Рубрикатор |
Статьи | ИКС № 05-06 2016 |
Алексей ЛУКАЦКИЙ  Михаил ЕМЕЛЬЯННИКОВ  Евгений ЦАРЕВ   Дмитрий МАРТЫНОВ  Андрей ПРОЗОРОВ  Николай НОСОВ  | 14 июня 2016 |
Блог, еще раз блог!
Блог, еще раз блог!
Михаил ЕМЕЛЬЯННИКОВ
Про прослушку телефонов в офисе и конституционные права
>>>> Необходимо исходить из императивной нормы части 2 статьи 23 Конституции РФ: «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения».
Реализация обеспечивается статьей 138 Уголовного кодекса РФ, предусматривающей ответственность за нарушение тайны переписки, телефонных переговоров... При этом использование служебного положения или специальных технических средств, предназначенных для негласного получения информации (оба обстоятельства присутствуют в этой ситуации) рассматривается как отягчающее обстоятельство.
Во всех случаях незаконной будет негласная прослушка сотовых телефонов в рабочих помещениях при отсутствии предупреждения о записи и анализе телефонных переговоров, которое должен получить абонент, в том числе и посетитель офиса, не являющийся работником, а также контроль звонков с телефонов, не находящихся в собственности работодателя, входящих звонков всем, включая работников, поскольку и при наличии внутренних правил прослушивания абонент, не являющийся работником, ничего об этом не знает и имеет право не знать.
В этих условиях прослушивать сотовые телефоны, не нарушив закон, практически невозможно.
Анализирует содержание телефонных переговоров обладателя мобильного телефона робот или человек, никакого значения не имеет, поскольку в конечном итоге работник службы безопасности работодателя получает доступ к конкретному разговору, то есть к сведениям, составляющим тайну связи.
В отличие от электронной почты мобильная связь – лицензируемый вид деятельности, и возможность использования соответствующего оборудования для прослушки работодателем, не имеющим лицензии на оказание услуг связи, – это большой вопрос.
Николай НОСОВ
Лицензирование в облаках
>>>> Когда-то очень давно, настолько давно, что этого почти никто не помнит, все программное обеспечение было свободным. К программам относились как к научным статьям. Бери любую программу и работай. И никому в голову не приходило, что за это нужно платить. Ведь копирование программ ничего не стоит – переписал и пользуйся.
Потом, в 80-х, появилось желание поставить процесс на коммерческие рельсы. Исходный код стали закрывать. Программы стали разными способами защищать от копирования.
Новый виток развития технологий привел к появлению облачных вычислений. Проверяющие компанию теперь не могут попросить включить компьютер и посмотреть, все ли установленные программы соответствуют лицензиям, купленным компанией. Этих программ на компьютерах просто нет. И возникает вопрос: как обеспечивать правообладателям защиту своих продуктов, распространяемых по облачной модели? И как клиентам выбрать подходящие типы лицензионных соглашений и не попасть под санкции проверяющих структур?
Позиции проприетарного ПО по-прежнему крепки, так что вопросам лицензирования нужно уделять самое пристальное внимание. В том числе и при использовании облачных технологий.
Евгений ЦАРЕВ
Что общего между прослушкой мобильных и Салтыковым-Щедриным?
>>>> Самое главное – вопрос законности всего этого мероприятия. Нужно разделить продукт и его применение. Например, вы пришли в магазин, и продавец пытается продать вам обычную лопату, рассказывает, какая она удобная для выкапывания картофеля, но никто не отрицает, что этой лопатой легко проломить голову. Или другая ситуация: вам продают АК-47, который изначально создавался для уничтожения живой силы, но вот продают его вам не как оружие, а как средство забивания гвоздей.
Кто будет решать: можно ли продавать лопату и можно ли продавать АК-47 для указанных благородных целей?
Ответ простой – ГОСУДАРСТВО. Оно со всеми его структурами и институтами определяет, можно продавать или нет. В нашем случае никакого прямого запрета на продажу решений для прослушки мобильных телефонов нет.
Получается, что мы вроде как находимся в ситуации с лопатой, а не с АК-47. Получается, что использовать решение по прослушке мобильных телефонов законным способом не получится.
Но тут нужно оговориться – словами Михаила Евграфовича: «Строгость российских законов смягчается необязательностью их исполнения».
Дмитрий МАРТЫНОВ
Нейронные сети и интуиция
>>>> За последнее время технологии нейронных сетей осуществили бешенный рывок, еще не замеченный обществом. Сейчас это направление называется Deep Learning. Я пишу эти строки наперекор словам, которые я говорил еще 2 года назад: потребность в программистах будет расти. Пока еще растет, но тренд меняется. И дело даже не в том, что есть масса областей, где поручить вопрос нейронам легче, чем взять и запрограммировать самому. Фишка новой технологии заключается в том, что нейронная сеть способна придумать что-то новое. Т.е. у людей теряются все преимущества по сравнению с машинами. ВСЕ! А вы в это верите?
А я верю в бога! