Свежие посты   По годам   По датам
  • 03 Ноября 2017 » Куда пожаловаться на мошеннический сайт?
    Пару недель назад, аккурат за несколько дней до истечения оплаченного срока одного из доменов, мне пришло прекрасно оформленное фишинговое письмо с уведомлением о необходимости срочно оплатить услугу продления доменного имени под угрозой удаления из реестра доменных имён. [caption id=”attachment_11227” align=”aligncenter” width=”700”] Фишинговое письмо[/caption] Ссылка из письма вела на не менее красиво оформленный фишинговый сайт, где предлагалось ввести реквизиты банковской карты. [caption id=”attachment_11228” align=”aligncenter” width=”700”] Фишинговый сайт[/caption] Отдельно, пожалуй, стоит отметить сделанную в виде замочка иконку сайта - эдакая имитация защищённого соединения. [caption id=”attachment_11229” align=”aligncenter” width=”298”] Фишинговая адресная строка[/caption] Понятно, что никакие данные карточки я не вводил, но так как было очевидно, что сама схема явно предполагает поставленное на поток мошенничество, возникло желание как-то пресечь деятельность мошенников. Кто у нас больше всех борется со всякими пакостями в Интернете? Мне почему-то в первую очередь пришёл в голову Роскомнадзор. Однако, форма для обращения граждан на их сайте гласит, что они что-либо блокируют только по решению суда (не буду здесь сейчас комментировать последние законодательные инициативы), а поэтому с обращениями по поводу мошеннических сайтов они рекомендуют обращаться напрямую в Управление К МВД России и даже любезно предоставляют ссылку. [caption id=”attachment_11231” align=”aligncenter” width=”700”] Роскомнадзор отправляет в МВД[/caption] Форма обращения на сайте МВД России имеет странную особенность: в неё нельзя ничего скопировать из буфера обмена, поэтому целиком фишинговую ссылку пришлось прикрепить в текстовом файле - не набирать же эти два десятка символов вручную. Наверное, МВД таким образом борется с массовыми однотипными обращениям граждан (скопировать готовый подготовленный кем-то текст не получится - нужно своё обращение набирать целиком самостоятельно). [caption id=”attachment_11232” align=”aligncenter” width=”651”] Текст обращения в МВД[/caption] Бегло поискав в Интернете, нашёл ещё проекта Центра реагирования Group-IB АНТИФИШИНГ - форму заполнил и со мной даже пообещали связаться, не спросив, впрочем, даже моего адреса =) [caption id=”attachment_11237” align=”aligncenter” width=”700”] Group IB обещают связаться не спросив даже адреса[/caption] В завершение написал через форму на сайте регистратора администраторам сайта, где размещена фишинговая форма с запросом банковских реквизитов. Не знаю, сработает ли в итоге хоть какое-то из моих обращений, но о результатах обязательно расскажу. Если знаете ещё какие-то действенные методы борьбы с мошенниками - напишите в комментариях, буду признателен.

  • 27 Октября 2017 » Подзаконные акты к 187-ФЗ о безопасности КИИ [UPD. 10.01.2018]
    [box type=”note” style=”rounded”]Данный пост более не обновляется. Вся актуальная информация о действующих и готовящихся к публикации нормативно-правовых актах доступна в специальном тематическом разделе сайта: Безопасность КИИ и 187-ФЗ[/box] Федеральный закон о безопасности критической информационной инфраструктуры 187-ФЗ после принятия этим летом породил массу вопросов практической направленности, ответы на которые должны будут быть даны в соответствующих подзаконных нормативных правовых актах (НПА). График подготовки этих нормативных правовых актов был утверждён Зам.Председателя Правительства РФ 28 августа 2017 г. (План-график подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. N 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации” и Федерального закона от 26 июля 2017 г. N 193-ФЗ “О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона “О безопасности критической информационной инфраструктуры Российской Федерации”, утверждён Заместителем Председателя Правительства Российской Федерации от 28 августа 2017 г. N 5985п-П10). Сам План-график в открытом доступе не публиковался, но ещё на этапе внесения законопроекта о безопасности КИИ в Госдуму в составе общего пакета документов шёл Перечень нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, подлежащих признанию утратившими силу, приостановлению, изменению или принятию в связи с проектом федерального закона ”О безопасности критической информационной инфраструктуры Российской Федерации”. Опираясь на данный перечень, можно получить представление о том, какие дополнительные НПА и в какие сроки должны быть приняты. Для удобства свёл их все в таблицу и, так как проекты некоторых документов уже опубликованы (готовятся к публикации), привёл соответствующие ссылки. [box type=”info” style=”rounded”]UPD. 10.01.2018 Актуализированы статусы проектов документов.