ПД. КККК

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   ПД. КККК
RSS

ПД. КККК

Коллизии, косяки, коррупционные и криминальные схемы

<<Назад  Вперед>>Страницы: 1 2 3 4
Печать
 
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
анализ А. Лукацким доклада представителя ФСТЭК на сочинской конференции - каковы типовые недостатки, которые обнаруживает ФСТЭК при проверках :reful:

[q]

Как и, главное, когда ФСТЭК успела проверить 80 тысяч ИСПДн в части соответствия четверокнижию, я не понимаю ;-( Но интересен перечень обнаруженных недостатков. Могу предположить, что именно их и будут "искать" представители ФСТЭК при осуществлении функции госконтроля и надзора (если найдут правовые основания для проверок и обойдут требования ФЗ-294). Итак перечень таков:

* Отсутствие требований по технической защите персональных данных в ТЗ и проектной документации. Почти 100% обнаруженное нарушение - мало кто вообще в ТЗ и проекте на свою созданную когда-то систему защиты включал этот раздел, т.к. и требований-то таких раньше не было.
* Незавершенность классификации ИСПДн или ее ошибочность. Интересно на основании какого документа ФСТЭК определяет ошибочность, учитывая что за классификацию отвечает оператор ПДн, а не регулятор.
* Невыполнение работ по анализу угроз информационной безопасности. Интересно, сколько из 80 тысяч ИСПДн относилось к разряду специальных? Если это типовой сценарий, то получается, что многие классифицирует свои системы как специальные. А если большинство систем типовых, то значит и для них потребуется разработка модели угроз, несмотря на наличие базовой модели.
* Незавершенность разработки необходимого комплекта организационно-распорядительной документации. За 20 дней прочитать все документы (помимо остальных проверок) и определить незавершенность? Монстры!
* Отсутствие документов, регламентирующих порядок передачи персональных данных третьим лицам.А ФСТЭК-то тут причем? Это прерогатива РКН проверять такой вопрос. К защите ПДн он точно не относится; скорее к защите прав субъектов.
* Отсутствие необходимых мер и сервисов защиты информации. Сервисов ИБ? Прогресс однако в используемой терминологии. Скоро начнут использовать термин "аутсорсинг" ;-)
* Использование несертифицированных СЗИ. Т.е. либо проверяли по классическому четверокнижию типовые ИСПДн, либо требование по сертификации стали распространять и на спецсистемы, либо проверяемые не знали, что и когда могут проверять надзорные органы. Либо проверяли лицензиатов ФСТЭК. Но где ж их нашли столько, что у них набралось 80 тысяч ИСПДн?
* Невыполнение работ по аттестации ИСПДн. Ну это понятно ;-)
* Непринятие мер по учету машинных носителей. Ну это совсем клиника. Считать каждую флешку (а я видел варианты с наклейкой голограмм на каждую флешку) - это увеличение числа сотрудников ИБ в разы. Зато занятость населения возрастет. Все-таки большую социальную задачу решает ФСТЭК своими требованиями.
* Отсутствие в должностных регламентах ответственных лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите. А откуда это требование появилось? По ПП-781 у нас должен быть назначен всего один ответственный и, как правило, это руководитель отдела ИБ.
* Отсутствие достаточного количества квалифицированных специалистов. А сколько достаточно? В документах ФСТЭК про это ни слова. Или считается, что при лицензировании нужно минимум 2 специалиста со свидетельствами государственного образца? Но тогда получается, что либо всем надо пойти получать такое свидетельство, либо ФСТЭК проверял организации, где специалистов по ИБ вообще не было.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

анализ А. Лукацким проекта регламента проведения проверок РКН

[q]

Регламент во многом повторяет положения ФЗ-294, но есть ряд очень интересных моментов.

Во-первых, РКН решил расширить закрытый перечень оснований для плановой проверки, установленный федеральным законом, и добавил к нему еще 2 основания:

* Осуществление оператором ПДн деятельности по обработке персональных данных
* Истечение 3-х лет с момента государственной регистрации оператора ПДн.

Т.е. если этот проект будет принят, РКН получит право приходить с плановой проверкой в любой момент, а не только тогда, когда это разрешено законом.

Также расширен закрытый перечень оснований для внеплановой проверки. Теперь он пополнился двумя новыми основаниями:

* нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их ПДн
* нарушение операторами ПДн требований ФЗ-152 и иных нормативных правовых актов в области ПДн, а также о несоответствии сведений, содержащихся в уведомлении об обработке ПДн, фактической деятельности.

