☝️☝️☝️ Хочу дать дополнительные разъяснения по ИБУ. Новость вызвала резонанс и обросла слухами.
И - Импортозамещение
Б - Безопасность
У - Устойчивость
https://www.fontanka.ru/2020/06/28/69338854/
✅ Нет проблемы в американском сервисе Cloudflare как таковом. Мы живем в глобальном мире и надо привыкать, что можно пользоваться глобальными сервисами. А это хороший, надёжный глобальный сервис
👉 конституция2020.рф — это простенькая страничка о голосовании. Никаких персональных данных она не собирает и голосование не осуществляет. Однако, она содержит официальную информацию о голосовании и ссылки. За полгода сменил три хостинга — beget, netangels, ru-center. Видимо размещен на shared-хостинге. Это тоже нормально. Для обычных сайтов. Когда стоимость «взлома» сайта больше стоимости результата… Насколько чувствительна информация на сайте конституция2020.рф… ну-у-у… я не знаю. Да чего там, голосования по каким-то там изменениям в какую-то Конституцию какой-то там страны… Эка ценность!
👉 Cloudflare — отличный американский транснациональный сервис защиты от атак со всякими удобными дополнениями. Базовый функционал бесплатен. Основа защиты — пропуск трафика на сайт через специальные фильтры Cloudflare на серверах Cloudflare. Особенность в том, что в некоторых конфигурациях это позволяет Cloudflare чисто теоретически вмешиваться в трафик. Хотя, это будет гранд-скандал, который скорее всего будет стоить Cloudflare существования. На конституция2020.рф именно такая конфигурация.
👉 ИБУ — закон 90 ФЗ от 01 мая 2019 года обеспечении устойчивости, целостности и безопасности российского сегмента интернета. Включает в себя полный контроль за трафиком со стороны государства, управление трафиком, госзащиту от угроз, в том числе от вмешательства в выборы и разрушительных твитов. Весь закон построен, согласно пояснительной записке, в пику недружественных действий некоторых стран, в первую очередь США
👉 КИИ — экосистема федерального закона «О безопасности критической информационной инфраструктуры России» от 26 июля 2017 года № 187-ФЗ. К объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики и банковской, оборонной, горнодобывающей, металлургической и химической промышленности. Объекты КИИ и сети связи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры. Это «вселенная» со своей иерархией нормативов.
☝️ В чем тогда проблема и ирония? Вкратце — орать официально и публично на весь мир пару лет про ИБУ Рунета, создать свою вселенную КИИ сломать ради ИБУ всё внутри (пока только в процессе)... И тот самый сайт, который имеет смысл под ИБУ и КИИ пихнуть — разместить в сервис оскверняемого вероятного противника (США), ради защиты от которого весь ИБУ придуман. И ладно там речь бы шла о технологическом оборудовании, для которого земля проклятая. Но нет же. Есть отечественные вменяемые сервисы, как коммерческие (Qrator, DdoS-Guard), так и государственная защита (есть защита Ростелекома для госорганов). «Сантехник Иванов недоволен» (c)
🔥🔥🔥 Трамп сейчас стучится головой о стол в Овальном кабинете и ОРЁТ!!!!! Представляете, чего ему стоит себя сдерживать?
👉 Предположу, что страничку дали сделать подрядчику через целую цепочку субподрядов. А тот делает как обычно, без учета особенностей
И - Импортозамещение
Б - Безопасность
У - Устойчивость
https://www.fontanka.ru/2020/06/28/69338854/
✅ Нет проблемы в американском сервисе Cloudflare как таковом. Мы живем в глобальном мире и надо привыкать, что можно пользоваться глобальными сервисами. А это хороший, надёжный глобальный сервис
👉 конституция2020.рф — это простенькая страничка о голосовании. Никаких персональных данных она не собирает и голосование не осуществляет. Однако, она содержит официальную информацию о голосовании и ссылки. За полгода сменил три хостинга — beget, netangels, ru-center. Видимо размещен на shared-хостинге. Это тоже нормально. Для обычных сайтов. Когда стоимость «взлома» сайта больше стоимости результата… Насколько чувствительна информация на сайте конституция2020.рф… ну-у-у… я не знаю. Да чего там, голосования по каким-то там изменениям в какую-то Конституцию какой-то там страны… Эка ценность!
👉 Cloudflare — отличный американский транснациональный сервис защиты от атак со всякими удобными дополнениями. Базовый функционал бесплатен. Основа защиты — пропуск трафика на сайт через специальные фильтры Cloudflare на серверах Cloudflare. Особенность в том, что в некоторых конфигурациях это позволяет Cloudflare чисто теоретически вмешиваться в трафик. Хотя, это будет гранд-скандал, который скорее всего будет стоить Cloudflare существования. На конституция2020.рф именно такая конфигурация.
👉 ИБУ — закон 90 ФЗ от 01 мая 2019 года обеспечении устойчивости, целостности и безопасности российского сегмента интернета. Включает в себя полный контроль за трафиком со стороны государства, управление трафиком, госзащиту от угроз, в том числе от вмешательства в выборы и разрушительных твитов. Весь закон построен, согласно пояснительной записке, в пику недружественных действий некоторых стран, в первую очередь США
👉 КИИ — экосистема федерального закона «О безопасности критической информационной инфраструктуры России» от 26 июля 2017 года № 187-ФЗ. К объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики и банковской, оборонной, горнодобывающей, металлургической и химической промышленности. Объекты КИИ и сети связи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры. Это «вселенная» со своей иерархией нормативов.
