tag:blogger.com,1999:blog-7101910961245278683.post7854837475089738121..comments2023-12-22T13:56:19.216+03:00Comments on Рецепты безопасности от Емельянникова: Базы и банки данных в новых законах. Часть 2. Реестры фискальных операторов, фискальных носителей и ККТМихаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.comBlogger42125tag:blogger.com,1999:blog-7101910961245278683.post-72457786589320543912016-08-23T03:10:22.876+03:002016-08-23T03:10:22.876+03:00Перехитрили :)))Перехитрили :)))Anonymoushttps://www.blogger.com/profile/02084690448236429411noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-63571168760598434322016-08-22T23:41:20.369+03:002016-08-22T23:41:20.369+03:00Соглашаюсь. Но у меня в рукаве решения судов, всту...Соглашаюсь. Но у меня в рукаве решения судов, вступившие в законную силу, где конклюдентные действия заменяют согласие в письменной форме :-)<br /> Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-65846540092904670532016-08-22T18:27:25.412+03:002016-08-22T18:27:25.412+03:00> Ну, и конклюдентные действия налицо.
Согласи...> Ну, и конклюдентные действия налицо.<br /><br />Согласитесь, что в законе не написано, что это проблема владельца аккаунта :)<br />Хоть десять раз конклюдентные действия, а разрешение в письменном виде всё равно нужно.<br />Anonymoushttps://www.blogger.com/profile/02084690448236429411noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-27771076028327996412016-08-22T16:31:56.528+03:002016-08-22T16:31:56.528+03:00Я думаю, это проблема владельца аккаунта - он сам ...Я думаю, это проблема владельца аккаунта - он сам выдумал себе такой адрес. Оператор не знает, чьи это данные, достоверные ли они, не просил их указывать и т.д. Т.е. не определял цель их обработки и состав. Ну, и конклюдентные действия налицо.<br />Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-47842184799487650662016-08-22T16:18:10.500+03:002016-08-22T16:18:10.500+03:00А что, если в адресе эл. почты, которую мы любезно...А что, если в адресе эл. почты, которую мы любезно предоставляем продавцу, будет присутствовать Ф.И.О + год рождения (Ivanov_ivan_ivanovich1975@mail.ru)? <br />Разве в этом случае это не персональные данные? <br />Или в этом случае можно всё списать на конклюдентные действия, которые мы совершаем.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-10259498267617455122016-07-27T18:50:40.414+03:002016-07-27T18:50:40.414+03:00Ответов на Ваши вопросы нет. Могу лишь повторить, ...Ответов на Ваши вопросы нет. Могу лишь повторить, что писал ниже в дискуссии с СВВ - быстро и очень сыро. Я думаю, при внедрении на практике много еще чего повылезает.<br />Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-35804348047664460602016-07-27T17:44:31.751+03:002016-07-27T17:44:31.751+03:00Михаил Юрьевич спасибо за взвешенный обзор ФЗ 290....Михаил Юрьевич спасибо за взвешенный обзор ФЗ 290. Немного удивляет нарушение логики. В модели угроз (документ ФНС)одним из важнейших эффективных способов противодействия несанкционированному доступу к ККТ являетсяч контроль корпуса (по старым нормам это банальное пломбирование и мирки-пломбы для ККТ) Закон же допукает смостоятельную замену фискального накопителя (ФН)пользователем самостоятельно!Он же должен обеспечить и недопущение проникновения внутрь ККТ "третьих лиц" Каким образом и как это проконтролировать.Прописана некая процедура осмотра ККТ перед фискализацией на предмет ее исправности,при отсутствии сформулированных критериев оценки.Технические специалисты ЦТО,ранее отвечающие за ввод ККТ в эксплуатацию формально отстранены от этой процедуры.О каких эталонных версиях ПО прошивок можно рассуждать в этом случае?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-36242506149463777412016-07-20T14:28:30.646+03:002016-07-20T14:28:30.646+03:00Позиция ФСБ http://www.fsb.ru/fsb/science/single.h...Позиция ФСБ http://www.fsb.ru/fsb/science/single.htm!id=10437738@fsbResearchart.html<br />Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется.<br />Видимо уже сейчас пытаются откреститься от предстоящей головной боли.Anonymoushttps://www.blogger.com/profile/04566700900411278855noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-40549024177178318132016-07-20T14:14:20.055+03:002016-07-20T14:14:20.055+03:00Михаил Юрьевич, так уж повелось на Руси. Сначала к...Михаил Юрьевич, так уж повелось на Руси. Сначала кто то должен поле "распахать" выполнить всю самую тяжелую работу. А потом когда "урожай" созреет тут все "воронье" и слетается под лозунгом "Гуляй рванина. Воруй пока трамваи ходят..." Или я не прав? Слава богу ни в одном НПА нет явной записи "Воровство в РФ ЗАПРЕЩЕНО!!!" Anonymoushttps://www.blogger.com/profile/04566700900411278855noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-13327177398039362122016-07-20T12:16:41.335+03:002016-07-20T12:16:41.335+03:00Да, Александр, все именно так. Поэтому меня очень ...Да, Александр, все именно так. Поэтому меня очень удивляет равнодушие нашего сообщества к совершенно новым направлениям деятельности в условиях кризиса и импортозамещения. А тут такие перспективы... Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-86623360682660965482016-07-20T11:25:22.804+03:002016-07-20T11:25:22.804+03:00Спасибо. Как учили, неоднократно прочитал новый за...Спасибо. Как учили, неоднократно прочитал новый закон и пришел к выводу, что впереди реальная огромная работа всего сообщества по созданию новой системы. Меняется все! Вводятся новые структуры, новые определения. Во всяком случае, доктор - ВРЕМЯ лучше чем доктор - патологоанатом!Anonymoushttps://www.blogger.com/profile/04566700900411278855noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-74126251147912733092016-07-19T16:06:13.170+03:002016-07-19T16:06:13.170+03:00Согласие - продукт непротивления двух сторон, как ...Согласие - продукт непротивления двух сторон, как писали классики :-)<br />Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-45386757102765956222016-07-19T16:02:29.308+03:002016-07-19T16:02:29.308+03:00> И еще. Про организаторов распространения - эт...> И еще. Про организаторов распространения - это не в этом законе.<br /><br />:)))<br />Поймали, Михаил Юрьевич :)<br />Вот что бывает, когда в блогах обсуждается одновременно две похожих темы :)))<br /><br />> Неправильно поняли. Вы можете:<br /><br />Спасибо за пояснения. Тогда это и вправду выбор субъекта и все замечания снимаются.<br />Anonymoushttps://www.blogger.com/profile/02084690448236429411noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-3218255868239383532016-07-19T15:51:38.739+03:002016-07-19T15:51:38.739+03:00Неправильно поняли. Вы можете:
- не оставлять ника...Неправильно поняли. Вы можете:<br />- не оставлять никаких своих координат и скачать чек сами с ресурса в интернете или потребовать бумажный чек. Он все равно уйдет в ФНС, но без привязки к вам;<br />- дать тлф или мыло, и чек вам пришлют.<br />В любом случае, общедоступной базы чеков не будет. Ну, или пока не будет.<br />Пост - это не учебник. Это попытка привлечь внимание к чему-то важному по мнению автора. Ну, и позиция автора по этому вопросу, если она есть и изложена. А дальше - разбираться в деталях самому, если интересно. <br />И еще. Про организаторов распространения - это не в этом законе.Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-47575432504777112792016-07-19T15:45:29.918+03:002016-07-19T15:45:29.918+03:00Насколько я понял, закон как раз выбора не оставля...Насколько я понял, закон как раз выбора не оставляет. Хочешь не хочешь, указывай что-то, если я верно понял ваш блог.<br />Честно говоря, я читал закон только в части, касающейся организаторов распространения информации, так что, может быть, я что-то недопонял из вашего сообщения.