Опять же РКН стелит соломку под свои действия. С выходом 294-ФЗ он потерял право проверять даже внепланово, т.к. нарушение прав субъектов ПДн очень сложно притянуть к нанесению вреда жизни и здоровья и нарушению прав потребителя (об этом заявлялось и на парламентских слушаниях). И вот нате вам два новых основания, которые развязывают руки РКН по полной программе.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
:laugh: _ttp://www.fontanka.ru/2009/10/30/114/

[q]

Горожане не узнают, кто из их кумиров не платит транспортный налог. Роскомнадзор нашел в списке должников, публикуемом на сайте городского управления ФНС, вопиющее нарушение прав граждан. Средствам массовой информации, перепечатавшим перечень, разослали предупреждение. А налоговикам пригрозили жалобой в прокуратуру.

Уведомление с просьбой снять с публикации списки должников по транспортному налогу в СМИ Роскомнадзор направил 28 октября. В документе, который вывесил на всеобщее обозрение сайт "Компромат.ру", сказано, что УФНС по Петербургу, открыв доступ к списку своих должников, нарушило требования 152-го федерального закона "О персональных данных". Нарушителями могут быть признаны и печатные издания, распространившие перечень.

"Фонтанка" тоже опубликовала список должников с официального сайта УФНС, но на вопрос нашего корреспондента "А почему мы не получали уведомления?" в Роскомнадзоре ответили: "Это не ваша заслуга. Это наша недоработка".


Сообщение, как рассказал "Фонтанке" заместитель руководителя Роскомнадзора по Петербургу Герман Азерский, было направлено и в саму налоговую.

"Если служба не отреагирует на предупреждение, мы будем вынуждены обратиться в прокуратуру с заявлением", - сказал Азерский и отметил, что, внимательно проанализировав списки УФНС, его ведомство пришло к выводу: многих людей, указанных там, можно идентифицировать очень точно, хоть указаны только их ФИО.

"А это прямое нарушение прав человека. Если мы стремимся построить правовое государство, то не должны допускать таких ошибок", - считает замглавы Роскомнадзора.

В налоговой имеют противоположное мнение. В пресс-службе УФНС "Фонтанку" заверили, что пока не получали уведомления от Роскомнадзора. Однако заявили, что в их действиях нарушения закона нет: "Когда мы готовили публикацию списка, консультировались с нашей юридической службой, она ничего крамольного не усмотрела. Мы ведь не разглашаем индивидуальные данные – номера паспорта или ИНН".

Сегодня на момент выхода этого материала списки должников с сайта ФНС не исчезли. Видимо, налоговики собираются стоять на своем. Что не удивительно: публикация списков значительно повысила собираемость транспортного налога. Граждане, увидев свое имя "на позорном столбе", поспешили оплатить долги, только чтобы не быть упомянутыми на ресурсе налоговой. "Были недели, когда мы удаляли из перечня по 60 заплативших налог", - признались в УФНС.

Как прокомментировали "Фонтанке" юристы, скорее всего, налоговая инспекция все же не нарушила упомянутый закон. Ведь идентифицировать человека только по фамилии, имени, отчеству сложно - нельзя гарантировать, что в России не найдешь полного тёзку для Бархытова Виталия Захаровича, например (прим. ред. - данные выдуманы). Нарушение имело бы место, если бы инспекция в перечне указала дополнительные данные, по которым можно точно определить должника.

Но в нашем случае речь идет не о Ивановых или Петровых (хотя они тоже были среди злостных неплательщиков транспортного налога). Там были люди известные, и не только в Петербурге, своими достижениями на самых различных поприщах. Почему о правовом государстве заговорили без предваряющего "ай-яй-яй" в адрес нарушителей налогового законодательства РФ?

Напомним, впервые налоговая служба вывесила список граждан, накопивших долг по транспортному налогу в сумме свыше 100 тысяч рублей, в августе 2009 года. В перечне, среди прочих, оказались фамилии известных личностей: певцов и композиторов Александра Розенбаума и Игоря Корнелюка, председателя совета директоров ЗАО «Илим Палп» Захара Смушкина, председателя совета директоров группы компаний «Элиен» Алексея Гаккеля, генерального директора «Такси 6000000» Алексея Эвентова, известного телеведущего Дмитрия Запольского и даже почётного консула Исландии в Петербурге Магнуса Торнстенссона.

