруна. Завкафедрой отечественной истории Архангельского Поморского госуниверситета тихо-мирно работал над очередным проектом - «Этнические российские немцы, репрессированные в 40-е годы» и его продолжением «Немецкие военнопленные на русском Севере».
Эти труды создавались на основе договора между Красным Крестом Германии, начальником УВД Архангельской области и ректором Поморского университета. Так как материалы дел спецпереселенцев хранятся в архиве информационного центра при УВД по Архангельской области, то историку помогал начальник этого центра - полковник Александр Дударев, он обеспечивал доступ в архив.
В общем, ничего особенного, составлением Книг памяти давно занимаются во всем мире. В том числе и в Архангельской области: исторический проект там инициировала местная прокуратура еще 10 лет назад - уже опубликованы семь томов Книги памяти! В частности, полковник Дударев помогал составлять Книгу памяти репрессированных поляков.
Супрун работал над российско-немецким проектом с 2007 года. К осени 2009-го он уже собрал данные почти о 5 тысячах спецпереселенцев. Но 13 сентября машину профессора перехватили на шоссе. Сотрудник ФСБ усадил Супруна в свое авто и отвез к следователю. Оказалось, что нашелся человек, который заявил на ученого в органы, поскольку не хочет видеть в Книге памяти данные о своих родственниках. Чекисты провели обыски дома и на работе у Супруна, его аспирантки и полковника Дударева, изъяли документы и все компьютеры. Научное сообщество было шокировано.
По материалам чекистской проверки местное следственное управление СКП возбудило уголовное дело. Профессор Супрун подозревается в «незаконном сборе сведений о частной жизни лица», а также в «подстрекательстве должностного лица» к превышению полномочий. По версии следователя Владимира Шевченко, ученый Супрун «умышленно путем уговоров склонил начальника ИЦ УВД полковника Александра Дударева обеспечить ему доступ» к архивным документам. Самого Дударева подозревают в превышении должностных полномочий. Проект Супруна свернули. Дударев был вынужден написать заявление об уходе из органов по собственному желанию.
Спустя два месяца дело из Архангельска передали «наверх» - в Следственный отдел СКП по Северо-Западу. Прошло полгода, а следствие до сих пор не может сформулировать и предъявить обвинение подозреваемым. Историки, архивисты со всего мира недоумевают. Марианне Биртлер, уполномоченная по архивам «Штази» в Германии, даже написала письмо президенту Медведеву, в котором прямо заявила, что органы России мешают «разъяснению трагической судьбы тысяч российских немцев в ГУЛАГе на Северо-Западе Советского Союза… Это производит впечатление запугивания людей, которые хотят пролить свет на тьму памяти о времени сталинизма и напомнить о его жертвах.
В наши дни, когда «Архипелаг ГУЛАГ» Александра Солженицына по инициативе властей должен стать обязательным для чтения в российских средних школах, стиль действий российских спецслужб воспринимается чудовищным анахронизмом». Британская газета The Guardian подхватила: «Это дополняет кремлевские попытки реабилитировать Сталина и пресечь независимое историческое исследование - политические репрессии в советский период и жертвы системы ГУЛАГа теперь запретные темы».
Роль «личности» в истории
Любопытно, как следствие будет выпутываться из этого парадоксального дела. По логике, издание любой Книги памяти (коих сотни) - уголовно наказуемое деяние. Ведь там содержится информация о «личной семейной тайне» гражданина, его персональные данные, которые берутся без его согласия. Но такие сборники публикуются по всей стране. Более того, Закон о реабилитации жертв политических репрессий (статья 18) даже предписывает публиковать эти списки в обязательном порядке! В регионах составление этих книг курируют, в том числе, МВД, ФСБ и обязательно прокуратура.
- Если профессор совершил, как считает следствие, уголовное преступление, собрав «сведения о частной жизни пяти тысяч спецпереселенцев», то общество «Мемориал», которое уже в течение двадцати лет собирает и публикует биографические справки и списки жертв политического террора в СССР, совершает это «преступление» систематически, - говорят в обществе «Мемориал», которое вызвалось помочь архангельскому коллеге.
- Недостаточно доказать, что велся сбор сведений о частной жизни лица, надо еще доказать, что эти сведения составляли его «личную, семейную тайну». Определения этих понятий в законе нет. Прописана разве что тайна усыновления, а о других личных тайнах ничего не расписано, - рассказывает адвокат фигурантов дела Иван Павлов. - Сам факт репрессии - депортации, ссылки, реабилитация и иные действия следственных органов и правосудия - не является сведениями о частной жизни лиц, поскольку касается действий публичных государственных органов власти! Поэтому сбор таких сведений не может рассматриваться как нарушение конституционных прав, на которые «налегает» следствие.
Еще один нюанс. Формально дело было возбуждено не по факту, а по заявлению. Заявителем оказался Иван Филипп, который не хотел, чтобы информация об его родителях была в Книге памяти. По логике, если тысячи родственников ринутся в органы с заявлением, что личная тайна их родственника нарушена в одной из сотен Книг памяти, в стране появятся сотни уголовных дел в отношении историков.
Однако полковник Дударев, приезжавший недавно в Петербург, заявил, что считает, что это дело возбуждено по заявлению гражданина Филиппа лишь формально, а инициировано оно «из Москвы».
- Раньше у меня были сомнения, но теперь я вижу, как дело намеренно затягивается, как его передали на уровень выше. Все это подтверждает: была команда из Москвы, - сказал Александр Дударев.