☝️ В чем тогда проблема и ирония? Вкратце — орать официально и публично на весь мир пару лет про ИБУ Рунета, создать свою вселенную КИИ сломать ради ИБУ всё внутри (пока только в процессе)... И тот самый сайт, который имеет смысл под ИБУ и КИИ пихнуть — разместить в сервис оскверняемого вероятного противника (США), ради защиты от которого весь ИБУ придуман. И ладно там речь бы шла о технологическом оборудовании, для которого земля проклятая. Но нет же. Есть отечественные вменяемые сервисы, как коммерческие (Qrator, DdoS-Guard), так и государственная защита (есть защита Ростелекома для госорганов). «Сантехник Иванов недоволен» (c)
🔥🔥🔥 Трамп сейчас стучится головой о стол в Овальном кабинете и ОРЁТ!!!!! Представляете, чего ему стоит себя сдерживать?
👉 Предположу, что страничку дали сделать подрядчику через целую цепочку субподрядов. А тот делает как обычно, без учета особенностей
❌❌❌ Небольшая поправочка про Cloudflare. Спасибо коллегам из Qrator labs за подсказку. Cloudflare имеет возможность вмешиваться и вмешивается, например, подстановкой капчи, или своих страниц ошибок, во ВСЕХ конфигурациях, подразумевающих «защиту» трафика. Совсем во ВСЕХ.
💥 Трамп взвыл в Овальном кабинете. Или подождите... А вы помните на каком сайте голосовали (если голосовали электронно)? Точно помните, что было в адресной строке? Память или скриншот? А у соседей?
💥 Трамп взвыл в Овальном кабинете. Или подождите... А вы помните на каком сайте голосовали (если голосовали электронно)? Точно помните, что было в адресной строке? Память или скриншот? А у соседей?
Поучаствовал в круглом столе «партии танчиков» про персональные данные, их защиту и роль государства в утечках. Видяшки на час совершенно не мой формат, но мне показалось, что получилось неплохо.
Посмотреть: http://youtu.be/63n9HSBc4UI
Почитать: https://digitaldem.ru/2020/06/29/tezisy-kruglogo-stola-na-temu-depersonalizacziya-dannyh-konflikt-interesov-vnutri-odnoj-golovy/
Я там немного психанул, но это прямо оживило беседу :)
Посмотреть: http://youtu.be/63n9HSBc4UI
Почитать: https://digitaldem.ru/2020/06/29/tezisy-kruglogo-stola-na-temu-depersonalizacziya-dannyh-konflikt-interesov-vnutri-odnoj-golovy/
Я там немного психанул, но это прямо оживило беседу :)
💥 Роскомнадзор начал рассылать теперь и НЕЛИЦЕНЗИАТАМ требования по приказам №№221, 222 и 223 по «устойчивому Рунету». Это приказы о предоставлении сведений в Роскомнадзор владельцами номеров автономных систем об номера автономных систем, IP-адресах, схемах сети, маршрутизации, каналах через границу, целях использования этих каналов. Вся информация должна была быть собрана к 22 мая 2020 (начиная с 01 ноября 2019). Но готовить что-то Роскомнадзор начал, судя по всему, только в марте-мае 2020 года. Вот эти приказы с историей разработки:
https://usher2.club/helpers/stable-runet-npa-list#p92592
https://usher2.club/helpers/stable-runet-npa-list#p92582
https://usher2.club/helpers/stable-runet-npa-list#p92576
‼️ Из трех нормативных равнозначных вариантов предоставления информации Роскомнадзор реализовал только через файлы XML. Формы на сайте и автоматизация пока не реализованы
👉 Слать надо всё сюда https://service.rkn.gov.ru
👽 Все данные имеют параметр обязательности. Он троичный. 1, 0 и ничего. Это такая особенность многих органов власти обязательно иметь пустые ячейки «как-нибудь». Я вижу таблицу, хочу её не заполнять, и не устоять
😱 Структура данных XML создана по пунктам приказа. Так прямо в инструкции и написано
👉 Руководства по заполнению:
https://usher2.club/docs/Guide_CMU_SSOP_20200513_221.pdf
https://usher2.club/docs/Guide_CMU_SSOP_20200513_222.pdf
https://usher2.club/docs/Guide_CMU_SSOP_20200513_223.pdf
👉 Примеры XML для тестов (как примеры заполнения они не подходят):
https://usher2.club/docs/Tester_ACT221_1_20200421_1_1.xml
https://usher2.club/docs/Tester_ACT222_1_20200421_1_1.xml
https://usher2.club/docs/Tester_ACT223_1_20200421_1_1.xml
https://usher2.club/docs/Tester_INC_1_20200421_1_1.xml
👉 Схемы XML:
https://usher2.club/docs/SSOP_ACT221_1.00.xsd
https://usher2.club/docs/SSOP_ACT222_1.00.xsd
https://usher2.club/docs/SSOP_ACT223_1.00.xsd
ℹ️ На Linux сгенерированный XML можно проверить как-то так:
🤘 Канал Ордерком рекомендует написать примерно так:
«На основании п.8.1 приказа Роскомнадзора №221 от 31.07.2019 и пункта 7.1 приказов Роскомнадзора №222 и №223 от 31.07.2019 указанные в приказах лица имеют возможность выбрать способ направления информации либо через электронную форму в личном кабинете расположенном на официальном сайте Роскомнадзора (далее Сайт), либо через выгружаемый файл XML, сформированный по прилагаемой инструкции. Эти способы, согласно текстам приказов, являются альтернативными и равнозначными. Нами был выбран вариант направления данных через личный кабинет Сайта. После детального изучения разделов Сайта – необходимые для подачи отчета разделы не были найдены.