Маша Могилевская, "Фонтанка.ру"
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://lukatsky.blogspot.com/2009/11/blog-post_24.html

[q]

Экспертная оценка в наших нормативных документах по ИБ заявлена как основной (а зачастую и единственный) метод определения угроз информационным системам. Да и в других процессах ИБ он играет непоследнюю роль. Но у данного метода помимо единственного преимущества (простота реализации) есть и множество существенных недостатков:

* возможность влияния на экспертное мнение заинтересованными лицами
* при оценке случайных событий принцип "здравого смысла" неприменим
* отсутствие достаточного количества экспертов
* высокая зависимость от квалификации эксперта
* психология восприятия риска
* и т.п.

Как повысить эффективность экспертной оценки? Как придать значимость ее результатам? Ответ на эти вопрос дан давно - метод Дельфи. Суть его проста: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80%. Ключевых моментов в этом методе два:

* мы не должны ограничиваться одним-двумя экспертами - их должно быть не менее трех, а еще лучше 5-7. Только в этом случае можно говорить об эффективности метода. Один человек может ошибаться; вероятность ее для группы из пяти человек гораздо ниже.
* мы должны привлекать в группу людей, действительно обладающих компетенцией в анализируемом вопросе. Никаких свадебных генералов, включаемых в группу за их заслуги - только реально квалифицированные эксперты.

Как показывает опыт, даже при сильном разбросе оценок у нескольких экспертов, итоговое значение будет очень близко к реальному положению дел. Если же провести второй раунд оценки, предварительно ознакомив экспертов с результатам первого, то результативность метода Дельфи становится еще выше.

Существует и модификация метода, часто используемая тогда, когда эксперты не могут подкрепить свое мнение и оценки серьезными аргументами. В этой модификации берется средняя оценка после отбрасывания крайних, граничных значений.

В качестве примера возьмем вопрос о вероятности возникновения угрозы DDoS-атак на некий Интернет-сервис. В качестве экспертов пригласим сотрудников ИТ-подразделения, службы ИБ, подразделения управления рисками и парочку представителей бизнес-подразделений. Результаты работы метода Дельфи занесены в таблицу (после слэша показана оценка для модифицированного метода Дельфи с отбрасыванием крайних значений):


Из данного примера мы сразу видим все преимущества метода Дельфи. Он действительно нивелирует волюнтаризм экспертов и показывает более менее реальную оценку ситуации. Если бы мы опирались только на мнение одного эксперта, мы могли либо занизить, либо завысить реальную оценку. В данном же методе мы приходим к реальной цифре.

Однако на практике данный метод используется не так уж и часто. Все-таки он требует определенной дисциплины и умения работать в команде, что не так уж и часто встречается. Гораздо проще опираться на мнение одного единственного человека (как правило себя), полностью игнорируя мнения окружающих экспертов. Отсюда и многие пробелы/проблемы, регулярно выявляемые в области ИБ
[/q]

Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://community.livejournal.com/personal_data/64710.html :lol:

[q]

На основании обращения оператора сотовой связи ОАО «МТС», филиала в Республике Татарстан, на наличие радиопомех в сети сотовой связи, Управлением Роскомнадзора по Республике Татарстан (Татарстан), совместно с Казанским филиалом ФГУП «РЧЦ ПФО» и с участием сотрудников МВД Республики Татарстан, проведено мероприятие по установлению и пресечению работы источника радиоизлучения, создающего помехи работе другим радиоэлектронным средствам (РЭС), в том числе работе РЭС сетей сотовой связи.
По результатам проведённого мероприятия выявлена работа генератора шума, установленного в помещении серверной, принадлежащей Главному архитектурно - проектному Управлению г.Казани (ГлавАПУ), и не зарегистрированного установленным порядком в Управлении Роскомнадзора по Республике Татарстан (Татарстан).
Незаконно работающее РЭС было изъято.
На виновных за нарушения в области связи составлены протоколы об административном правонарушении в области связи в соответствии с действующим законодательством.
[/q]
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Vinni написал:
[q]
По результатам проведённого мероприятия выявлена работа генератора шума, установленного в помещении серверной, принадлежащей Главному архитектурно - проектному Управлению г.Казани (ГлавАПУ), и не зарегистрированного установленным порядком в Управлении Роскомнадзора по Республике Татарстан (Татарстан).
Незаконно работающее РЭС было изъято.
[/q]