Он также заметил, что следствие уже предлагало прекратить дело за примирением сторон. Но подозреваемые отказались - ведь формально такой исход их не реабилитирует.
Гриф секретности без срока давности
Проблема еще в том, что российские законы противоречат друг другу. В законе «Об архивной деятельности» (статья 25) действительно прописаны ограничения на доступ к архивным документам, «содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, - на срок 75 лет со дня создания документов». Подлил масла в огонь и закон «О персональных данных».
- Но при этом нигде нет четкого понятия, что же это такое - «сведения о личной и семейной тайне гражданина, его частной жизни». Такая ситуация позволяет архивным работникам подводить под «тайну личной и семейной жизни» практически все архивы. И это главная проблема, - говорит юрист Института развития свободы информации Дарья Назарова. - Но с другой стороны, есть указ президента от 1993 года, где говорится, что информация, представляющая общественный интерес, должна быть открытой! Историческая информация, разумеется, такой интерес представляет.
Сегодня, по мнению юриста, благодаря ущербному законодательству исследователям отказывают во многих архивах госорганов. Особенно в этом преуспел Центральный архив Министерства обороны, где сконцентрирована большая часть документов времен Великой Отечественной войны. В ноябре прошлого года, по данным Назаровой, сотрудникам архива спущено указание ограничивать доступ исследователей даже к несекретным документам, содержащим «негативные сведения» о военнослужащих вооруженных сил.
Другая проблема - необоснованное засекречивание документов. Минобороны не снимает гриф секретности даже с тех дел, по которым срок секретности (а это 30 лет) давно прошел.
Надежда поправить ситуацию связана с новым законом «Об обеспечении доступа к информации о деятельности госорганов и органов местного самоуправления», который начал действовать с 1 января этого года. Юристы одобряют его, но подчеркивают, что главное в России - не законы, а практика их применения. Ведь сегодня получается, что закон «О персональных данных» превратился в инструмент для уголовного преследования неугодных исследователей, архивистов, историков. Достаточно найти «недовольного» родственника.
- Мое дело политическое, я уверен, что заявителя Филиппа специально «нашли», - рассказал Михаил Супрун «Тайному советнику». - За несколько месяцев до возбуждения уголовного дела я обращался в местные ФСБ и СКП с просьбой подключиться к нашему проекту, ведь одни мы могли его не потянуть. Но они отказались от сотрудничества, наверное, уже тогда взяли нас в разработку. А сегодня работники архивов уже перестраховываются и ограничивают доступ к документам.
Источник: http://www.fontanka.ru/2010/03/02/066/
понедельник, 1 марта 2010 г.
Социальные сети и персональные данные
Персональные данные пользователей крупнейших интернет-сервисов и социальных сетей доступны спецслужбам. Facebook, Myspace, eBay, PayPal, Skype и другие компании передают информацию правоохранительным органам, следует из внутренних документов этих компаний.
В базе данных Cryptome размещены внутренние инструкции крупнейших интернет-компаний, определяющие порядок взаимодействия сервисов с правоохранительными органами. Спецслужбам доступны персональные данные всех юзеров, в том числе тех, кто просто оставляет комментарии на сервисах, -- имена, телефоны, адреса электронной почты, номера кредиток и т. д. По запросу интернет-компании могут устанавливать наблюдение за пользователем.
22-страничная инструкция Microsoft определяет, какие данные пользователей онлайн-сервисов компании могут быть предоставлены по требованию в рамках расследования преступлений. Помимо сбора всех регистрационных данных, IP-адресов, писем в почтовых ящиках @hotmail.com, @msn.com, @live.com Microsoft аккумулирует данные электронной почты, даже если доменные имена обозначают другие страны, например .uk, .jp, .es, .de.
«Компания записывает дату, время, объем загружаемой информации (фото, видео), IP-адреса пользователей сервиса блогов Microsoft Live Space, а также все данные на персон, оставивших комментарии. Все записи хранятся 90 дней. Информация на пользователей MSN накапливается в течение 60 дней», -- говорится в инструкции.
«Если расследование касается игровой консоли Xbox, то компания собирает следующие данные: идентификационный номер игрока, номер кредитной карты, имя, фамилия, почтовый индекс, историю IP-соединений и другие данные, -- объясняет Microsoft. -- По требованию суда мы можем предоставлять архивную информацию, а также устанавливать наблюдение за пользователями сервисов до 270 дней, копируя информацию аккаунта».
Как заявил директор по информационной безопасности Microsoft Россия Владимир Мамыкин, компания соблюдает законодательные требования каждой страны, где работает Microsoft.
«Россия в этом случае не исключение. Мы тесно сотрудничаем с правоохранительными органами РФ. Так, например, мы предоставляем ФСБ исходные коды наших продуктов, а также проводим тренинги для сотрудников МВД, Управления «К», занимающегося расследованием кибер-преступлений. В соответствии с законом о сохранении персональных данных мы не предоставляем частной информации о людях, размещенной на наших ресурсах. Более того, в России подобных требований нам не поступало».
«Есть легальные, установленные законом каналы взаимодействия компании с государством. Любые жалобы, вопросы могут рассматриваться», -- заявил в интервью Infox.ru создатель сервиса микроблогинга Twitter Джек Дорси, отвечая на вопрос о возможном сотрудничестве с разведслужбами.