В своем письме вы просите предоставить данные только с использованием файлов в формате XML. В связи с изложенным, просим вас разъяснить какие действия должен предпринять оператор для соблюдения требований данных приказов»
https://t.me/ordercomru/1855
https://usher2.club/helpers/stable-runet-npa-list#p92592
https://usher2.club/helpers/stable-runet-npa-list#p92582
https://usher2.club/helpers/stable-runet-npa-list#p92576
‼️ Из трех нормативных равнозначных вариантов предоставления информации Роскомнадзор реализовал только через файлы XML. Формы на сайте и автоматизация пока не реализованы
👉 Слать надо всё сюда https://service.rkn.gov.ru
👽 Все данные имеют параметр обязательности. Он троичный. 1, 0 и ничего. Это такая особенность многих органов власти обязательно иметь пустые ячейки «как-нибудь». Я вижу таблицу, хочу её не заполнять, и не устоять
😱 Структура данных XML создана по пунктам приказа. Так прямо в инструкции и написано
👉 Руководства по заполнению:
https://usher2.club/docs/Guide_CMU_SSOP_20200513_221.pdf
https://usher2.club/docs/Guide_CMU_SSOP_20200513_222.pdf
https://usher2.club/docs/Guide_CMU_SSOP_20200513_223.pdf
👉 Примеры XML для тестов (как примеры заполнения они не подходят):
https://usher2.club/docs/Tester_ACT221_1_20200421_1_1.xml
https://usher2.club/docs/Tester_ACT222_1_20200421_1_1.xml
https://usher2.club/docs/Tester_ACT223_1_20200421_1_1.xml
https://usher2.club/docs/Tester_INC_1_20200421_1_1.xml
👉 Схемы XML:
https://usher2.club/docs/SSOP_ACT221_1.00.xsd
https://usher2.club/docs/SSOP_ACT222_1.00.xsd
https://usher2.club/docs/SSOP_ACT223_1.00.xsd
ℹ️ На Linux сгенерированный XML можно проверить как-то так:
xmllint --schema SSOP_ACT221_1.00.xsd Tester_ACT221_1_20200421_1_1.xml
🔥🔥🔥 Что прямо сейчас с этим делать кому уже пришло?🤘 Канал Ордерком рекомендует написать примерно так:
«На основании п.8.1 приказа Роскомнадзора №221 от 31.07.2019 и пункта 7.1 приказов Роскомнадзора №222 и №223 от 31.07.2019 указанные в приказах лица имеют возможность выбрать способ направления информации либо через электронную форму в личном кабинете расположенном на официальном сайте Роскомнадзора (далее Сайт), либо через выгружаемый файл XML, сформированный по прилагаемой инструкции. Эти способы, согласно текстам приказов, являются альтернативными и равнозначными. Нами был выбран вариант направления данных через личный кабинет Сайта. После детального изучения разделов Сайта – необходимые для подачи отчета разделы не были найдены.
В своем письме вы просите предоставить данные только с использованием файлов в формате XML. В связи с изложенным, просим вас разъяснить какие действия должен предпринять оператор для соблюдения требований данных приказов»
https://t.me/ordercomru/1855
Да, по поводу заполнения форм Роскомнадзор делает покерфейс и поёт песню про «заполняйте XML». Мне очень нравится про «первичный сбор». Хочу что-нибудь почитать на тему первичных сборов.
Спасибо каналу Ордерком: https://t.me/ordercomru/1917
Спасибо каналу Ордерком: https://t.me/ordercomru/1917
#вещества Ахаха!!! Т.е. мяу. Тут у нас опять безопасность, целостность и устойчивость. Твиттер МИД (верифицированный) взломали и продают с него базу туристов. Давно сидим, полдня уже:
https://twitter.com/MID_travel/status/1278435529609097218
https://twitter.com/MID_travel/status/1278435529609097218
#regulation #орв Минэк выдал отрицательное заключение оценки регулирующего воздействия на законопроект Минцыфры о «бесплатном интернете»:
https://regulation.gov.ru/p/101646
Ранее Минцифра пыталась разместить законопроект без ОРВ: https://regulation.gov.ru/p/100268 А в текущем размещении НЕ УЧЛА ВСЕ отзывы на этот законопроект во время публичного обсуждения
❌ Законопроект не содержит ясной концепции
❌ Законопроект не учитывает результатов соответствующего эксперимента (да и вообще с ним не связан)
❌ Доходы операторов связи могут быть существенно снижены
❌ Нет ограничения в медиа-контенте для сайтов, как это сделано в рамках соответсвтующего эксперимента
❌ Критерии качества не определены ни действующим законодательством, ни проектом
❌ Всё вокруг реестра и информационной системы — юридическая чушь и должно быть перереработано
✅ Предлагается вернуться к вопросу после анализа результатов эксперимента
🔥🔥🔥 Заключение Минэка не упоминает спутниковый интернет, хотя в отзывах его было много и это реально проблема
Проводимый сейчас эксперимент:
https://digital.gov.ru/ru/documents/7146/