[/box] [box type=”info” style=”rounded”]UPD. 10.01.2018 Также нужно обратить внимание на утверждённый Указ Президента РФ от 22.12.2017 г. № 620 «О совершенствовании ГосСОПКА».[/box] [box type=”info” style=”rounded”]UPD. 02.12.2017 Также нужно обратить внимание на уже утверждённый Указ Президента РФ от 25.11.2017 № 569 “О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085”, согласно которому “ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля”.[/box] № НПА Срок подготовки Статус 1 Проект указа Президента РФ «Об определении ФОИВ, уполномоченном в области обеспечения безопасности КИИ РФ» (Проект 01/03/08-17/00072648 ФСТЭК России 30.08.017) В течение 6 месяцев после принятия закона - 26.01.2018 Обсуждение проекта завершено. Текст, доработанный по итогам обсуждения 2 Проект постановления Правительства РФ «Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования» (Проект 01/01/09-17/00073423 ФСТЭК России 25.09.2017) В течение 6 месяцев после определения ФОИВ, уполномоченного в области обеспечения безопасности КИИ РФ Обсуждение проекта завершено. Текст, доработанный по итогам обсуждения 3 Проект постановления Правительства РФ «Об утверждении порядка осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ» (Проект 02/07/10-17/00074241 ФСТЭК России 19.10.2017) В течение 6 месяцев после определения ФОИВ, уполномоченного в области обеспечения безопасности КИИ РФ Готовится заключение по итогам процедуры ОРВ. Текст, доработанный по итогам обсуждения 4 Проект постановления Правительства РФ «Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов КИИ РФ» (Готовится) В течение 6 месяцев после принятия закона - 26.01.2018 Исполнители: Минкомсвязь России ФСБ России 5 Проект приказа ФСТЭК России «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» (Проект 01/02/12-17/00076034 ФСТЭК России 07.12.2017) В течение 6 месяцев после определения ФОИВ, уполномоченного в области обеспечения безопасности КИИ РФ Завершение разработки проекта нормативного правового акта. Формирование окончательного варианта текста проекта нормативного правового акта. Текст, доработанный по итогам обсуждения 6 Проект приказа ФСТЭК России «Об утверждении Порядка ведения реестра значимых объектов КИИ РФ» (Проект 01/02/11-17/00075161 ФСТЭК России 15.11.2017) В течение 6 месяцев после определения ФОИВ, уполномоченного в области обеспечения безопасности КИИ РФ Завершение разработки проекта нормативного правового акта. Формирование окончательного варианта текста проекта нормативного правового акта. Текст, доработанный по итогам обсуждения 7 Проект приказа ФСТЭК России «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования» (Проект 01/02/12-17/00075863 ФСТЭК России 01.12.2017) В течение 6 месяцев после определения ФОИВ, уполномоченного в области обеспечения безопасности КИИ РФ Завершение разработки проекта нормативного правового акта. Формирование окончательного варианта текста проекта нормативного правового акта. Текст, доработанный по итогам обсуждения 8 Проект приказа ФСТЭК «Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов КИИ» (Проект 02/08/10-17/00074243 ФСТЭК России 19.10.2017 и Проект 01/02/11-17/00074747 ФСТЭК России 03.11.2017) В течение 6 месяцев после определения ФОИВ, уполномоченного в области обеспечения безопасности КИИ Завершение разработки проекта нормативного правового акта. Формирование окончательного варианта текста проекта нормативного правового акта. Текст, доработанный по итогам обсуждения 9 Проект приказа ФСБ России «Об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на значимых объектах КИИ РФ» (Готовится) В течение 9 месяцев после принятия закона - 26.04.2018 Исполнители: ФСБ России 10 Проект приказа ФСБ России «Об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка представления информации в ГосСОПКА» (Проект 01/02/12-17/00076747 ФСБ России 26.12.2017) В течение 9 месяцев после принятия закона - 26.04.2018 Проводятся общественные обсуждения в отношении текста проекта нормативного правового акта и независимая антикоррупционная экспертиза. Текст, Приложение №1, Приложение №2 11 Проект приказа ФСБ России «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами КИИ РФ, между субъектами КИИ РФ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами КИИ РФ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения» (Проект 01/02/12-17/00076750 ФСБ России 26.12.2017) В течение 9 месяцев после принятия закона - 26.04.2018 Проводятся общественные обсуждения в отношении текста проекта нормативного правового акта и независимая антикоррупционная экспертиза. Текст, Приложение №1, Приложение №2 12 Проект приказа ФСБ России «Об утверждении требований к техническим средствам ГосСОПКА» (Готовится) В течение 9 месяцев после принятия закона - 26.04.2018 Исполнители: ФСБ России ФОИВ, уполномоченный в области обеспечения безопасности КИИ РФ 13 Проект приказа ФСБ России «Об утверждении технических условий установки и эксплуатации технических средств ГосСОПКА» (Готовится) В течение 9 месяцев после принятия закона - 26.04.2018 Исполнители: ФСБ России ФОИВ, уполномоченный в области обеспечения безопасности КИИ РФ 14 Проект приказа ФСБ России «О Национальном координационном центре по компьютерным инцидентам (НКЦКИ)» (Проект 01/02/12-17/00076743 ФСБ России 26.12.2017) В течение 9 месяцев после принятия закона - 26.04.2018 Проводятся общественные обсуждения в отношении текста проекта нормативного правового акта и независимая антикоррупционная экспертиза. Текст, Приложение, Приложение (дубль) 15 Проект приказа ФСТЭК «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ» (Проект 01/02/12-17/00076118 ФСТЭК России 08.12.2017) В течение 6 месяцев после определения ФОИВ, уполномоченного в области обеспечения безопасности КИИ РФ Завершение разработки проекта нормативного правового акта. Формирование окончательного варианта текста проекта нормативного правового акта. Текст, доработанный по итогам обсуждения 16 Проект приказа Минкомсвязи России «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры» (Проект 02/08/12-17/00077187 Минкомсвязь России 29.12.2017) В течение 9 месяцев после принятия закона - 26.04.2018 Проведение публичных обсуждений в отношении текста проекта. Текст проекта ФОИВ - федеральный орган исполнительной власти; КИИ -  критическая информационная инфраструктура; РФ - Российская Федерация; госконтроль - государственный контроль; ГосСОПКА - государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

  • 24 Октября 2017 » Штрафы за неуведомление об изменении названия и/или адреса оператора персональных данных
    Подписан на информационные рассылки портала garant.ru и в очередной из них встретил интересный комментарий к вопросу о том, что делать организации (являющейся оператором персональных данных), если она своевременно не уведомила Роскомнадзор об изменении своего наименования или адреса? Итак, из п. 1 ч. 3 ст. 22 152-ФЗ следует, что уведомление, направляемое оператором персональных данных (вот тут можно освежить в памяти случаи, когда такое уведомление не требуется) в Роскомнадзор в том числе должно содержать наименование и адрес оператора, т.е. направлять их обязательно. В соответствии с “Методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения” (утверждены Приказом Роскомнадpора от 30 мая 2017 г. N 94): 4.1. В случае изменения ранее представленных сведений оператор в течение 10 рабочих дней с момента возникновения таких изменений направляет в уполномоченный орган по защите прав субъектов персональных данных Информационное письмо. Значит, уведомить об изменении адреса и/или наименования надо в течение 10 дней. Наказание же за непредставление или несвоевременное представление данных сведений предусмотренно ст. 19.7 КоАП РФ: влечет предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 рублей; на должностных лиц - от 300 до 500 рублей; на юридических лиц - от 3 000 до 5 000 рублей. При это не важно, когда именно произошли изменения, так как в своё время Верховный суд разъяснил, что: В случае совершения административного правонарушения, выразившегося в форме бездействия, срок привлечения к административной ответственности исчисляется со дня, следующего за последним днем периода, предоставленного для исполнения соответствующей обязанности. и ещё (там же): ...