Платежная сеть PayPal по требованию спецслужб может выдать информацию, связанную с торговлей на интернет-аукционе eBay. «Для юридических процессов мы можем предоставить всю информацию по аккаунту PayPal, адреса, e-mail, номер карты социального страхования, используемые финансовые инструменты, IP-адреса, логи и полную информацию по трансакциям», -- сообщается в инструкции eBay.
Помимо социальных сетей Facebook, MySpace необходимую правоохранительным органам информацию готов предоставить и сервис голосовой телефонии Skype.
«По запросу суда Skype может предоставить регистрационные данные и e-mail пользователя, историю финансовых трансакций за год, место нахождения абонентов телефонной сети общего пользования, говоривших с пользователем Skype. Компания не ведет централизованную запись голосовой почты. Звонки, сообщения и другие контакты между абонентами Skype не вносятся в биллинг», -- говорится в обращении Skype к правоохранителям (имеется в редакции).
Представитель Skype в России Евгений Григоренко заявил Infox.ru, что компания никак не комментирует происхождение этого документа.
На вопрос Infox.ru о сотрудничестве Skype с российскими спецслужбами он ответил: «Skype не комментирует вопросы сотрудничества с правоохранительными органами. Как законопослушная компания, Skype сотрудничает с ними в той мере, в какой это возможно с юридической и технической точки зрения».
«Что касается иностранных компаний, которые в России не работают, то правоохранительные органы в основном надеются на добрую волю, инструментов, чтобы принудить эти компании к раскрытию информации, нет», -- говорит эксперт в области телекоммуникационного права Антон Богатов, добавляя, что никогда не слышал об успешном сотрудничестве российских спецслужб и Skype.
«Что касается российских компаний, то практика показывает, что правоохранители легко могут получить любую информацию. Тот, о ком эти данные собирают, никогда об этом не узнает, даже если информация будет использована ненадлежащим образом. Никакой реальной правовой защиты здесь нет», -- заключает Антон Богатов.
http://infox.ru/business/net/2010/02/26/Skype_i_Facebook_shp_print.phtml
Источник:
В базе данных Cryptome размещены внутренние инструкции крупнейших интернет-компаний, определяющие порядок взаимодействия сервисов с правоохранительными органами. Спецслужбам доступны персональные данные всех юзеров, в том числе тех, кто просто оставляет комментарии на сервисах, -- имена, телефоны, адреса электронной почты, номера кредиток и т. д. По запросу интернет-компании могут устанавливать наблюдение за пользователем.
22-страничная инструкция Microsoft определяет, какие данные пользователей онлайн-сервисов компании могут быть предоставлены по требованию в рамках расследования преступлений. Помимо сбора всех регистрационных данных, IP-адресов, писем в почтовых ящиках @hotmail.com, @msn.com, @live.com Microsoft аккумулирует данные электронной почты, даже если доменные имена обозначают другие страны, например .uk, .jp, .es, .de.
«Компания записывает дату, время, объем загружаемой информации (фото, видео), IP-адреса пользователей сервиса блогов Microsoft Live Space, а также все данные на персон, оставивших комментарии. Все записи хранятся 90 дней. Информация на пользователей MSN накапливается в течение 60 дней», -- говорится в инструкции.
«Если расследование касается игровой консоли Xbox, то компания собирает следующие данные: идентификационный номер игрока, номер кредитной карты, имя, фамилия, почтовый индекс, историю IP-соединений и другие данные, -- объясняет Microsoft. -- По требованию суда мы можем предоставлять архивную информацию, а также устанавливать наблюдение за пользователями сервисов до 270 дней, копируя информацию аккаунта».
Как заявил директор по информационной безопасности Microsoft Россия Владимир Мамыкин, компания соблюдает законодательные требования каждой страны, где работает Microsoft.
«Россия в этом случае не исключение. Мы тесно сотрудничаем с правоохранительными органами РФ. Так, например, мы предоставляем ФСБ исходные коды наших продуктов, а также проводим тренинги для сотрудников МВД, Управления «К», занимающегося расследованием кибер-преступлений. В соответствии с законом о сохранении персональных данных мы не предоставляем частной информации о людях, размещенной на наших ресурсах. Более того, в России подобных требований нам не поступало».
«Есть легальные, установленные законом каналы взаимодействия компании с государством. Любые жалобы, вопросы могут рассматриваться», -- заявил в интервью Infox.ru создатель сервиса микроблогинга Twitter Джек Дорси, отвечая на вопрос о возможном сотрудничестве с разведслужбами.
Платежная сеть PayPal по требованию спецслужб может выдать информацию, связанную с торговлей на интернет-аукционе eBay. «Для юридических процессов мы можем предоставить всю информацию по аккаунту PayPal, адреса, e-mail, номер карты социального страхования, используемые финансовые инструменты, IP-адреса, логи и полную информацию по трансакциям», -- сообщается в инструкции eBay.
Помимо социальных сетей Facebook, MySpace необходимую правоохранительным органам информацию готов предоставить и сервис голосовой телефонии Skype.
«По запросу суда Skype может предоставить регистрационные данные и e-mail пользователя, историю финансовых трансакций за год, место нахождения абонентов телефонной сети общего пользования, говоривших с пользователем Skype. Компания не ведет централизованную запись голосовой почты. Звонки, сообщения и другие контакты между абонентами Skype не вносятся в биллинг», -- говорится в обращении Skype к правоохранителям (имеется в редакции).
Представитель Skype в России Евгений Григоренко заявил Infox.ru, что компания никак не комментирует происхождение этого документа.