Хотя собирать сведения будут до 15 июля, а сроки подготовки отчета — до 14 августа. Но, кончено, уже публично отчитались все стороны. Битва цифр с потолка без связи с реальностью:
https://digitaldem.ru/2020/07/03/veliki-li-poteri-biznesa-ot-besplatnogo-interneta/
https://regulation.gov.ru/p/101646
Ранее Минцифра пыталась разместить законопроект без ОРВ: https://regulation.gov.ru/p/100268 А в текущем размещении НЕ УЧЛА ВСЕ отзывы на этот законопроект во время публичного обсуждения
❌ Законопроект не содержит ясной концепции
❌ Законопроект не учитывает результатов соответствующего эксперимента (да и вообще с ним не связан)
❌ Доходы операторов связи могут быть существенно снижены
❌ Нет ограничения в медиа-контенте для сайтов, как это сделано в рамках соответсвтующего эксперимента
❌ Критерии качества не определены ни действующим законодательством, ни проектом
❌ Всё вокруг реестра и информационной системы — юридическая чушь и должно быть перереработано
✅ Предлагается вернуться к вопросу после анализа результатов эксперимента
🔥🔥🔥 Заключение Минэка не упоминает спутниковый интернет, хотя в отзывах его было много и это реально проблема
Проводимый сейчас эксперимент:
https://digital.gov.ru/ru/documents/7146/
Хотя собирать сведения будут до 15 июля, а сроки подготовки отчета — до 14 августа. Но, кончено, уже публично отчитались все стороны. Битва цифр с потолка без связи с реальностью:
https://digitaldem.ru/2020/07/03/veliki-li-poteri-biznesa-ot-besplatnogo-interneta/
Forwarded from Leonid Evdokimov
О-о-о-оооо! Моя эс-ка-зэ-и!
Ламповый шифр ушедшего лета!
О-о-о-оооо! Моя эс-ка-зэ-и!
Вечный по-ГОСТ для законопроектов!
Ламповый шифр ушедшего лета!
О-о-о-оооо! Моя эс-ка-зэ-и!
Вечный по-ГОСТ для законопроектов!
Forwarded from Ivan Begtin (Ivan Begtin)
CNews пишет о том что сайт с законопроектами Госдумы скоро будет недоступен во многих браузерах поскольку использует TLS 1.0, а скоро этот стандарт передачи данных не будет поддерживаться в Firefox и других браузерах [1]
Долго думая что добавить к этой новости, не могу не вспомнить о том что, например, сайт обращений к Президенту РФ letters.kremlin.ru до сих пор не имеет своего сертификата [2]. Там только относительно недавно стал отзываться https с сертификатом от другого домена [3].
Раньше, для того чтобы, например, губернатору знать о том на что жалуются граждане Президенту, достаточно было договориться с крупнейшими местными провайдерами чтобы перехватывать все отправленные сообщение от граждан направляемые через незащищённый http протокол.
Да и сейчас, пока своего сертификата у домена нет, тоже можно, лишь чуть сложнее, но ничего нереального. Тем более что по умолчанию letters.kremlin.ru только http и поддерживает.
Но это всё, разумеется, исключительно умозрительная, нереалистичная ситуация. Конечно же, ни один губернатор, по причине высоких моральных качеств и этических принципов, не мог даже задуматься о подобном.
Ссылки:
[1] https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
[2] http://letters.kremlin.ru
[3] https://letters.kremlin.ru
#tls #ssl #https #privacy
Долго думая что добавить к этой новости, не могу не вспомнить о том что, например, сайт обращений к Президенту РФ letters.kremlin.ru до сих пор не имеет своего сертификата [2]. Там только относительно недавно стал отзываться https с сертификатом от другого домена [3].
Раньше, для того чтобы, например, губернатору знать о том на что жалуются граждане Президенту, достаточно было договориться с крупнейшими местными провайдерами чтобы перехватывать все отправленные сообщение от граждан направляемые через незащищённый http протокол.
Да и сейчас, пока своего сертификата у домена нет, тоже можно, лишь чуть сложнее, но ничего нереального. Тем более что по умолчанию letters.kremlin.ru только http и поддерживает.
Но это всё, разумеется, исключительно умозрительная, нереалистичная ситуация. Конечно же, ни один губернатор, по причине высоких моральных качеств и этических принципов, не мог даже задуматься о подобном.
Ссылки:
[1] https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
[2] http://letters.kremlin.ru
[3] https://letters.kremlin.ru
#tls #ssl #https #privacy
CNews.ru
Сайт с законопроектами Госдумы больше недоступен для пользователей Firefox. На очереди Chrome, Safari, MS Edge
Сайт ГАС «Законодательство», на котором размещены рассматриваемые Госдумой законопроекты, перестал быть доступен...
