Skype согласен на сотрудничество с Федеральной службой безопасности. Интернет-сервис, считающийся защищенным от прослушки, готов поделиться частью информации о своих пользователях. Спор о законности работы Skype в России вне контроля ФСБ продолжался больше года.
Ранее в четверг директор Федеральной службы безопасности Александр Бортников заявил, что у ФСБ будут «рабочие контакты» с Google, Skype и «другими представителями интернет-сообщества». Контакт с сотовыми операторами, работающими на территории России, имеется, добавил он. Спецслужба имеет право и должна иметь доступ к кодам и шифрам сетей сотовых операторов, «для того чтобы контролировать с учетом возникающих данных о возможных противоправных действиях конкретных лиц», заключил Бортников.
ФСБ давно беспокоит деятельность на территории России Skype, а также почтовых программ Gmail и Hotmail. Эти сервисы шифруют интернет-трафик с помощью зарубежных криптографических средств.
В апреле начальник центра защиты информации и спецсвязи ФСБ Александр Андреечкин предлагал запретить эти программы, так как их «бесконтрольное использование» может привести к «масштабной угрозе безопасности России».
Чем занимается ФСБ России? #безопасность #фсб #россия
ФСБ хотели бы получить технологии шифрования, чтобы иметь доступ и контролировать эти интернет-сервисы, говорит директор по стратегическому развитию «СКБ Контур» Петр Диденко. Когда два пользователя открывают интернет-браузер и заходят в почтовый сервис Gmail, то они передают информацию по зашифрованному соединению, но ФСБ не знают от него ключа. А по закону, если в России что-то шифруется, то ФСБ и другие спецслужбы должны иметь возможность дешифровать эти данные по желанию, объясняет он.
«ФСБ хотела бы прочитать письмо в процессе передачи», – рассказал Диденко.
Источник: avmalgin.livejournal.com
Интернет перейдет под полный контроль ФСБ
Не секрет, что за последние 10 лет популярность интернета в России и других странах мира увеличилась в несколько десятков раз. В связи с этим, возникла новая угроза, которой стали киберпреступники. Эти люди взламывают банковские и правительственные системы, воруя деньги и раскрывая государственные тайны. Кроме того, люди в глобальной сети чувствуют себя безнаказанными, оскорбляя других граждан и совершая недостойные поступки. Федеральная служба безопасности (ФСБ) хочет раз и навсегда с этим покончить.
Сегодня, 18 октября 2018 года, заместитель директора ФСБ Сергей Смирнов заявил о том, что силовое ведомство планирует (хочет) заполучить полный контроль над интернетом на российской территории, пишет издание «Медуза». Подобный шаг поможет, по его мнению, обеспечить информационную безопасность и успешно противостоять современным террористическим угрозам. Под понятием «полный контроль», вероятно, имеются ввиду специальные ключи для расшифровки данных всех сервисов, сайтов и приложений, способный работать с интернетом.
Хакеры рассказали, как ФСБ контролирует интернет. Тема дня
Нельзя не заметить, что сейчас в России полностью действует весь «закон Яровой», согласно которому все интернет-компании и сотовые операторы обязаны хранить личные данные каждого пользователя и, при необходимости, передавать их силовым ведомствам. Очевидно, что даже такие полномочия не позволяют ФСБ контролировать весь интернет, чем и недовольно ведомство. В связи с этим, скорее всего, вскоре на законодательном уровне полномочия Федеральной службы безопасности будут расширяться.
Остается верить, что если ФСБ действительно получит полный контроль над интернетом в России, то это поможет поимке интернет-мошенников, которые обманывают людей на постоянной основе, оставаясь в настоящее время безнаказанными из-за использования различных хитростей для скрытия своей личности. Впрочем, многие россияне наверняка посчитают подобную информацию резко негативной, ведь контроля в глобальной сети станет гораздо больше.
Ранее удалось выяснить, что россиян заставят заменить все SIM-карты на новые с прослушкой от ФСБ.
Источник: akket.com
Ответ ФСБ по поводу необходимости применения сертифицированных СКЗИ для защиты ПДн
Законодательство
На чтение 1 мин Просмотров 1.5к. Опубликовано 20/04/2016
Чуть меньше года назад я уже публиковал свою презентацию с рассмотрением вопроса о необходимости применения сертифицированных СКЗИ при защите ПДн. И вот на днях мне переслали ответ 8-го Центра ФСБ по данному вопросу. Самое важное в этом ответе находится в первом абзаце — СКЗИ не являются обязательными.
В следующем абзаце говорится о том, что определение актуальных угроз осуществляется оператором ПДн (и никем иным). В последующих абзацах повторяется классическая фраза 8-го Центра, что СКЗИ надо применять, если определенные угрозы могут быть нейтрализованы только СКЗИ. К таким угрозам 8-й Центр относит только две ситуации:
Я по-прежнему придерживаюсь позиции, отраженной в презентации, — информацию в каналах связи можно защитить различными способами, а не только СКЗИ, что вытекает из 19-й статьи ФЗ-152.
Ну и по поводу сертификации — в ответе 8-го Центра нет ни слова про сертифицированные СКЗИ. От слова «вообще».