На вопрос Infox.ru о сотрудничестве Skype с российскими спецслужбами он ответил: «Skype не комментирует вопросы сотрудничества с правоохранительными органами. Как законопослушная компания, Skype сотрудничает с ними в той мере, в какой это возможно с юридической и технической точки зрения».
«Что касается иностранных компаний, которые в России не работают, то правоохранительные органы в основном надеются на добрую волю, инструментов, чтобы принудить эти компании к раскрытию информации, нет», -- говорит эксперт в области телекоммуникационного права Антон Богатов, добавляя, что никогда не слышал об успешном сотрудничестве российских спецслужб и Skype.
«Что касается российских компаний, то практика показывает, что правоохранители легко могут получить любую информацию. Тот, о ком эти данные собирают, никогда об этом не узнает, даже если информация будет использована ненадлежащим образом. Никакой реальной правовой защиты здесь нет», -- заключает Антон Богатов.
http://infox.ru/business/net/2010/02/26/Skype_i_Facebook_shp_print.phtml
Источник:
User v koltse vragov
Юзер в кольце врагов
Хакерские атаки, новые вирусы, неработающий интернет и прочие компьютерные неурядицы стали частью быта, будничной темой сродни погоде. В проблемах рядовых владельцев мобильных телефонов и компьютеров повинны не только "высокотехнологичные" злоумышленники. Пьяные экскаваторщики, безалаберные электрики и некомпетентные сотрудники телекоммуникационных компаний могут натворить не меньше бед, чем хакеры.Зловредные половинки
Недавно тысячи москвичей могли наблюдать поразительное зрелище: в один прекрасный вечер гигантский уличный экран, расположенный на Садовом кольце, вместо рекламы начал показывать порнофильм. "Эротическое шоу" длилось недолго, однако наделало немало шума. Было возбуждено уголовное дело по статьям "незаконное распространение порнографии" и "неправомерный доступ к компьютерной информации", а владельцам злополучного экрана пришлось признать, что их сеть атаковали хакеры. Хакерские шутки не всегда так безобидны. В 2007 году Сочи выиграл право проведения зимней Олимпиады 2014 года - и почти сразу же остался без интернета. Неизвестные киберпреступники на несколько дней парализовали работу интернет-подразделения Южной телекоммуникационной компании (крупнейшего оператора фиксированной связи в Краснодарском крае): хакеры атаковали ресурсы компании с десятков тысяч зараженных компьютеров по всему миру. Такая атака недешево обошлась ее заказчикам, считает представитель крупного западного производителя телекоммуникационного оборудования: "Тарифы компьютерного андерграунда таковы: час атаки с 1 тыс. зараженных ПК стоит около $400". Глава российского офиса Juniper Networks Виктор Солодков отмечает, что отразить такое нападение крайне сложно, поскольку здесь используется так называемый легитимный трафик: целая армия компьютеров по всему миру делает вполне легальные попытки зайти на сайты, которые соединяются с внешним миром через сеть провайдеров. Специальные провайдерские системы (IDP) такой трафик отлавливать и блокировать не могут.
Валерий Андреев, директор по науке и развитию компании ИВК, констатирует, что взломщики информационных систем в последнее время используют ноу-хау, полностью защититься от которых не в силах даже профессионалы. "Представьте себе: на ящики должностных лиц компании приходят электронные письма с распоряжениями от генерального директора с приложенным к ним pdf-файлом,- рассказывает Андреев.- В этом файле была замаскирована половина вируса, а вторая половина уже ждала своего часа на компьютерах сотрудников фирмы. При открытии этого файла половинки вируса соединялись, и вирус начинал свою вредоносную деятельность". Воротами для второй половинки вируса послужила система автоматического обновления программного обеспечения (апдейт Java). На все машины спокойно просачивалась через антивирус первая половина вредоносной программы ("бомба") и ждала, когда в систему попадет вторая половина ("запал"). "При разборе этой атаки обнаружилось, что письма пришли с торрентов, что затрудняет дальнейшие поиски злоумышленников",- отмечает представитель ИВК. По его словам, такой вид хакерских атак - новинка сезона и она имеет большие перспективы. "Алгоритм защиты от проникновения вирусов через апдейты еще не выработан",- констатирует Валерий Андреев.
Воровство на простоте
Способность наследницы американской гостиничной империи Hilton попадать в нелепые истории известна давно. Одна из них произошла в 2005 году, когда хакер (впоследствии отловленный и осужденный) получил доступ к мобильному архиву Пэрис Хилтон на сервере сотового оператора T-Mobile. Смартфон, которым пользовалась знаменитость, имел функцию резервирования: данные в нем можно было синхронизировать со стационарным хранилищем информации (допустим, вы теряете свой сотовый телефон, но все содержащиеся там данные сохранены и могут быть загружены в новый аппарат). Нелепость ситуации заключалась в том, что в открытом доступе в интернете оказалась как раз заботливо зарезервированная информация, в частности приватные фотографии Пэрис, а также ее контакт-лист - все желающие узнали мобильные номера Анны Курниковой, Кристины Агилеры и других известных персонажей.
Незаконный доступ к конфиденциальной информации - проблема не только гламурных див. По данным компании Perimetrix, в 2007 году (это наиболее свежая статистика, обнаруженная автором) от утечек конфиденциальных данных пострадало 95% российских компаний. "Чаще всего из компаний крадут персональные данные (57%), детали конкретных сделок (47%) и финансовые отчеты (38%)",- говорится в отчете Perimetrix. Характерно, что в 75% случаев конфиденциальную информацию утащили на флешках, а 58% компаний-респондентов признали, что данные утекли из них по электронной почте.