#реклама Напомню, что это необычная реклама. Я по своему самодурству размещаю рекламные посты каких-то компаний или сообществ, или сервисов. Они мне за это не платят. Ни цента, ничего
💥 Сервер, СХД или сетевое оборудование в лизинг
💡 Закажите оборудование: https://serverleasing.ru/?utm_source=e2
💥 Сервер, СХД или сетевое оборудование в лизинг
💡 Закажите оборудование: https://serverleasing.ru/?utm_source=e2
Депутаты Александр Хинштейн (председатель комитета Госдумы по инфополитике с 2020) и Сергей Боярский (сын того самого Боярского) направили в Госдуму законопроект о наказании за невыполнение обязанностей по ограничению доступа к запрещенной информации хостерами и самими сайтами. Давно ожидаемый закон, потому что пока что можно информацию не удалять даже внутри России
https://sozd.duma.gov.ru/bill/989758-7
✅ Ответственность административная. Новая статья КоАП 13.41
💥 Наказание предусмотрено И хостинг провайдерам, И владельцам ресурсов, на которых размещена информация
➡️ Штрафы физикам от 50 до 100 тысяч рублей, должностным лицам от 200 до 400 тысяч рублей, юрлицам от 800 тысяч до 3 миллионов рублей. Повторное нарушение влечет штраф физикам от 100 до 200 тысяч рублей, должностным лицам от 500 до 800 тысяч рублей, юридическим лицам от 4 до 8 миллионов рублей
➡️ Выделены определенные категории информации — порнуха, детская порнуха, наркота, экстремизм (категории не соответствуют категоризации запрещенки в существующих формулировках) — для которой увеличенные штрафы. Штрафы физикам от 100 до 200 тысяч рублей, должностным лицам от 400 до 800 тысяч рублей, юрлицам от 3 до 8 миллионов рублей. Повторное нарушение влечет штраф физикам от 200 до 500 тысяч рублей, должностным лицам от 800 тысяч до 1 миллиона рублей, юрлицам от 8 до 15 миллионов рублей
☝️ Действие статьи не распространяется на нарушение копирайта
❌ Несоразмерное деянию наказание. Заметное число юридических лиц, предоставляющих услуги хостинга, умрут от первого же штрафа. Не говоря уже о владельцах ресурсов
❌ Все описанные категории нарушителей плохо формализуемы. Общение с ними надзорного органа происходит по каналам связи, не имеющим правового статуса. «Осечки» не единичны. Существует риск регулярных огромных штрафов в результате ошибок и неточностей
❌ Интересный кейс с виртуалками и серверами. Хостера виртуалок и серверов тоже штрафовать? А как он вмешается в трафик? Прекратить оказывать услуги тоже нет оснований. Вопрос о правомерности наличия в договоре условия незамедлительного прекращения услуг аренды вычислительных мощностей по уведомлению цензора дискуссионный
‼️ Это не сейчас замечено, но некоторое время назад в законы про блокировку утвердили понятие «незамедлительно». В связи с такими штрафами значимость этого действия многократно усилилась. Как и риски, связанные с этим неправовым булшитом
❌ Не редкость, когда решения о признании информации запрещенной вызвано глупостью органов власти, желанием получить статистику (например, так работает региональная прокуратура — поставлено на поток), непрофессионализмом и пофигизмом судов. Ярчайшие примеры — запрет юморески о даче взяток (суд в итоге выигран, решение о запрете отменено), запрет научного труда об этнографии (суд в итоге выигран, прокуратура дала задний ход, решение о запрете отменено)
❌ Не редкость, когда запрет информации — инструмент конкурентной борьбы (например, целый ряд судов с разными истцами «о признании юридически значимых фактов» по отзывам на товары, в том числе и на Яндекс.Маркете)
❌ Это интернет, детка. Здесь закрытие чего-то даже на короткий срок, не то что на месяцы судебных разбирательств — это зачастую означает смерть проекта. Практически законопроект резко усиливает механизм блокировок как инструмент конкурентной борьбы.
😱 Может создаться впечатление, конечно же ложное, что инструмент конкурентной борьбы и есть настоящая цель законопроекта. Невозможно же предположить дремучую глупость и недальновидность, или хайпожорство столь уважаемых авторитетных авторов
https://sozd.duma.gov.ru/bill/989758-7
✅ Ответственность административная. Новая статья КоАП 13.41
💥 Наказание предусмотрено И хостинг провайдерам, И владельцам ресурсов, на которых размещена информация
➡️ Штрафы физикам от 50 до 100 тысяч рублей, должностным лицам от 200 до 400 тысяч рублей, юрлицам от 800 тысяч до 3 миллионов рублей. Повторное нарушение влечет штраф физикам от 100 до 200 тысяч рублей, должностным лицам от 500 до 800 тысяч рублей, юридическим лицам от 4 до 8 миллионов рублей
➡️ Выделены определенные категории информации — порнуха, детская порнуха, наркота, экстремизм (категории не соответствуют категоризации запрещенки в существующих формулировках) — для которой увеличенные штрафы. Штрафы физикам от 100 до 200 тысяч рублей, должностным лицам от 400 до 800 тысяч рублей, юрлицам от 3 до 8 миллионов рублей. Повторное нарушение влечет штраф физикам от 200 до 500 тысяч рублей, должностным лицам от 800 тысяч до 1 миллиона рублей, юрлицам от 8 до 15 миллионов рублей
☝️ Действие статьи не распространяется на нарушение копирайта
❌ Несоразмерное деянию наказание. Заметное число юридических лиц, предоставляющих услуги хостинга, умрут от первого же штрафа. Не говоря уже о владельцах ресурсов
❌ Все описанные категории нарушителей плохо формализуемы. Общение с ними надзорного органа происходит по каналам связи, не имеющим правового статуса. «Осечки» не единичны. Существует риск регулярных огромных штрафов в результате ошибок и неточностей
❌ Интересный кейс с виртуалками и серверами. Хостера виртуалок и серверов тоже штрафовать? А как он вмешается в трафик? Прекратить оказывать услуги тоже нет оснований. Вопрос о правомерности наличия в договоре условия незамедлительного прекращения услуг аренды вычислительных мощностей по уведомлению цензора дискуссионный
‼️ Это не сейчас замечено, но некоторое время назад в законы про блокировку утвердили понятие «незамедлительно». В связи с такими штрафами значимость этого действия многократно усилилась. Как и риски, связанные с этим неправовым булшитом
❌ Не редкость, когда решения о признании информации запрещенной вызвано глупостью органов власти, желанием получить статистику (например, так работает региональная прокуратура — поставлено на поток), непрофессионализмом и пофигизмом судов. Ярчайшие примеры — запрет юморески о даче взяток (суд в итоге выигран, решение о запрете отменено), запрет научного труда об этнографии (суд в итоге выигран, прокуратура дала задний ход, решение о запрете отменено)
❌ Не редкость, когда запрет информации — инструмент конкурентной борьбы (например, целый ряд судов с разными истцами «о признании юридически значимых фактов» по отзывам на товары, в том числе и на Яндекс.Маркете)
❌ Это интернет, детка. Здесь закрытие чего-то даже на короткий срок, не то что на месяцы судебных разбирательств — это зачастую означает смерть проекта. Практически законопроект резко усиливает механизм блокировок как инструмент конкурентной борьбы.
