100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №32 "Роскомнадзор имеет право проводить плановые проверки по теме персональных данных"06.04.2009 10:44
Миф №33 "Вирусы опасны, потому что их десятки тысяч"16.04.2009 13:48
Подобный материал:
1   ...   21   22   23   24   25   26   27   28   ...   69

Миф №32 "Роскомнадзор имеет право проводить плановые проверки по теме персональных данных"06.04.2009 10:44


В рамках рубрики "Мнение эксперта" мы продолжаем публикацию книги А.В.Лукацкого ссылка скрыта


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Считается, что ссылка скрыта якобы имеет право осуществлять плановые проверки в области персональных данных. Это заблуждение исходит из-за целого ряда причин. Во-первых, согласно ссылка скрыта и ссылка скрыта №419 «О Федеральной службе по надзору в сфере связи и массовых коммуникаций» Роскомнадзор является органом государственного контроля и надзора, а согласно ФЗ-134 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)» такие органы имеют право проводить как плановые, так и неплановые (по фактам нарушений) проверки. Во-вторых, согласно проекта ссылка скрыта «Об утверждении методики проведения мероприятий по контролю в области защиты прав субъектов персональных данных», которое, якобы разработано в соответствии с действующими законодательными и иными правовыми актами ссылка скрыта в области персональных данных, РКН будет проводить плановые проверки. В-третьих, так и не утвержденный проект Приказа Минкомсвязи России, ФСБ России, ФСТЭК России «Об утверждении Порядка осуществления контроля и надзора за соблюдением требований законодательства Российской Федерации в области защиты персональных данных» также позволял осуществлять Роскомнадзору плановые проверки. И, наконец, сам Роскомнадзор на различных мероприятиях утверждает, что он имеет право проводить плановые проверки.

Однако законодательство надо читать чуть более внимательно. И надзорные органы не должны быть исключением. Во-первых, новое, 228-е Постановление Правительства от 16 марта этого года «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» в основном определяет права и полномочия Роскомндазора в области связи. В области же персданных это Постановление отсылает нас к ФЗ-152 (п.5.1.1.4). А этот закон в п.2 ст.23 четко говорит, что Роскомнадзор "рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение". Т.е. он только работает по сигналам со стороны субъектов ПДн. Дополнительно в п.3 ст.23 приведен закрытый перечень прав Роскомнадзора, среди которых плановые проверки вообще не значатся. Это частная норма права, которая перекрывает общую, прописанную в ФЗ-134, не говоря уже о том, что ФЗ-152 был принят после ФЗ-134.

Иногда можно услышать, что т.к. в ст.23 ФЗ-152 говорится о том, что Роскомнадзор имеет право «выполнять иные предусмотренные законодательством Российской Федерации обязанности», то это и означает право на плановые проверки в соответствие с ФЗ-134. Но и эта трактовка не совсем корректна на мой взгляд. Пункт 4-й первой статьи ФЗ-134 четко говорит, что данный закон определяет:

· порядок проведения проверок,

· права проверяемых,

· обязанности надзорных органов.

Т.е. данный нормативный акт определяет то, КАК должна осуществляться проверка, но не ПОЧЕМУ. Основания для проведения проверок как раз и определены ФЗ-152 в статье 23.

Единственный случай, когда Роскомнадзор может инициировать собственную проверку, - это проверка уведомления, поданного со стороны оператора персональных данных. Но и это не является плановой проверкой, прописанной в ФЗ-134. Как вы можете включить в план проверку, если оператор еще не подавал уведомления?

Какой вывод можно сделать из этого? Что не стоит немедленно рваться посылать уведомление в Роскомнадзор, тем самым усложняя себе жизнь. Лучше внимательно почитать ст.22 ФЗ-152 и понять, что ситуаций, когда уведомление посылать надо, не так уж и много. И, конечно, стоит привлечь грамотных юристов по гражданскому законодательству, чтобы они разъяснили многие терминологические тонкости, вытекающие из таких терминов, как, например, «договор» и т.п.

Дополнительно хочу заметить, что любые постановления правительства, не говоря уже о приказах федеральных органов исполнительной власти (которые имеют неочевидное применение за рамками самого принявшего их ведомства), являются актами подзаконными, которые не могут противоречить или нарушать федеральное законодательство. Правда, вынести вердикт об их незаконности может только суд. Готовы ли вы к этому?