Подсчитать потери в связи с кражами персональных данных мудрено: сколько сделок сорвалось из-за утечек инсайда и сколько распалось семей после того, как одна половинка проникла в ящик электронной почты другой, точно не знает никто. По оценкам компании Panda Software, в 2008 году только в США утечки данных нанесли компаниям и частным лицам ущерб в размере по меньшей мере $1,5 млрд. Но главное - это время, которое тратится на ликвидацию последствий распространения инсайда. По данным Panda Software, в Америке на это уходит 90 млн человеко-часов.
Валерий Андреев из ИВК считает, что в России еще не сформировалась культура обращения с конфиденциальными данными. Люди, не задумываясь, втыкают флешки с записанной дома информацией в рабочие компьютеры и наоборот. При этом, сами того не ведая, они заносят в ПК программы, ворующие эти самые данные. "У домашних сетей есть серьезные дыры в системах безопасности - их пользователи через флешки и диски копируют вирусы и уносят их на работу,- говорит Валерий Андреев.- В массах пока нет адекватного понимания, что значит "безопасная сеть". Как правило, компьютер на домашнем "локале" работает плохо, потому что был завирусован и почищен неправильно. В результате он продолжает заражать остальные компьютеры".
Советы специалистов частным пользователям на первый взгляд банальны. Они рекомендуют не использовать непроверенные и не вызывающие доверия флеш-накопители, диски и прочие носители с той или иной записанной информацией. Кроме того, эксперты советуют тщательнее выбирать пароли: кличка любимого хомячка или простая последовательность цифр не годится для защиты важных сведений. Впрочем, этим и другим советам обычные юзеры следуют редко. По данным британской компании Imperva, первые три места по популярности у пользователей занимают пароли 123456, 12345 и 123456789. На четвертом месте - слово password. Пятое - у написанной слитно фразы iloveyou. Шестое занимает пароль princess. На седьмом - rockyou. Восьмое и девятое места достались цифровым комбинациям 1234567 и 12345678.
С ковшом наперевес
Угрозу для пользователя ПК и интернета представляют не только хакеры и похитители персональных данных. По сравнению с тем, что могут натворить сотрудники местного ДЭЗа и нанятые им компании, любая хакерская атака покажется мелким хулиганством.
Недавно дом, где живет автор этого материала, остался без света. Экскаваторщик, нанятый копать траншею под замену водопровода, зацепил ковшом силовой кабель. Фейерверк, как говорят очевидцы, был достоин Нового года - но родственнице автора, писавшей на компьютере диплом, от этого легче не стало: неожиданно отключившийся аппарат похоронил солидный кусок работы.
Случай серьезнее - пожар в 2003 году на Замоскворецком узле МГТС: десятки тысяч абонентов в Москве были отрезаны от телефонной сети на несколько недель. Колоссальные убытки понесли тогда в том числе и интернет-провайдеры, оборудование которых располагалось в здании сгоревшей АТС, ущерб их клиентов тоже, думается, был изрядным. Впоследствии выяснилось, что этот телекоммуникационный теракт - на совести энергетиков: временный электрокабель под весом налипшего на него снега провис, переплелся с кабелем связистов - и произошло короткое замыкание.
Еще один пример того, насколько уязвимы телекоммуникационные системы перед энергетическими локаутами - последствия знаменитого пожара на электроподстанции "Чагино" 25 мая 2005 года. Напомним, тогда без электричества осталось пол-Москвы, пострадали также Подмосковье и часть сопредельных областей. Неприятности были и у МГТС. Выяснилось, что у одной из крупнейших в стране телефонных компаний на всю Москву было только два резервных дизель-генератора. Отключавшиеся телефонные станции шведского и французского производства пытались реанимировать с помощью генераторов, которые подогнали военные. Но состыковать нежную западную электронику с разработками советского ВПК образца 1970-х так и не получилось. Тогда практически сразу "легла" и главная точка обмена данными рунета - объект ММТС-9 (М9) на улице Бутлерова. Впоследствии выяснилось, что этот стратегически важный пункт российского интернета вообще не имел резервного электропитания.
"Энергоснабжение остается одной из самых серьезных проблем, особенно в больших городах,- говорит директор по маркетингу группы компаний "Сервис-Плюс" Сергей Щербина.- Любые серверно-вычислительные системы достаточно энергоемки, так как помимо самого серверно-вычислительного оборудования имеются различные энергозатратные инженерные решения (системы кондиционирования и охлаждения). Между тем получить резервный канал питания в крупном городе почти невозможно".
Обычным пользователям специалисты настоятельно рекомендуют использовать источники бесперебойного питания (ИБП). Эти устройства в случае отключения электричества продержат на плаву ваш компьютер и монитор достаточно долго, чтобы вы как следует "сохранились". "Для простых пользователей подойдет ИБП, обеспечивающий автономную работу в течение 30 минут, что позволяет без потерь закончить работу на компьютере",- говорит Александр Чачава, президент группы компаний Leta. В компьютерных магазинах обычно рекомендуют считать необходимую мощность ИБП, применяя коэффициент 1,7. Допустим, ваши компьютер и монитор потребляют на пару 400 Вт, умножаем на 1,7 - получаем 680 Вт. Таким образом, будет достаточно ИБП мощностью 700 Вт.