😱 Может создаться впечатление, конечно же ложное, что инструмент конкурентной борьбы и есть настоящая цель законопроекта. Невозможно же предположить дремучую глупость и недальновидность, или хайпожорство столь уважаемых авторитетных авторов
«При этом сайт Госдумы работает на базе веб-сервера Nginx. Чтобы обеспечить поддержку TLS 1.2, его необходимо пересобрать; это может занять максимум полдня» (c) Фил
https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
Судя по всему, эти полдня потрачены и сайт sozd.duma.gov.ru нормально работает. Вот что животворящий пост в телеграм-канале делает. В прошлый раз мы так починили сайт e-trust.gosuslugi.ru. Telegram channel driven troubleshooting
Так. Мне не нравится как ведёт себя regulation.gov.ru....
https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
Судя по всему, эти полдня потрачены и сайт sozd.duma.gov.ru нормально работает. Вот что животворящий пост в телеграм-канале делает. В прошлый раз мы так починили сайт e-trust.gosuslugi.ru. Telegram channel driven troubleshooting
Так. Мне не нравится как ведёт себя regulation.gov.ru....
#вещества Когда «Другой Песков» стал представителем Президента по вопросам цифр, я думал, что он хочет нам что-то донести из внутренней кухни своими странными заявлениями. Но время показало, что всё, что он говорит, не соприкасается с реальностью. Вообще не соприкасается. Все его речи и заявления являются обычно его личными мнениями и фантазиями в рамках какого-то вымышленного мира и воображаемых друзей. Но если вы хотели подавиться обедом, то почитайте и про отработанно неработающую процедуру оценки регулирующего воздействия, и про переизобретение оценки фактического воздействия, и про каменный топор в национальных интересах:
https://tass.ru/interviews/9016753
https://tass.ru/interviews/9016753
ТАСС
Cпецпредставитель президента: "цифровые страхи" вредят национальной безопасности
Специальный представитель президента РФ по вопросам цифрового и технологического развития Дмитрий Песков — о том, как Telegram можно использовать в здравоохранении, дистанционном образовании и защите прав граждан при внедрении технологий
#regulation #орв 0/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
💥 Норматив вводит новые требования для участников отношений — система управления сетями, журналы, измерения, специальная защита. Однако, степень регулирующего воздействия указана как средняя вместо высокой
💥 Согласно представленному сводному отчету участники отношений не понесут расходов. Это возмутительная ложь. Пункты 11 и 12 сводного отчета не заполнены
➡️ Норматив общий для всех категорий сетей связи
➡️ Усиливается контроль государства, которое лучше знает как строить сети связи, вводится ряд сертификаций (новый рынок для ФСТЭК), ограничивается возможность иностранного вмешательства, бюрократизируется обслуживание сетей, вводятся новые требования к системе управления сетями связи, вводится регулирование деятельности обслуживающего персонала и привлекаемых лиц сторонних организаций, устанавливаются обязательные периодические процедуры — мониторинг, измерения, журналы. К последним устанавливаются требования к оформлению и хранению
➡️ Много воды с терминами «подразумевает» и «направлено». При этом это не самое плохое эссе про эксплуатацию. Много воды про защиту информации. В ряде случаев дублируются требования исполнять закон о КИИ
😱 «Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов, принадлежащие операторам связи, в случае если данные технические средства не входят в состав сетей связи оператора связи.» Не смог интерпретировать этот пункт. Я не знаю о чем он
ЧТО ДЕЛАТЬ
✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
✅ Садишься выпить чашечку кофе? Зайди на портал и выскажись
✅ Почитал про коронавирус? Зайди на портал и выскажись
✅ Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишу
ДАЛЬШЕ САГА В ТРЕХ ЧАСТЯХ О СОДЕРЖИМОМ
🔐 Безопасность
🖥 Система управления сетями
🛠 Обслуживание сетей
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
💥 Норматив вводит новые требования для участников отношений — система управления сетями, журналы, измерения, специальная защита. Однако, степень регулирующего воздействия указана как средняя вместо высокой
💥 Согласно представленному сводному отчету участники отношений не понесут расходов. Это возмутительная ложь. Пункты 11 и 12 сводного отчета не заполнены
➡️ Норматив общий для всех категорий сетей связи
➡️ Усиливается контроль государства, которое лучше знает как строить сети связи, вводится ряд сертификаций (новый рынок для ФСТЭК), ограничивается возможность иностранного вмешательства, бюрократизируется обслуживание сетей, вводятся новые требования к системе управления сетями связи, вводится регулирование деятельности обслуживающего персонала и привлекаемых лиц сторонних организаций, устанавливаются обязательные периодические процедуры — мониторинг, измерения, журналы. К последним устанавливаются требования к оформлению и хранению