<br />Anonymoushttps://www.blogger.com/profile/02084690448236429411noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-80261691901037771412016-07-19T15:40:18.706+03:002016-07-19T15:40:18.706+03:00В рассматриваемом случае ваш номер телефона знает ...В рассматриваемом случае ваш номер телефона знает продавец (вы сами ему его дали,не хотите - не давайте, закон не обязывает вас это делать), оператор и ФНС. Все. Это не данные в широком доступе. И оператор, и ФНС, и продавец, не знают, чей это конкретно номер (продавец при оплате картой может это сделать. зафиксировав картхолдера, но это уже нарушение закона). При покупке ювелирки покупателя вообще идентифицируют по полной схеме. Так что нет тут никакого нарушения прав. Это все детские игры по сравнению, например, с тем, что пользователи раскрывают о себе сами или сканированием паспорта при входе в коммерческий бизнес-центр. Мой тлф вообще на блоге лежит, и ничего, живу. Мой выбор.<br />Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-40812509112446322662016-07-19T15:33:34.184+03:002016-07-19T15:33:34.184+03:00> +79851231234 и кому конкретно наносит вред ук...> +79851231234 и кому конкретно наносит вред указанные мною в комментарии адрес и номер?<br /><br />Не всегда опубликованные данные наносят вред. Но могут нанести. Защищаются они не потому, что наносят вред, а потому что могут нанести.<br /><br />Представьте себе, если все продавцы будут знать мой номер телефона. Зачем мне это?<br />А если продавцы-мужчины будут названивать красивым девушкам-покупателям?<br /><br />В общем, здесь типичное и очень серьёзное нарушение конфиденциальности.<br />Сейчас мой номер телефона знает не так много людей.<br />Теперь его будут знать или смогут легко узнать сотни.<br /><br />Это само по себе вред с точки зрения ИБ. Я оставляю очень много информации, причём достаточно существенной информации.<br /><br />Если серьёзно, то я бы сказал, что вместо номера или e-mail, можно было бы оставлять хещ. Возможно, это было бы гораздо проще, но хоть как-то защищало бы человека (хотя всё равно перебрать можно, но это хоть делать надо).<br />Anonymoushttps://www.blogger.com/profile/02084690448236429411noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-83343319969700697182016-07-19T15:29:54.606+03:002016-07-19T15:29:54.606+03:00Александр, при всем желании прояснить не могу, не ...Александр, при всем желании прояснить не могу, не уполномочен. Как видите, наши мнения даже с Сергеем Викторовичем разошлись. Думаю, надо ждать НПА, который все прояснит или еще больше запутаетМихаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-7401970724365563462016-07-19T15:23:58.153+03:002016-07-19T15:23:58.153+03:00Сергей Викторович, я так понимаю, новый закон созд...Сергей Викторович, я так понимаю, новый закон создает новый условия деятельности. Ни про какую комиссию в нем ничего нет. Значит, ждем. Или появится новый документ и отменят старый, или появится новый, а стапрый отменит забудут (что тоже часто бывает, вот недавно ФСБ порадовало своим мнением про документы 2008 года, фактически отмененные в 2012), либо в НПА под закон появится комиссия. Мудрость про шаха, ишака и Насреддина никто не опроверг :-)Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-30426070436928462202016-07-19T15:19:24.663+03:002016-07-19T15:19:24.663+03:00Сергей, Вы сильно перегибаете палку. Во-первых, чт...Сергей, Вы сильно перегибаете палку. Во-первых, что такое "косвенная идентификация"? Я либо знаю, кому принадлежат данные, либо нет. Скажите, как Вы "косвенно идентифицируете" обладателя адреса мыла abc@mail.ru или номера тлф +79851231234 и кому конкретно наносит вред указанные мною в комментарии адрес и номер? И никакие права граждан здесь не нарушаются. В чем конкретно это нарушение, каков вред? У нас масса случаев в законах, когда данные становятся общедоступными. А здесь даже общедоступности нет, чек передается покупателю, оператору и в налоговую. Я не вижу в этом для покупателя никаких проблем. Для продавца их больше, потому что указана его фамилия и место работы, но и это прямо предусмотрено законом. Не хотите - не идите работать продавцом.Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-56091081436234891692016-07-19T13:50:07.360+03:002016-07-19T13:50:07.360+03:00от контроля встраивания в прикладных системах никт...от контроля встраивания в прикладных системах никто не отказывался пока.<br />судя по вашему комментарию, у вас продукт функционально был vpn - это само по себе является скзи, поэтому позиция регулятора такая, что надо сертифицировать целиком.<br />в остальных случаях типа "невходящий в состав операционок софт, использующий криптобиблиотеки", процедура оценки влияния программных средств до сих пор существует. <br />правда по факту обычно никем в современности не применяется.<br />pushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-49174388273132404512016-07-19T11:38:27.812+03:002016-07-19T11:38:27.812+03:00Михаил Юрьевич, есть такой любопытный документ: ПР...Михаил Юрьевич, есть такой любопытный документ: ПРОТОКОЛ N 4/69-2002<br />ЗАСЕДАНИЯ ГОСУДАРСТВЕННОЙ МЕЖВЕДОМСТВЕННОЙ ЭКСПЕРТНОЙ КОМИССИИ ПО КОНТРОЛЬНО-КАССОВЫМ МАШИНАМ от 25 июня 2002 года. Старый, но действующий. Там полностью определен порядок экспертизы ККТ с фискальным накопителем и даже указаны конкретные уполномоченные организации, которые проверяют криптографию...<br />vsvhttps://www.blogger.com/profile/12779372237305726132noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-63741669581388952252016-07-19T10:57:33.205+03:002016-07-19T10:57:33.205+03:00Поддержу Михаила Юрьевича. Вспомним классику: &quo...Поддержу Михаила Юрьевича. Вспомним классику: "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу". Значит, если номер телефона стоит рядом с фамилией (определенное лицо, то есть оно уже определено), то это получается в совокупности персональные данные. По телефону сделать вывод об определяемом (то есть еще неизвестном, но которое можно по этой информации определить) лице - нельзя. <br /><br />Михаил Юрьевич, еще пока не ясно кто будет уполномоченным по ведению реестра кктvsvhttps://www.blogger.com/profile/12779372237305726132noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-30828133221753210352016-07-18T23:42:27.535+03:002016-07-18T23:42:27.535+03:00> будут персональные данные покупателя, такого ...> будут персональные данные покупателя, такого требования в законе нет –размещаемый на кассовом чеке абонентский номер либо адрес электронной почты покупателя персональными данными не является<br /><br />На самом деле, если смотреть не какую-то мифическую редакцию Роскомнадзора, а реально действующий Закон, то и e-mail, и номер телефона являются персональными данными как минимум, пока не доказано, что они не используются только одним лицом.<br /><br />А уж если на чеке из организации розничной продажи - типичная косвенная идентификация и данные, относящиеся к косвенно идентифицированному лицу.<br /><br />Права граждан нарушаются напропалую, но, при этом, считается, что всё нормально, никаких персональных данных нет.<br />Anonymoushttps://www.blogger.com/profile/02084690448236429411noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-30401582226489082522016-07-18T19:03:10.035+03:002016-07-18T19:03:10.035+03:00А что делать с ККТ с функцией шифрования? И в зако...А что делать с ККТ с функцией шифрования? И в законе предусмотрено, что экспертные организации занимаются и ККТ, и техсредствами оператора, т.е. это одна организация по закону. Кроме того, функционирование СКЗИ вовсе не гарантирует работоспосбность всего изделия (ФН) и обработка возможна в обход СКЗИ, о чем я писал. Никакой Государственной межведомственной экспертной комиссии по ККМ в законе нет, схема иная: выпуск, экспертиза по методике ФНС, включение ККТ в реестр ФНС. Шифрование есть, сертификация и ФСБ не упоминаются. <br />В общем, как я писал, - сыро и быстро.Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.com