Беда откуда не ждали
Опасность для владельцев ПК и мобильных гаджетов представляют не только сетевые разбойники, энергетики и собственная беспечность. Случается, источником неприятностей становятся сотрудники компаний, обеспечивающих работоспособность компьютеров и доступ в интернет. Лет семь назад автор этого материала решил подключиться к районной сети. Вечером в субботу, через полчаса после вызова, к нему явились двое монтажников, а еще через полчаса выделенная линия к компьютеру была проложена. Только никакого интернета в ней не было. "Запил наш сотрудник у тетки в Егорьевске, так что ждите до начала недели",- сообщил один из монтажников, поговорив с кем-то по телефону. Гуляли в Егорьевске, должно быть, хорошо: интернет не работал еще дней десять. Смех смехом, однако, как говорит Александр Чачава, 80% сбоев в работе интернета связано именно с некомпетентностью персонала провайдеров. Также, по его словам, если этот персонал знает основы информационной безопасности, ущерб, наносимый утечками информации и хакерскими атаками, снижается раз в десять.
Экономить на обслуживании сложных систем опасно. Иван Нечаев, исполнительный директор компании "Русские навигационные технологии", ссылаясь на опыт внедрения системы мониторинга транспорта, отмечает: "Риск возникает, как только система заработала. Неумелое обслуживание и перенастройка системы необученными сотрудниками, передача этой работы местным "умельцам" вполне могут стать причиной сбоев".
Возможно, скоро в Москве найдется управа на нерадивых провайдеров. При мэрии формируется комиссия, задача которой - тотальная ревизия сетей интернета и кабельного ТВ. Прелюдией к ее созданию послужила проверка, проведенная Мосжилинспекцией, департаментом транспорта и связи и другими городскими ведомствами почти в 500 домах столицы. В списке нарушений, выявленных ревизией,- прокладка кабелей по мусоропроводам и лифтовым шахтам, переброска их от дома к дому через окна, юридически неграмотные договоры между провайдерами и организациями, эксплуатирующими здания. Ожидается, что новая комиссия получит богатые полномочия вплоть до приказа о демонтаже собранной "на коленке" сети.
Помимо развернутых кое-кем и кое-как сетей с интернет-доступом существует еще бытовой источник угрозы вашей информационной безопасности - когда соседи используют несертифицированное радиоизлучающее оборудование. Например, радиотелефоны, которые, по утверждению некоторых продавцов, "бьют" чуть ли не на 20 км от базовой станции, подключенной к обычной телефонной розетке. Входит этот прибор в вашу жизнь примерно так: вы смотрите телевизор (сигнал к которому сегодня сплошь и рядом идет по "шнурку" для доступа в интернет), и вдруг пропадают звук и изображение. Потом они возвращаются - после того как технологически продвинутый сосед наговорится по несертифицированной трубке.
Специалисты в области телекоммуникаций подчеркивают, что в такой ситуации вас может выручить только обращение к властям. Неформальные меры воздействия (драка с соседом и ликвидация сверхдальнобойного телефона как вариант не рассматриваются), скорее всего, тут не помогут. А поможет обращение в Федеральную службу по надзору в сфере связи, ИТ и массовых коммуникаций. Сотрудники этой службы уполномочены искать радиохулиганов, штрафовать их и отбирать нелегальное оборудование.
Источник: http://rokf.ru/print.php?p=home/2010/03/01/083347.html
Хакерские атаки, новые вирусы, неработающий интернет и прочие компьютерные неурядицы стали частью быта, будничной темой сродни погоде. В проблемах рядовых владельцев мобильных телефонов и компьютеров повинны не только "высокотехнологичные" злоумышленники. Пьяные экскаваторщики, безалаберные электрики и некомпетентные сотрудники телекоммуникационных компаний могут натворить не меньше бед, чем хакеры.Зловредные половинки
Недавно тысячи москвичей могли наблюдать поразительное зрелище: в один прекрасный вечер гигантский уличный экран, расположенный на Садовом кольце, вместо рекламы начал показывать порнофильм. "Эротическое шоу" длилось недолго, однако наделало немало шума. Было возбуждено уголовное дело по статьям "незаконное распространение порнографии" и "неправомерный доступ к компьютерной информации", а владельцам злополучного экрана пришлось признать, что их сеть атаковали хакеры. Хакерские шутки не всегда так безобидны. В 2007 году Сочи выиграл право проведения зимней Олимпиады 2014 года - и почти сразу же остался без интернета. Неизвестные киберпреступники на несколько дней парализовали работу интернет-подразделения Южной телекоммуникационной компании (крупнейшего оператора фиксированной связи в Краснодарском крае): хакеры атаковали ресурсы компании с десятков тысяч зараженных компьютеров по всему миру. Такая атака недешево обошлась ее заказчикам, считает представитель крупного западного производителя телекоммуникационного оборудования: "Тарифы компьютерного андерграунда таковы: час атаки с 1 тыс. зараженных ПК стоит около $400". Глава российского офиса Juniper Networks Виктор Солодков отмечает, что отразить такое нападение крайне сложно, поскольку здесь используется так называемый легитимный трафик: целая армия компьютеров по всему миру делает вполне легальные попытки зайти на сайты, которые соединяются с внешним миром через сеть провайдеров. Специальные провайдерские системы (IDP) такой трафик отлавливать и блокировать не могут.