необходимо иметь в виду, что днем обнаружения длящегося административного правонарушения считается день, когда должностное лицо, уполномоченное составлять протокол об административном правонарушении, выявило факт его совершения. При этом ч. 3 ст. 4.5 КоАП РФ указывает: За административные правонарушения, влекущие применение административного наказания в виде дисквалификации, лицо может быть привлечено к административной ответственности не позднее одного года со дня совершения административного правонарушения, а при длящемся административном правонарушении - одного года со дня его обнаружения. [box type="info" style="rounded"]UPD. 24.10.2017 Несмотря на то, что данную ч. 3 ст. 4.5 КоАП можно трактовать двояко (можно прочесть, что речь только про правонарушения, влекущие дисквалификацию, а можно прочесть так, что речь про любые длящиеся правонарушения), как корректно подсказал в Facebook Михаил Емельянников, уместнее будет сослаться всё же на ч.1 той же статьи: Постановление по делу об административном правонарушении не может быть вынесено по истечении двух месяцев (по делу об административном правонарушении, рассматриваемому судьей, - по истечении трех месяцев).[/box] Таким образом, не важно: уведомить Роскомнадзор с опозданием самостоятельно либо дождаться, пока факт непредоставления сведений об изменениях выявит какой-то ответственный чиновник из Роскомнадзора, - в любом случае никакой поблажки за исковую давность быть не может и в течение года трёх месяцев может быть наложен штраф, разве что (но это только моё личное мнение) из допустимой вилки штрафов скорее применят наименьшую. Мне больше импонирует законопослушность и уведомление Роскомнадзора с опозданием - это закрытие вопроса (пусть и со штрафом), что лучше, чем некая висящая неопределённость. Впрочем, возможно, у вас другое мнение. Можно его высказать в опросе (прямая ссылка, если форма ниже не видна). Загрузка... Ну, и на закуску: таблица Ответственность за нарушение закона о персональных данных (по состоянию на сегодня).

  • 20 Октября 2017 » Check Point Security Day 2017
    На этой неделе компания Check Point провела очередную конференцию в популярном нынче формате Security Day. По информации от самого вендора регистраций набралось 1100+. Контент был для подобного рода мероприятий вполне типичным. Пишу так не для того, чтобы коллег из Check Point обидеть, а чтобы как раз другие не обижались =) Отличительных особенностей я бы отметил две. Во-первых, были действительно красивые фотографии и видеоролики в первых презентациях вводной секции. Дело вкуса, конечно, но визуальная составляющая материалов Check Point мне всегда импонировала. Материалы будут выложены, но так как анимация в PDF не передаётся, всю красоту оценить уже не получится, к сожалению. Второй (а по значимости, видимо, всё же первой) изюминкой стала презентация в стиле “One more thing…” информации о том, что Check Point “перестал быть совершенно иностранным вендором”. Под аплодисменты зала продемонстрировали скрывавшиеся на сцене под покрывалом всё это время первые устройства, произведённые в России. [caption id=”attachment_11169” align=”aligncenter” width=”960”] Фото из Facebook Василия Дягилева (Check Point)[/caption] Кратко: производство сборочное; в 2017 модели 2200, 13500, 4800 и 12600, в первой половине 2018 - вся линейка; дешевле не станет. Подробности, например, тут. Основную часть докладов, проходившую в три потока (и включавшую презентации от VMware, Microsoft, IXIA и даже Сisco) после обеденного перерыва, я уже не застал, так что могу ещё поделиться разве что впечатлением от раздаточных материалов - хорошо, что немного, и неожиданно приятно, что вообще всем (без лотерей и прочих глупостей) достался внешний аккумулятор. Похоже, эпоха флешек в раздаточных пакетах окончательно проходит =) [caption id=”attachment_11171” align=”aligncenter” width=”1024”] Подарок от Check Point[/caption] Коллегам из Check Point спасибо за мероприятие и удачи!

  • 17 Октября 2017 » [майндкарта] Диаграмма связей ФЗ о Коммерческой тайне
    По приглашению Академии Информационных Систем рассказывал вчера про законодательство в области коммерческой тайны. Для собственного удобства и для удобства слушателей подготовил майндкарту Федеральнго закона от 29 июля 2004 г. N 98-ФЗ “О коммерческой тайне” (с изменениями и дополнениями в самой свежей на сегодня редакции от 12 марта 2014 года). Майндкарта в формате PDF доступна по этой ссылке. [caption id=”attachment_11154” align=”aligncenter” width=”1024”] 98-ФЗ (ред. от 12.03.2014)[/caption] В качестве иллюстрации применения данного Федерального закона на практике рассмотрели два судебных решения в отношении двух очень схожих ситуаций: сотрудника увольняют за разглашение коммерческой тайны путём отправки информации на внешний почтовый ящик. При этом в одном случае суд признаёт увольнение законным, а в другом требует восстановить сотрудника в должности, выплатить заработную плату за время вынужденного прогула и даже компенсацию морального вреда: Апелляционное определение Московского городского суда от 20 августа 2014 г. N 33-33182-14 Определение СК по гражданским делам Приморского краевого суда от 24 июня 2013 г. по делу N 33-5273 Почему такие разные решения? Во втором случае сотрудник отправлял всё себе на личный адрес и работодатель не сумел доказать факт разглашения информации, составляющей коммерческую тайну, третьим лицам. [box type=”info” style=”rounded”]UPD. 27.10.2017 Важное дополнение: Конституционный Суд РФ считает, что в случае, если сотрудник отправляет информацию, касающуюся компании – работодателя с корпоративной почты на свой личный почтовый ящик, он тем самым создает условия для ее неконтролируемого использования. Соответственно, если работник нарушил локальные акты организации, исключающие отправку конфиденциальной информации на личную почту, то за это он может быть привлечен к дисциплинарной ответственности. Причем вне зависимости от того, было ли установлено ее разглашение третьему лицу или нет.[/box] Для всех, кто дочитал (надеюсь, это было не очень сложно ;-) ) пост до конца, привожу ссылку на майндкарту в редактируемом формате .mm, открыть его можно свободной бесплатной программой для создания диаграмм </wbr>связей FreeMind. Если понравился пост, можно поставить лайк моей странице в Facebook, подписаться на обновления в Twitter, присоединиться к паблику ВКонтакте либо подписаться на канал в Telegram (пока его не заблокировали ;-) ).  

  • 06 Октября 2017 » [HowTo] Как обновить macOS через команды в Терминале?
    Замечено, что при плохом (медленном) Интернет-соединении и большом размере обновлений штатное графическое приложение macOS может существенно “подтормаживать” и нередко прерывает процесс скачивания обновления (например, операционной системы) без возможности его возобновить - процесс приходится запускать заново. [caption id=”attachment_11125” align=”aligncenter” width=”1024”] Нет доступных обновлений[/caption] В таких случаях будет полезно воспользоваться возможностями Терминала (командной строки). В большинстве ситуаций достаточно будет вот таких простых команды: Проверка доступных обновлений: softwareupdate -l   Установка всех доступных обновлений: sudo softwareupdate -ia   Более подробную справку про утилиту softwareupdate можно получить командой: softwareupdate -h

  • 06 Октября 2017 » Кто отвечает за убытки при доступе к Мобильному банку с дубликатом SIM-карты?
    Не буду долго в худших традициях SEO-копирайтинга ходить вокруг да около. С точки зрения Верховного суда РФ (ВС РФ) ответственность за убытки пользователя из-за получения злоумышленниками доступа к его «Мобильному банку» с помощью дубликата SIM-карты несёт оператор связи. Именно такой подход приводит ВС РФ в своём свежем Обзоре судебной практики по делам, связанным с защитой прав потребителей финансовых услуг: Выдача (замена) сим - карты является услугой связи. Оператор мобильной связи несет ответственность за неправомерные действия по выдаче дубликата сим - карты с абонентским номером пользователя другому лицу, последствием которых является получение таким лицом доступа к банковским счетам гражданина, использующего этот абонентский номер с подключением к нему услуги «мобильный банк». В качестве иллюстрации приведён вот такой случай (выдержка): Ш. обратилась в суд с иском к банку и оператору мобильной связи (далее – оператор связи) о защите прав потребителя, в котором просила признать незаконными действия оператора связи по передаче третьему лицу сим-карты и смс-сообщений по ее абонентскому номеру подвижной телефонной связи, взыскать солидарно с ответчиков незаконно списанные с ее банковского