➡️ Много воды с терминами «подразумевает» и «направлено». При этом это не самое плохое эссе про эксплуатацию. Много воды про защиту информации. В ряде случаев дублируются требования исполнять закон о КИИ
😱 «Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов, принадлежащие операторам связи, в случае если данные технические средства не входят в состав сетей связи оператора связи.» Не смог интерпретировать этот пункт. Я не знаю о чем он
ЧТО ДЕЛАТЬ
✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
✅ Садишься выпить чашечку кофе? Зайди на портал и выскажись
✅ Почитал про коронавирус? Зайди на портал и выскажись
✅ Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишу
ДАЛЬШЕ САГА В ТРЕХ ЧАСТЯХ О СОДЕРЖИМОМ
🔐 Безопасность
🖥 Система управления сетями
🛠 Обслуживание сетей
#regulation #орв 1/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🔐 БЕЗОПАСНОСТЬ
➡️ Новые компоненты безопасности сети должны проходить стендовые испытания
➡️ Операторы связи не реже трех раз в год должны уточнять паспорт безопасности по ГОСТ Р 53109-2008 http://docs.cntd.ru/document/1200073585: «Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи». В голове у всех нормотворцев IT — это такой огромный завод с кучей сотрудников... Ещё из ГОСТа: «Опись всей сетевой архитектуры должна содержать... адресные таблицы, таблицы маршрутизации»...
➡️ «Эксплуатационная документация на систему защиты информации сетей связи должна разрабатываться с учетом ГОСТ Р 52448-2005», а защищаться должен в том числе сайт оператора связи
➡️ «К работам по обеспечению информационной безопасности сети связи должен допускаться персонал, имеющий профильное образование». Личное наблюдение — образование по инфобезу да и в целом по IT и реальность очень часто вообще не пересекаются. Будут свадебные офицеры безопасности с дипломами
➡️ Много обязательных периодических действий по безопасности, но нет требования журналирования, так что никто это выполнять не будет
➡️ Устанавливается требование взаимодействия с НКЦКИ (чтобы этот набор букв не значил). Не понятно, что это за взаимодействие, потому что оно нигде не регламентируется. И НКЦКИ о нем ничего не знает (с точки зрения норм)
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🔐 БЕЗОПАСНОСТЬ
➡️ Новые компоненты безопасности сети должны проходить стендовые испытания
➡️ Операторы связи не реже трех раз в год должны уточнять паспорт безопасности по ГОСТ Р 53109-2008 http://docs.cntd.ru/document/1200073585: «Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи». В голове у всех нормотворцев IT — это такой огромный завод с кучей сотрудников... Ещё из ГОСТа: «Опись всей сетевой архитектуры должна содержать... адресные таблицы, таблицы маршрутизации»...
➡️ «Эксплуатационная документация на систему защиты информации сетей связи должна разрабатываться с учетом ГОСТ Р 52448-2005», а защищаться должен в том числе сайт оператора связи
➡️ «К работам по обеспечению информационной безопасности сети связи должен допускаться персонал, имеющий профильное образование». Личное наблюдение — образование по инфобезу да и в целом по IT и реальность очень часто вообще не пересекаются. Будут свадебные офицеры безопасности с дипломами
➡️ Много обязательных периодических действий по безопасности, но нет требования журналирования, так что никто это выполнять не будет
➡️ Устанавливается требование взаимодействия с НКЦКИ (чтобы этот набор букв не значил). Не понятно, что это за взаимодействие, потому что оно нигде не регламентируется. И НКЦКИ о нем ничего не знает (с точки зрения норм)
#regulation #орв 2/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🖥 СИСТЕМА УПРАВЛЕНИЯ СЕТЬЮ СВЯЗИ
чтобы это словосочетание ни значило
➡️ Новые требования к системам управления надо складывать с существующим нормативом. http://www.consultant.ru/document/cons_doc_LAW_342965/5b7236bdd753ba6cd2b3891568acae6e2c503914/ (у него немного более узкая формулировка, но всё же)
➡️ Режим функционирования систем управления сетями связи «24 часа в сутки, 7 дней в неделю, 365/366 дней в году», а также должна присутствовать бегущая строка шрифтом точечками
➡️ «Система управления сетью связи должна содержать основной и резервный пункты управления и управляемые средства связи» и большой зал амфитеатром с плазмой, трибуной и столом для важных совещаний важных комиссий
👎 Я читаю проект норматива по поручению целого Совета Безопасности или маркетинговый булшит?
➡️ «доступность систем управления сетями связи на уровне не менее 99, 9% – суммарное время простоя систем управления сетями связи не более 43,83 час за календарный год». Всегда любил такие цифры. С какого потолка они взяты? Почему такие? Что такое в конце-концов «простой системы управления»? Что это за хрень? Кто писал этот пункт?
