Как известно — использование сертифицированных версий программного обеспечения прописано в самых разных документах регуляторов. И (к сожалению) эта данность, с которой всем жить. В данной статье не будет перечисления положений документов, согласно которым необходимо использовать сертифицированные (или иначе «прошедшие процедуру проверки соответствия») продукты или размеров штрафов за неиспользование. Вместо этого будут рассмотрены типичные проблемы, с которыми клиенты, вынужденные использовать сертифицированное ПО, обращаются в техническую поддержку.
Если кто-то недавно был вынужден перейти на сертифицированные версии и еще не прошел по всем граблям — просим под кат.
Мы с удовольствием читаем описания работ энтузиастов, восстанавливающих старую технику. Но эту технику приходилось ведь еще и обслуживать. Мы знаем, что появление компьютеров сделало ненужным например профессию машинистки, но может быть что-то менялось и уже в те времена, когда компьютеры вошли в наш быт?
Откроем Постановление Министерства труда и социального развития РФ от 23 июля 1998 г. N 28" Об утверждении межотраслевых типовых норм времени на работы по сервисному обслуживанию персональных электронно-вычислительных машин и организационной техники и сопровождению программных средств".
Литературы о событиях Великой Отечественной войны выпускается очень и очень много — от ревизионистов — «нам все врали и я врать буду» и до серьезных исследований. Подробно расписываются боевые пути не только армий, но чуть ли не взводов. Но зачастую непонятно, что же так долго длились «сражения за домик лесника» и как ложились целые дивизии в битве за отдельные деревни.
Причин высоких потерь и неожиданных поражений очень много — в первую очередь крайне низкий уровень образования и военной подготовки. Но эта статья не об этом. Предлагаем лишь взглянуть на места высочайших потерь — и представить себя на месте бойца, которому ЭТО надо взять.
О проблемах в высшем образовании к данному моменту высказались бывший студент, школьник, преподаватель, работодатель и представитель ВУЗа (может быть к моменту публикации выскажется еще-кто). Но в большинстве статей говорилось о том, насколько тяжело получить студенту знания. Но положим студент получил их тем или иным способом — сам или с помощью ВУЗа. Вышел в свет — и вот тут начинается самое интересное. К той ли деятельности он готовился? Соответствует ли комплекс его навыков требованию успешной карьеры в ИТ?
Все «знают», кто на самом деле пишет вирусы, но знаете ли вы, каково среднее время жизни одного вируса, что делают пользователи, установив антивирус, и почему антивирусные компании редко рассказывают в новостях о методах проникновения?
С темой майнеров лично я столкнулся после заявления Германа Клименко о том, что огромное количество серверов Москвы поражены майнерами. До этого майнеры были лично для меня лишь одним из видов вредоносных программ. Времени с тех пор прошлом не так уж и много, но количество желающих заработать на чужих компьютерах растет и думаю настала пора поговорить об этом явлении.
Кому интересно сколько майнеров создается в день, как они распространяются и (самое главное) как относятся к ним антивирусы — прошу под кат!
Законодательство как России, так и иных стран отрицательно относится к созданию и использованию вредоносного ПО, созданию эксплойтов и взломам локальных сетей и отдельных компьютеров. Обычно когда речь заходит об ответственности за такие деяния, то в случае России это статьи 272 и 273 УК РФ. Но кроме этих статей создателям вредоносного ПО и тем, кто его использует могут грозить и иные статьи — о чем обычно забывают в ходе обсуждения как тем инцидентов безопасности, так и на профильных обсуждениях ответственности за написание вредоносного ПО. Вот скажем ст. 275 УК РФ «Государственная измена» — может ее получить написавший вирус?
Я не работаю по RU и СНГ в частности, а значит, чист перед законом. Не надо меня тыкать в УК РФ, его знаю отлично и не нарушаю. Такое у нас УПК, что не считает нарушением 272/273, если не причинило вред Российской Федерации. Таким образом, я отказываюсь от ответственности от сказанного мною тут, а также не несу никакой ответственности за причиненные действия после прочтения этой статьи. И вообще — я завязал. Я добрый, хольте и лелейте.
Данная цитата, размещенная в ныне удаленной статье, вызвала в комментариях достаточно широкое обсуждение вопросов связанных с ответственностью за написание вредоносных программ и эксплойтов. В том числе в ходе исследовательских работ.