Валерий Андреев, директор по науке и развитию компании ИВК, констатирует, что взломщики информационных систем в последнее время используют ноу-хау, полностью защититься от которых не в силах даже профессионалы. "Представьте себе: на ящики должностных лиц компании приходят электронные письма с распоряжениями от генерального директора с приложенным к ним pdf-файлом,- рассказывает Андреев.- В этом файле была замаскирована половина вируса, а вторая половина уже ждала своего часа на компьютерах сотрудников фирмы. При открытии этого файла половинки вируса соединялись, и вирус начинал свою вредоносную деятельность". Воротами для второй половинки вируса послужила система автоматического обновления программного обеспечения (апдейт Java). На все машины спокойно просачивалась через антивирус первая половина вредоносной программы ("бомба") и ждала, когда в систему попадет вторая половина ("запал"). "При разборе этой атаки обнаружилось, что письма пришли с торрентов, что затрудняет дальнейшие поиски злоумышленников",- отмечает представитель ИВК. По его словам, такой вид хакерских атак - новинка сезона и она имеет большие перспективы. "Алгоритм защиты от проникновения вирусов через апдейты еще не выработан",- констатирует Валерий Андреев.
Воровство на простоте
Способность наследницы американской гостиничной империи Hilton попадать в нелепые истории известна давно. Одна из них произошла в 2005 году, когда хакер (впоследствии отловленный и осужденный) получил доступ к мобильному архиву Пэрис Хилтон на сервере сотового оператора T-Mobile. Смартфон, которым пользовалась знаменитость, имел функцию резервирования: данные в нем можно было синхронизировать со стационарным хранилищем информации (допустим, вы теряете свой сотовый телефон, но все содержащиеся там данные сохранены и могут быть загружены в новый аппарат). Нелепость ситуации заключалась в том, что в открытом доступе в интернете оказалась как раз заботливо зарезервированная информация, в частности приватные фотографии Пэрис, а также ее контакт-лист - все желающие узнали мобильные номера Анны Курниковой, Кристины Агилеры и других известных персонажей.
Незаконный доступ к конфиденциальной информации - проблема не только гламурных див. По данным компании Perimetrix, в 2007 году (это наиболее свежая статистика, обнаруженная автором) от утечек конфиденциальных данных пострадало 95% российских компаний. "Чаще всего из компаний крадут персональные данные (57%), детали конкретных сделок (47%) и финансовые отчеты (38%)",- говорится в отчете Perimetrix. Характерно, что в 75% случаев конфиденциальную информацию утащили на флешках, а 58% компаний-респондентов признали, что данные утекли из них по электронной почте.
Подсчитать потери в связи с кражами персональных данных мудрено: сколько сделок сорвалось из-за утечек инсайда и сколько распалось семей после того, как одна половинка проникла в ящик электронной почты другой, точно не знает никто. По оценкам компании Panda Software, в 2008 году только в США утечки данных нанесли компаниям и частным лицам ущерб в размере по меньшей мере $1,5 млрд. Но главное - это время, которое тратится на ликвидацию последствий распространения инсайда. По данным Panda Software, в Америке на это уходит 90 млн человеко-часов.
Валерий Андреев из ИВК считает, что в России еще не сформировалась культура обращения с конфиденциальными данными. Люди, не задумываясь, втыкают флешки с записанной дома информацией в рабочие компьютеры и наоборот. При этом, сами того не ведая, они заносят в ПК программы, ворующие эти самые данные. "У домашних сетей есть серьезные дыры в системах безопасности - их пользователи через флешки и диски копируют вирусы и уносят их на работу,- говорит Валерий Андреев.- В массах пока нет адекватного понимания, что значит "безопасная сеть". Как правило, компьютер на домашнем "локале" работает плохо, потому что был завирусован и почищен неправильно. В результате он продолжает заражать остальные компьютеры".
Советы специалистов частным пользователям на первый взгляд банальны. Они рекомендуют не использовать непроверенные и не вызывающие доверия флеш-накопители, диски и прочие носители с той или иной записанной информацией. Кроме того, эксперты советуют тщательнее выбирать пароли: кличка любимого хомячка или простая последовательность цифр не годится для защиты важных сведений. Впрочем, этим и другим советам обычные юзеры следуют редко. По данным британской компании Imperva, первые три места по популярности у пользователей занимают пароли 123456, 12345 и 123456789. На четвертом месте - слово password. Пятое - у написанной слитно фразы iloveyou. Шестое занимает пароль princess. На седьмом - rockyou. Восьмое и девятое места достались цифровым комбинациям 1234567 и 12345678.
С ковшом наперевес
Угрозу для пользователя ПК и интернета представляют не только хакеры и похитители персональных данных. По сравнению с тем, что могут натворить сотрудники местного ДЭЗа и нанятые им компании, любая хакерская атака покажется мелким хулиганством.
Недавно дом, где живет автор этого материала, остался без света. Экскаваторщик, нанятый копать траншею под замену водопровода, зацепил ковшом силовой кабель. Фейерверк, как говорят очевидцы, был достоин Нового года - но родственнице автора, писавшей на компьютере диплом, от этого легче не стало: неожиданно отключившийся аппарат похоронил солидный кусок работы.
Случай серьезнее - пожар в 2003 году на Замоскворецком узле МГТС: десятки тысяч абонентов в Москве были отрезаны от телефонной сети на несколько недель. Колоссальные убытки понесли тогда в том числе и интернет-провайдеры, оборудование которых располагалось в здании сгоревшей АТС, ущерб их клиентов тоже, думается, был изрядным. Впоследствии выяснилось, что этот телекоммуникационный теракт - на совести энергетиков: временный электрокабель под весом налипшего на него снега провис, переплелся с кабелем связистов - и произошло короткое замыкание.