счета денежные средства, взыскать с банка проценты на эту сумму, взыскать с оператора связи денежные средства, незаконно списанные с ее абонентского лицевого счета, взыскать с ответчиков неустойку за отказ удовлетворить требования потребителя в добровольном порядке, компенсацию морального вреда и штраф. В декабре 2013 года оператор связи выдал неустановленному лицу дубликат сим-карты с ее абонентским номером, вследствие чего находящаяся у истицы сим-карта перестала обслуживаться. По заявлению истицы оператор связи произвел замену сим-карты. В результате выдачи дубликата сим-карты оператором неустановленному лицу сим-карта истца не обслуживалась менее суток до момента получения истицей новой сим-карты. При этом неустановленное лицо получило возможность пользоваться услугами связи с абонентского номера истицы, оплата которых производилась путем списания денежных средств с ее абонентского ли цевого счета. Кроме того, неустановленное лицо получило доступ к управлению ее банковским счетом и одноразовым паролям на списание денежных средств с банковского счета. За указанный период денежные средства были переведены с ее банковского счета на счета третьих лиц, а также за ее сче  были оказаны услуги связи третьим лицам. Разрешая спор и отказывая в удовлетворении исковых требований к банку, судебные инстанции сослались на то, что банк предоставил истице услуги по договору обслуживания международной карты и банковского вклада надлежащим образом, поскольку операции перевода денежных средств совершались банком на основании распоряжения клиента, направленного посредством услуги дистанционного доступа. Отказывая в удовлетворении иска к оператору связи, суд с ослался на недоказанность причинно-следственной связи между заменой сим-карты и хищением денежных средств, на недоказанность вины оператора связи, поскольку выдача дубликата сим-карты была произведена коммерческим представителем, за что оператор связи не несет ответственности, так как данные сервисные услуги не относятся к услугам связи и не предусмотрены договором об оказании услуг, заключенным между истицей и оператором связи, равно как и правилами оказания услуг подвижной связи. Однако, Судебная коллегия по гражданским делам Верховного Суда Российской Федерации признала, что выводы судов сделаны с нарушением норм материального и процессуального права: Согласно п. 2 Правил оказания услуг подвижной связи: абонентом является физическое лицо (гражданин) или юридическое лицо, с которым заключен договор об оказании услуг подвижной связи при выделении для этих целей абонентского номера или уникального кода идентификации; абонентским номером – номер, однозначно определяющий (идентифицирующий) подключенную к сети подвижной связи абонентскую станцию (абонентское устройство) с установленной в ней сим - картой; сим-картой – карта, с помощью которой обеспечивается идентификация абонентской станции (абонентского устройства), ее доступ к сети подвижной связи, а также защита от несанкционированного использования абонентского номера. Таким образом, сим-карта.... является неотъемлемым элементом предоставления услуги подвижной телефонной связи, обеспечивающим подключение и доступ к сети подвижной связи абонентского устройства, его идентификацию и защиту от несанкционированного использования абонентского номера. При этом сим-карта (электронный носитель информации) помимо информации, обеспечивающей выполнение указанных выше функций, может содержать дополнительную информацию об абоненте, его телефонных переговорах и коротких текстовых и иных сообщениях, в частности телефонную книгу абонента, списки входящих (исходящих) вызовов и сообщений, тексты коротких текстовых сообщений (смс-сообщений), сведения о подключенных услугах и т.д. Одновременно с выдачей (заменой, восстановлением) сим-карты происходит передача соответствующей информации, а также обеспечивается возможность доступа к сети подвижной связи с соответствующего абонентского номера, возможность получения входящих на этот номер сообщений, в том числе одноразовых паролей подтверждения, а также возможность использования подключенных к этому номеру услуг. Что ж, вполне разумный подход Верховного Суда. Ну, а, собственно, в свете последних законодательных инициатив: "Организатор сервиса мгновенных сообщений сможет самостоятельно идентифицировать пользователя по абонентскому номеру" "Не получится использовать фиктивные паспортные данные для заключения договоров об оказании услуг связи" действительно явно напрашивается ужесточение контроля процессов выдачи SIM-карт и их дубликатов. Так, глядишь, и получим тот самый "вход в Интернет по паспорту", правда через дополнительную привязку к абонентскому номеру.