😱 «Системы управления сетями связи, являющиеся значимым объектом критической информационной инфраструктуры»… Я запутался. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов. Или я не понимаю что такое объект КИИ. Или я не могу их совместить
➡️ «Система управления сетью связи не должна взаимодействовать с сетями связи других операторов, входящих в состав ССОП». Я не знаю на что намек. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов
➡️ « адресное пространство технологической сети не должно пересекаться с адресным пространством, предназначенным для узлов связи сетей связи, входящих в состав сети связи оператора связи или пользователей услугами». Желание разработчиков нормативов Минцифры и Роскомнадзора формулировать частности общими словами, ни к чему не прикрепляя, делает этот пункт (значение которого я на самом деле угадываю) бессмысленным бредом
‼️ «Для обеспечения устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи должны применяться средства защиты информации, имеющие сертификат ФСТЭК России». Я такой ни одной не знаю. Прощайте независимые операторы связи
‼️ «обеспечение конфиденциальности и целостности информации управления должно осуществляться с использованием сертифицированных СКЗИ». Прощайте независимые операторы связи серия 2 сцена 3
❌ «должна быть исключена возможность управления средствами связи с территории иностранного государства». Передали привет админам в отпусках. Не, ну а что? Нефиг в отпуске работать
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🖥 СИСТЕМА УПРАВЛЕНИЯ СЕТЬЮ СВЯЗИ
чтобы это словосочетание ни значило
➡️ Новые требования к системам управления надо складывать с существующим нормативом. http://www.consultant.ru/document/cons_doc_LAW_342965/5b7236bdd753ba6cd2b3891568acae6e2c503914/ (у него немного более узкая формулировка, но всё же)
➡️ Режим функционирования систем управления сетями связи «24 часа в сутки, 7 дней в неделю, 365/366 дней в году», а также должна присутствовать бегущая строка шрифтом точечками
➡️ «Система управления сетью связи должна содержать основной и резервный пункты управления и управляемые средства связи» и большой зал амфитеатром с плазмой, трибуной и столом для важных совещаний важных комиссий
👎 Я читаю проект норматива по поручению целого Совета Безопасности или маркетинговый булшит?
➡️ «доступность систем управления сетями связи на уровне не менее 99, 9% – суммарное время простоя систем управления сетями связи не более 43,83 час за календарный год». Всегда любил такие цифры. С какого потолка они взяты? Почему такие? Что такое в конце-концов «простой системы управления»? Что это за хрень? Кто писал этот пункт?
😱 «Системы управления сетями связи, являющиеся значимым объектом критической информационной инфраструктуры»… Я запутался. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов. Или я не понимаю что такое объект КИИ. Или я не могу их совместить
➡️ «Система управления сетью связи не должна взаимодействовать с сетями связи других операторов, входящих в состав ССОП». Я не знаю на что намек. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов
➡️ « адресное пространство технологической сети не должно пересекаться с адресным пространством, предназначенным для узлов связи сетей связи, входящих в состав сети связи оператора связи или пользователей услугами». Желание разработчиков нормативов Минцифры и Роскомнадзора формулировать частности общими словами, ни к чему не прикрепляя, делает этот пункт (значение которого я на самом деле угадываю) бессмысленным бредом
‼️ «Для обеспечения устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи должны применяться средства защиты информации, имеющие сертификат ФСТЭК России». Я такой ни одной не знаю. Прощайте независимые операторы связи
‼️ «обеспечение конфиденциальности и целостности информации управления должно осуществляться с использованием сертифицированных СКЗИ». Прощайте независимые операторы связи серия 2 сцена 3
❌ «должна быть исключена возможность управления средствами связи с территории иностранного государства». Передали привет админам в отпусках. Не, ну а что? Нефиг в отпуске работать
#regulation #орв 3/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🛠 ОБСЛУЖИВАНИЕ СЕТЕЙ СВЯЗИ
😂😂😂 «В случае использования ресурсов сети связи оператора связи для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка, персонал, обеспечивающий управление сетью связи оператора связи, должен иметь допуск к сведениям, составляющим государственную тайну». Вот это отличный пункт. Чтобы никто ничего не отнял следует просто не держать в штате обслуживающего персонала людей с формой секретности. Перестарались с пафосом и драматичностью. Аплодирую стоя.
😎 Раз в квартал следует подавать в ФСБ сведения об иностранном персонале и привлекаемых к обслуживанию иностранных организациях. Состав сведений прилагается
➡️ «Средства связи должны быть укомплектованы комплектом эксплуатационной документацией в соответствии с ГОСТ Р 2.601-2019». А каждая стойка продублирована шкафом для документов. Внутрь ГОСТ не полез
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🛠 ОБСЛУЖИВАНИЕ СЕТЕЙ СВЯЗИ
😂😂😂 «В случае использования ресурсов сети связи оператора связи для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка, персонал, обеспечивающий управление сетью связи оператора связи, должен иметь допуск к сведениям, составляющим государственную тайну». Вот это отличный пункт. Чтобы никто ничего не отнял следует просто не держать в штате обслуживающего персонала людей с формой секретности. Перестарались с пафосом и драматичностью. Аплодирую стоя.
😎 Раз в квартал следует подавать в ФСБ сведения об иностранном персонале и привлекаемых к обслуживанию иностранных организациях. Состав сведений прилагается
➡️ «Средства связи должны быть укомплектованы комплектом эксплуатационной документацией в соответствии с ГОСТ Р 2.601-2019». А каждая стойка продублирована шкафом для документов. Внутрь ГОСТ не полез