Оцените статью
Есть что добавить? Добавьте! Отменить ответ
Unknown 20/04/2016 в 04:57
Добрый день, Алексей!
А можно получить полный ответ? С Уважением!
Unknown 20/04/2016 в 06:13
Алексей, добрый день!
В ответе 8-го Центра ничего не указано про необходимость использования именно сертифицированных СКЗИ. Но ведь есть «Методические рекомендации…» утвержденные руководством 8 Центра ФСБ России от 31.03.2015 №149/7/2/6-432, в которых есть во второй части такой абзац: — для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия.
Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru). Дополнительную информацию о конкретных средствах защиты информации рекомендуется получать непосредственно у разработчиков или производителей этих средств и, при необходимости, у специализированных организаций, проводивших тематические исследования этих средств; Далее идет абзац, в котором говорится, что в случае отсутствия подходящего сертифицированного СКЗИ нужно разрабатывать средство в соответствии с ПКЗ-2005. Чем это не требование использовать сертифицированные СКЗИ? Есть приказ ФСБ России от 10.07.2014 №378, в котором в подпункте «г» пункта 5 указано: » использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.» Немного сбивает с толку вот это «когда применение таких средств необходимо для нейтрализации актуальных угроз». Но вся эта необходимость должна быть описана в модели нарушителя. Но в этом случае опять же в разделе 3 «Методических рекомендаций…» от 2015 года указано, что «При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
— описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
— выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы.» Я всё это к чему — да, нет необходимости использовать СКЗИ всегда и везде при обеспечении безопасности обработки ПДн. Но для этого нужно сформировать модель нарушителя, где всё это описать и доказать. Про два случая, когда нужно их использовать Вы писали. Но то, что для обеспечения безопасности обработки ПДн по открытым каналам связи, или если обработка этих ПДн выходит за границы контролируемой зоны, можно использовать несертифицированные СКЗИ — тут не всё так просто. И может так случиться, что проще использовать сертифицированные СКЗИ и соблюдать все требования при их эксплуатации и хранении, чем использовать несертифицированные средства и бодаться с регулятором, который видя такую ситуацию, будет очень стараться ткнуть носом.
Unknown 20/04/2016 в 15:17
Cлучай, когда применение таких средств необходимо для нейтрализации актуальных угроз: требование Приказа ФСТЭК России № 17 от 11 февраля 2013 г. (требования к государственными и муниц. ИСПДн), пункт 11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
Алексей Лукацкий 21/04/2016 в 11:09
Proximo: рекомендации ФСБ нелегитимны. 378-й приказ легитимен, но должен рассматриваться в контексте всего законодательства, а оно говорит, что особенности оценки соответствия устанавливаются Правительством или Президентом. Ни то, ни другой таких НПА не выпускали т
Алексей Лукацкий 21/04/2016 в 11:10
Антон: в госах требование сертификации установлено законом, 17-й приказ их просто повторяет. А мы про ПДн говорим
Unknown 21/04/2016 в 13:43
Алексей Лукацкий: №рекомендации ФСБ нелегитимны» Как нелегитимны? Я про документ от 19.05.2015 №149/7/2/6-432 ( http://www.fsb.ru/fsb/science/single.htm!id%3D10437608%40fsbResearchart.html ), но не про документ от 21.02.2008 №149/54-144. Другой специалист также ранее делал запрос в ФСБ по похожей теме, и ему ответили, что «Методику…» и «Рекомендации…» ФСБ от 2008 года не нужно использовать, если Вы говорите про эти документы.
Но опять же — официально эти документы не отменили. И легитимны эти документы или нет, полагаю, будут решать проверяющие от ФСБ уже на месте в ходе проверки. Закон говорит, что нужно защищать ПДн. Подзаконные акты от Правительства, ФСБ, ФСТЭК определяют, как именно нужно их защищать. В НПА от ФСБ говорится: «Используйте сертифицированное.
Если не хотите сертифицированное — докажите, что можете использовать такое. И будьте добры — приложите заключение на это от фирмы, у которой есть лицензия на право выдачи таких заключений». Как-то так…
Алексей Лукацкий 21/04/2016 в 17:21
1. Любая рекомендация — это рекомендация, а не обязательное к исполнению требование.
2. Методичка 2015-го года не имеет отношения к операторам ПДн — она относится к госам, которые пишут модели угроз для подведомственных учреждений (с учетом п.1).
3. ФСБ не имеет права проводить проверки коммерческим операторов ПДн, а для госов вопрос применения несертифицированных СКЗИ и не стоит — они обязаны применять сертифицированные решения, независимо от наличия ПДн — это требования ФЗ-149.
4. Подзаконные акты говорят как защищать и это нормально. А вот форму оценку средств защиты они определять не могут — это может сделать только НПА Правительства или Президента. ФСБ не уполномочено это делать
Unknown 28/04/2016 в 07:06
В соответствии с Постановлением 1119: 4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».
13.г. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Каким образом обосновать не актуальность угрозы при передачи ПДн через каналы оператора связи? Т.е. если не СКЗИ, то видимо,
— терминальный доступ и тонкие клиенты, но при этом данные СЗИ терминального
доступа должны быть сертифицированы.
— защиты каналов оператором связи, ответственность на оператора связи (провайдера).
Источник: lukatsky.ru