О закон Яровой (он же Федеральный закон от 6 июня 2017г. № 374-ФЗ «О внесении изменений в Федеральный закон О противодействии терроризму») было сломано немало копий. Оценки экспертов в области затрат на его реализацию содержали суммы в миллиарды и триллионы. 2016 год закончился в спорах и ожиданиях. В новом году появились уже точные оценки затрат на реализацию закона. Правда не со стороны провайдеров.
В прошлый раз мы рассмотрели требования ФСТЭК РФ к персональным файрволам — межсетевым экранам уровня узла (тип «В»), устанавливаемым на рабочих станциях защищаемой сети. Продолжим разговор и рассмотрим требования к решениям для защиты веб-серверов
Итак, произошло долгожданное событие и ФСТЭК РФ в дополнение к ранее выпущенным Профилям антивирусной защиты выпустил (точнее выложил на сайте) и требования к межсетевым экранам. В том числе программным для установки на рабочие станции. К сожалению выложены не все документы — традиционно выложены Профили четвертого, пятого и шестого класса защиты. Остальные классы защиты описываются в документах с грифом ДСП и широкой публике недоступны.
Что же должны уметь межсетевые экраны по мнению ФСТЭК?
На сайте ФСБ РФ 18 июля было размещено Извещение «по вопросу использования сертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет»». Документ достаточно интересный. Но прежде чем его рассматривать нужно немного поговорить о текущей политике и возникших проблемах.
Владимир Путин подписал личное поручение премьеру Дмитрию Медведеву (а не правительству, что было бы логично) об обеспечении «комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования»
По адресу http://regulation.gov.ru/projects# доступен очередной проект закона о внесении очередных изменений в закона «Об информации, информационных технологиях и о защите информации». Точнее на данном портале сейчас выложено два таких проекта, но нас интересует проект закона от ФСТЭК РФ:
Что же предполагается изменить в методах защиты и кого касаются изменения?
Попробуйте задать сами себе вопрос — какой тип вредоносных программ самый опасный? Вы подумали, что это шифровальщики? Вы не одиноки — именно так отвечает большинство участников конференций, так отвечают представители руководства компаний с которыми идет общение о закупке средству защиты. А между тем бояться нужно не шифровальщиков
Согласно изменениям, внесенным в Федеральный закон 152-ФЗ Федеральным законом от 21.07.2014 N 242-ФЗ, уведомление, направляемое в Роскомнадзор должно содержать:
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
До недавнего времени данное требование не дублировалось ни в Административном регламенте Роскомнадзора, ни в формах соответствующих Уведомлений (их две — для подачи в бумажном и в электронном виде — и как ни странно они различны). Но поскольку закон-есть-закон (изменения 152-ФЗ, требующие указывать местонахождение БД с ПДн вступили в силу этим летом), то логично, что Роскомнадзор требовал с операторов указывать эти данные в уведомлении. И естественно это вызывало трудности у операторов, поскольку на вопрос что и где нужно указывать ответить никто не мог.
Но все меняется и Минсвязи выпустило Приказ от 28 августа 2015 г. N 315 (ссылки в pdf, текстовом виде).
Не так давно в связи с катастрофой самолета Когалымавиа на Хабре обсуждалась идея спасения пассажиров путем использования специального отбрасываемого модуля. Идея имела гораздо больше минусов, чем плюсов и была справедливо раскритикована.
Но сама по себе идея модульности — удел не только энтузиастов-одиночек. Она имеет довольно старую историю.
6 декабря ряд крупнейших российских торрент-порталов, среди которых Rutracker.org, Kinozal.tv и Rutor.org решили провести (и провели) акцию по обучению российских пользователей инструментам и методам восстановления доступа к информации в случае блокировок интернет-ресурсов.
По другую сторону баррикад был подписан документ, включающий фразу:
В настоящий момент доказала свою высокую эффективность существующая система включения (по решению уполномоченных Правительством Российской Федерации федеральных органов исполнительной власти) пяти видов особо социально опасной информации, доступ к которой безусловно должен быть запрещен, в Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено.
Возрастно-психологический подход к оценке вредного воздействия информационной продукции на психическое развитие, здоровье и психологическое благополучие детей, который лег в основу Федерального закона «О защите детей от информации, причиняющей вред их здоровью и развитию», показал свою достаточно высокую эффективность.
Фраза «уж сколько раз твердили миру» наверно идеально подходит под описание ситуации с защитой персональных данных и их переноса в Россию. За прошедшее с начала обсуждений проблем в этой области время казалось бы обсуждено все. И тем более юристы должны уметь читать законы.
Увы. Посещение очередной конференции развеяло для меня этот миф, в связи с чем я предлагаю в копилку Хабражителям ответы на типовые вопросы в области переноса данных.