Еще один пример того, насколько уязвимы телекоммуникационные системы перед энергетическими локаутами - последствия знаменитого пожара на электроподстанции "Чагино" 25 мая 2005 года. Напомним, тогда без электричества осталось пол-Москвы, пострадали также Подмосковье и часть сопредельных областей. Неприятности были и у МГТС. Выяснилось, что у одной из крупнейших в стране телефонных компаний на всю Москву было только два резервных дизель-генератора. Отключавшиеся телефонные станции шведского и французского производства пытались реанимировать с помощью генераторов, которые подогнали военные. Но состыковать нежную западную электронику с разработками советского ВПК образца 1970-х так и не получилось. Тогда практически сразу "легла" и главная точка обмена данными рунета - объект ММТС-9 (М9) на улице Бутлерова. Впоследствии выяснилось, что этот стратегически важный пункт российского интернета вообще не имел резервного электропитания.
"Энергоснабжение остается одной из самых серьезных проблем, особенно в больших городах,- говорит директор по маркетингу группы компаний "Сервис-Плюс" Сергей Щербина.- Любые серверно-вычислительные системы достаточно энергоемки, так как помимо самого серверно-вычислительного оборудования имеются различные энергозатратные инженерные решения (системы кондиционирования и охлаждения). Между тем получить резервный канал питания в крупном городе почти невозможно".
Обычным пользователям специалисты настоятельно рекомендуют использовать источники бесперебойного питания (ИБП). Эти устройства в случае отключения электричества продержат на плаву ваш компьютер и монитор достаточно долго, чтобы вы как следует "сохранились". "Для простых пользователей подойдет ИБП, обеспечивающий автономную работу в течение 30 минут, что позволяет без потерь закончить работу на компьютере",- говорит Александр Чачава, президент группы компаний Leta. В компьютерных магазинах обычно рекомендуют считать необходимую мощность ИБП, применяя коэффициент 1,7. Допустим, ваши компьютер и монитор потребляют на пару 400 Вт, умножаем на 1,7 - получаем 680 Вт. Таким образом, будет достаточно ИБП мощностью 700 Вт.
Беда откуда не ждали
Опасность для владельцев ПК и мобильных гаджетов представляют не только сетевые разбойники, энергетики и собственная беспечность. Случается, источником неприятностей становятся сотрудники компаний, обеспечивающих работоспособность компьютеров и доступ в интернет. Лет семь назад автор этого материала решил подключиться к районной сети. Вечером в субботу, через полчаса после вызова, к нему явились двое монтажников, а еще через полчаса выделенная линия к компьютеру была проложена. Только никакого интернета в ней не было. "Запил наш сотрудник у тетки в Егорьевске, так что ждите до начала недели",- сообщил один из монтажников, поговорив с кем-то по телефону. Гуляли в Егорьевске, должно быть, хорошо: интернет не работал еще дней десять. Смех смехом, однако, как говорит Александр Чачава, 80% сбоев в работе интернета связано именно с некомпетентностью персонала провайдеров. Также, по его словам, если этот персонал знает основы информационной безопасности, ущерб, наносимый утечками информации и хакерскими атаками, снижается раз в десять.
Экономить на обслуживании сложных систем опасно. Иван Нечаев, исполнительный директор компании "Русские навигационные технологии", ссылаясь на опыт внедрения системы мониторинга транспорта, отмечает: "Риск возникает, как только система заработала. Неумелое обслуживание и перенастройка системы необученными сотрудниками, передача этой работы местным "умельцам" вполне могут стать причиной сбоев".
Возможно, скоро в Москве найдется управа на нерадивых провайдеров. При мэрии формируется комиссия, задача которой - тотальная ревизия сетей интернета и кабельного ТВ. Прелюдией к ее созданию послужила проверка, проведенная Мосжилинспекцией, департаментом транспорта и связи и другими городскими ведомствами почти в 500 домах столицы. В списке нарушений, выявленных ревизией,- прокладка кабелей по мусоропроводам и лифтовым шахтам, переброска их от дома к дому через окна, юридически неграмотные договоры между провайдерами и организациями, эксплуатирующими здания. Ожидается, что новая комиссия получит богатые полномочия вплоть до приказа о демонтаже собранной "на коленке" сети.
Помимо развернутых кое-кем и кое-как сетей с интернет-доступом существует еще бытовой источник угрозы вашей информационной безопасности - когда соседи используют несертифицированное радиоизлучающее оборудование. Например, радиотелефоны, которые, по утверждению некоторых продавцов, "бьют" чуть ли не на 20 км от базовой станции, подключенной к обычной телефонной розетке. Входит этот прибор в вашу жизнь примерно так: вы смотрите телевизор (сигнал к которому сегодня сплошь и рядом идет по "шнурку" для доступа в интернет), и вдруг пропадают звук и изображение. Потом они возвращаются - после того как технологически продвинутый сосед наговорится по несертифицированной трубке.
Специалисты в области телекоммуникаций подчеркивают, что в такой ситуации вас может выручить только обращение к властям. Неформальные меры воздействия (драка с соседом и ликвидация сверхдальнобойного телефона как вариант не рассматриваются), скорее всего, тут не помогут. А поможет обращение в Федеральную службу по надзору в сфере связи, ИТ и массовых коммуникаций. Сотрудники этой службы уполномочены искать радиохулиганов, штрафовать их и отбирать нелегальное оборудование.
Источник: http://rokf.ru/print.php?p=home/2010/03/01/083347.html
Подписаться на:
Комментарии (Atom)