  • 02 Октября 2017 » [промо] Вводный курс Инфраструктура Открытых Ключей (PKI)
    Много лет назад, когда я только знакомился с прекрасным миром инфраструктуры открытых ключей (Public Key Infrastructure), в качестве вводного в новую для меня тематику материала пришлось использовать (ничего другого не было) какую-то брошюру страниц на 50 (если не меньше) не самого мелкого шрифта, название и авторов которой уже и не вспомню. Зато отлично помню, как я продирался через абзацы новых терминов и объяснения, приведённые скорее для тех, кто уже “в теме”, чем для тех, кто только-только вникает в суть. Отдельные разделы перечитывал несколько раз, вновь и вновь ловя ускользающую мысль авторов. В итоге, во многом благодаря упорству и тому, что было кому задать вопросы, базовые основы PKI фактически заучил на много лет вперёд, но будь у меня тогда выбор, конечно, с удовольствием бы изучал новую для себя предметную область на более доступно и понятно изложенном материале. В наш век всеобщей информатизации, к счастью для современных специалистов, такого острого недостатка в информации нет: онлайн доступна масса ресурсов с учебными курсами на любой вкус. Правда, есть другая проблема - какой именно курс выбрать? Специально не изучал доступные сегодня курсы по Инфраструктуре Открытых Курсы, но, встретив в ленте друга Facebook информацию о курсе Инфраструктура Открытых Ключей (PKI). Часть № 1., заинтересовался и попросил у его автора Леонида Шапиро промокоды для читателей блога ZLONOV.ru Леонид любезно согласился и предоставил 30 промокодов со скидкой 29% ($25 вместо $35): PKI-N1-25-FOR-AK Пользуясь возможностью, сам также прослушал курс. Так что теперь могу рекомендовать его не только потому, что лично давно знаком с Леонидом, но и по итогам собственного впечатления. Курс является вводным: "Часть №1" в названии неспроста, так что ждём продолжения. Пара слайдов из курса для иллюстрации: [caption id="attachment_11109" align="aligncenter" width="1024"] Двухровневая модель УЦ (из курса Инфраструктура Открытых Ключей (PKI). Часть № 1)[/caption] [caption id="attachment_11110" align="aligncenter" width="1024"] Варианты защиты секретного (закрытого) ключа (из курса Инфраструктура Открытых Ключей (PKI). Часть № 1)[/caption] В первой части даны именно теоретические и именно основы, но даны они методологически грамотно, с учётом богатого преподавательского опыта автора. Так что начало положено отличное! Пожалуй, к недостаткам курса можно было бы отнести несоответствие используемой в нём терминологии и тех терминов, что фигурируют в законодательстве Российской Федерации. С другой стороны, "закрытый и открытый ключ" гораздо понятнее, чем "ключ электронной подписи и ключ проверки электронной почты": [caption id="attachment_11111" align="aligncenter" width="953"] Электронная подпись и термины из 63-ФЗ[/caption] Картинка выше - из моей презентации на Код ИБ в Новосибирске. Помню, как вместе с аудиторией сравнивали простоту восприятия: "сертификат ключа проверки электронной подписи" и "сертификат открытого ключа". Полагаю, итоги сравнения очевидны =) В заключение - прямая ссылка для получения скидки: https://www.udemy.com/pki-no-1/?couponCode=PKI-N1-25-FOR-AK Если решитесь, удачи вам в изучении PKI!