PS. Данная точка зрения, основанная на простом чтении законов, не находит понимания у наших регуляторов.

PPS. А число проверок Роскомнадзора растет.

Миф №33 "Вирусы опасны, потому что их десятки тысяч"16.04.2009 13:48


В рамках рубрики "Мнение эксперта" мы продолжаем публикацию книги А.В.Лукацкого ссылка скрыта


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Если посмотреть на презентации, статьи, сайты всех антивирусных компаний, то вы увидим ужасающую картину – число записей в базах антивирусов измеряется сотнями тысяч (см. Рис. 1). Из чего многие впечатлительные пользователи делают вывод, что в Интернете на каждом углу им грозит беда и их подстерегает опасность.

Однако реальность немного отличается и от мнения рядовых пользователей и от заявлений многих антивирусных компаний (но я ни в коем случае не утверждаю, что вирусов совсем нет). Если вы абсолютно новый и незащищенный компьютер выставите в Интернет, то через пару недель вы увидите потрясающую вещь – ваш компьютер по-прежнему не заражен никаким вирусом. Вы начинаете пользоваться электронной почтой с ограниченным кругом ваших друзей и опять чудо – вы по-прежнему не заражены. Вы стали регулярно посещать 5-10 интересных вам сайтов и снова ничего. Что же случилось? Почему вас не заразили? При объеме антивирусных баз в сотни тысяч записей вероятность вашего заражения является очень высокой. Если бы не несколько но…



Рис. 1. Рост числа сигнатур вредоноcных программ, добавленных в базы Лаборатории Касперского

Во-первых, большинство вирусов похожи на коллекции модной одежды «haute couture». Они создаются в единственном экземпляре, в реальной жизни не используются и хранятся только в коллекциях антивирусных компаний. Например, кто-то написал вирус и прислал его в производителю антивируса. В середине 90-х годов я сам собирал такую коллекцию, но остановился на нескольких тысяч экземпляров и бросил эту затею. Собрать все вирусы невозможно, т.к. они представляют собой бесконечное множество. Гораздо важнее, какие из этих вирусов появляются в реальной жизни у обычных пользователей. И оказывается, что таких вредоносных программ не так уж и много. В специально собираемом и регулярно обновляемом списке ссылка скрыта, по которому и проводится тестирование антивирусов, таких вирусов всего 297 (в версии от декабря 2008 года). Сравните – 297 против, например, 473957 в базе Dr.Web (см. Рис. 2). Соотношение 1 к 1600.



Рис. 2. Число записей в антивирусной базе Dr.Web

Но и это еще не все. Вероятность заражения зависит и от других причин. Например, от активности пользователя в различных видах коммуникаций – Интернет, электронная почта, флешки, CD и т.п. В качестве примера возьму мою маму, которая использует Интернет для посещения пары десятков сайтов с фантастикой. Все! Никакой почты, никаких флешек, никаких компакт-дисков! И никаких заражений!

Но и это еще не все. Заражение вас вирусом зависит еще и то того, с какой платформы я выхожу в Интернет. Не совру, если предположу, что 99% всех существующих вирусов написано под операционную систему Windows в различных ее проявлениях. Это связано с множество факторов, одним из которых является распространенность этой операционной системы в мире. Поэтому, пользователи Windows находятся в большей опасности, чем пользователи других операционных систем; той же Linux. И не потому что для Linux вирусов нет (они существуют), а потому что количество владельцев продукции Microsoft несоизмеримо выше продвинутых пользователей открытого ПО, каким и является Linux. Например, у меня дома вообще используется MacBook с операционной системой Mac OS компании Apple. Она еще менее, чем Linux, популярна у вирусописателей, и за почти полгода активного использования MacBook я ни разу не столкнулся с вирусной опасностью.

О чем говорят все эти факты? О том, что наличие огромного количество вирусов в коллекциях антивирусных компаний еще не означает, что все они вам грозят. Вы можете замечательно прожить, ни разу не столкнувшись с вредоносными программами. И если уж вы задумались о выборе какой-либо системы защиты (для себя или для компании), то делать это надо не под влиянием рекламы производителей решений по информационной безопасности, а трезво взглянув на проблему и рассмотрев ее с разных сторон, взвесив все «за» и «против».