Это уже третий случай :wink:

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

_ttp://dom.bankir.ru/showpost.php?p=2646313&postcount=285
[q]

Интересная коллизия. Сижу я сейчас на заседании Координационно-методического совета лицензиатов ФСТЭК и ФСБ Уральского федерально округа. Представитель ФСБ рассказывает про защиту ПДн и говорит, что для защиты ПДн нужна лицензия на техобслуживание. Я задаю встречный вопрос, мол, А.П. Баранов (первый зам. начальника 8 Центра ФСБ) на конференции АРБ, а также другой представитель ФСБ на Парламентских слушаниях заявил, что лицензия ФСБ на защиту ПДн для собственных нужд не требуется. Представитель свердловской ФСБ говорит, что раз нет официальных документов на эту тему, то частное мнение другого сотрудника ФСБ (даже одного из руководителей восьмерки) - это частное мнение. Мол в ПП-957 написано, что нужна лицензия ФСБ, значит надо получать.
[/q]
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009

Vinni написал:
[q]
частное мнение другого сотрудника ФСБ (даже одного из руководителей восьмерки) - это частное мнение
[/q]

Увы... Это и есть риски всего, что говорят представители регуляторов на различного рода мероприятиях и что абсолютно ничем не подтверждено документально...

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
и еще пример на эту тему

_ttp://dom.bankir.ru/showthread.php?t=96495
[q]

Специально для любителей доказывать что-то регуляторам хочу рассказать следующую историю..

Не далее, чем второго для я и еще два сотрудника нашей организации выдвинулись на встречу с техническим специалистом местного УФСБ.
Цель встречи – понять чего от нас хочет ФСБ в рамках реализации одного из ПП РФ.
Условия проведения переговоров, время ожидания данного представителя опускаю, не о том речь.

Итак, в процессе начавшегося обсуждения данного ПП РФ происходит такой диалог..

ОН: Вы должны сделать то то и то то в соответствии с п.№12 ПП…

Мы (с ПП РФ в руках): Разве? А мы понимаем этот пункт по другому.. Так то и так то..

ОН: Вы что еще спорить со мной будете? Мне сразу что ли уйти? Говорить не о чем.

После чего, видимо положительно ответив сам себе на этот вопрос, этот могучий специалист демонстративно удалился, чего мы никак не ожидали, отчего никто даже не успел открыть рот..

Итого – полчаса ожидания данного представителя, 2 мин самой беседы.
Вопросов осталось много..Как технических, так и общих..

[/q]


[q]

Это основная ошибка, которую делают в подобных случаях. Вы приезжаете на встречу или звоните задать вопрос, вам не него не отвечают, и вы же оказываетесь крайними. Любые разъяснения по любым вопросам в любом органе исполнительной власти нужно запрашивать письмом на имя руководителя вашего территориального управления.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
и еще на тему классификации :wink:

_ttp://lukatsky.blogspot.com/2009/12/blog-post.html
[q]

Лежит у меня перед глазами акт классификации одной ИСПДн, подготовленный крупным ИТ/ИБ-интегратором для одного своего заказчика. На каких исходных данных строился данный акт? Категория ПДн - 3, значение ПДн - 1. Какой итоговой класс должен быть у ИСПДн? Если следовать п.15 "Приказа трех", то класс будет К2. Ан нет... Интегратор, являющийся лицензиатом ФСТЭК и называющий себя одним из лидеров рынка защиты ПДн в России, классифицировал систему не по п.15, а по п.14, т.е. опирался на ущерб субъектам ПДн. Он здраво посчитал, что ущерб субъектам будет незначительным и поэтому класс ИСПДн будет... К3. Вот такой интересный поворот. И написано, казалось бы в приказе одно, а вывод лицензиат делает другой. А учитывая, что ФСТЭК на своих мероприятиях говорила, что все, что делают лицензиаты, делается "от имени и по поручению", то вариант становится вполне себе интересным.
[/q]
<<Назад  Вперед>>Страницы: 1 2 3 4
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   ПД. КККК
RSS

Последние RSS
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка
методическое пособие

Самые активные 20 тем RSS
Слово как улика
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
WebSite Watcher
Безопасность данных в MS Access