  • 28 Сентября 2017 » Неслучившийся удобный доступ к реестру запрещённых сайтов
    Приказом Роскомнадзора №100 от 9 июня 2017 года был утверждён: Порядок доступа к информации, содержащейся в единой автоматизированной информационной системе «Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» Проще говоря - порядок доступа к Реестру запрещённых сайтов. Порядок доступа предполагается такой: Уполномоченным федеральным органам исполнительной власти и правоохранительным органам: круглосуточно на основании обращений (запросов) посредством создания учетных записей в реестре. Операторам связи: круглосуточный автоматический доступ (порядок предоставления установлен приказом Роскомнадзора от 21.02.2013 №169). Интернет-пользователям: по запросу о конкретном доменном имени или сетевом адресе через электронную форму на сайте реестра (мне, например, нравится вот эта универсальная). Владельцу интернет-сайта: доступ предоставляется после регистрации на сайте реестра. Последний пункт меня, как владельца сайта (https://ZLONOV.ru), заинтересовал больше всего. Подождав, пока данный Приказ будет зарегистрирован в Минюсте РФ (18 августа 2017 года, Регистрационный № 47856) и вступит в законную силу (с 01 сентября 2017 года), написал запрос с просьбой пояснить, как же я могу пройти регистрацию на сайте реестра? К сожалению, ответ был быстрым, кратким и неутешительным: В настоящий момент доступ к информации из Единого реестра для владельцев сайтов в информационно-телекоммуникационной сети Интернет реализован посредством поисковой формы, размещенной на сайте https://eais.rkn.gov.ru/ на вкладке "Просмотр реестра". Консультант горячей линии по вопросам реализации статей 15.1-15.3 Федерального закона "Об информации, информационных технологиях и о защите информации" Так что удобного доступа не получилось. Ну, и из ответа так и не понятно - то ли просто не успели сделать регистрацию для владельцев сайтов, то ли вопреки Приказу Роскомнадзора не стали разделять доступ пользователей и владельцев. Впрочем, разница тут не велика. На примере другого ресурса, а именно https://regulation.gov.ru, можно убедиться, что даже года может не хватить на банальный перевыпуск сертификата для сайта, какая уж тут регистрация владельцев... [caption id="attachment_11103" align="aligncenter" width="467"] Сертификат сайта regulation.gov.ru просрочен более, чем на год[/caption]

  • 14 Сентября 2017 » Fortinet Security Day 2017
    Третий раз посетил мероприятие Fortinet Security Day (см. про 2015 год и 2016 год). Мероприятие явно прибавило, стало статуснее, как-то даже взрослее что ли. Чтобы в очередной раз подчеркнуть важность российского рынка для компании первым с докладом выступал вице-президент (Joe Sarno, VP, International Emerging, Fortinet). Посетителей было ещё больше, чем в прошлом году (со сцены прозвучала цифра - “более 550 регистраций”), место проведения было охвачено собственным оборудованием Fortinet для раздачи WiFi, скорость была отменной. Кстати, организаторы обещали в конце дня показать статистику по использованию ресурсов. К сожалению, я ушёл раньше, но, наверное, было интересно =) Если кто-то из вас видел результаты - поделитесь в комментариях. [caption id=”attachment_11077” align=”aligncenter” width=”640”] Скорость WiFi на Fortinet Security Day 2017[/caption] Коротко об успехах Fortinet (в продажах, маркетинге и финансовых показателях): [caption id=”attachment_11079” align=”aligncenter” width=”700”] Fortinet - лидер по числу проданных устройств безопасности[/caption] [caption id=”attachment_11080” align=”aligncenter” width=”700”] Сертификация (зарубежная) решений Fortinet и его конкурентов[/caption] [caption id=”attachment_11081” align=”aligncenter” width=”1024”] Финансовые показатели Fortinet[/caption] Про “горячие” темы типа безопасности интернета вещей и машинное обучение говорили и много, но тут парой фото слайдов не отделаться - лучше дождаться публикации презентаций, ну или посмотреть официальные материалы на сайте вендора. Традиционно отмечу вопросы, связанные с сертификацией. На сегодня сертифицированы 9 моделей FortiGate и виртуальное решение для VMware, они имеют сертификацию как МЭ типов А и Б четвёртого класса защищённости (ИТ.МЭ.А4.ПЗ и ИТ.МЭ.Б4.ПЗ) плюс сертификация как системы обнаружения вторжений (ИТ.СОВ.С4.ПЗ). [caption id=”attachment_11082” align=”aligncenter” width=”700”] Что сертифицировано у Fortinet?[/caption] [caption id=”attachment_11083” align=”aligncenter” width=”700”] На что сертифицированы решения Fortinet?[/caption] Отдельно было анонсировано, что в течение полутора месяцев будет представлен вариант решения с поддержкой отечественной криптографии. Суть выбранного подхода коллеги в кулуарах мне вкратце пояснили, но не думаю, что в праве публично говорить об этом сейчас. Подождём официального объявления. Кстати, свои мероприятия вендор проводит не только в Москве - например, “репетиция” столичного дня Fortinet состоялась на прошлой неделе в Уфе =) В общем, судя по увиденному мной на мероприятии, Fortinet в России всерьёз и надолго, несмотря на геополитику и прочие аспекты. Удачи коллегам!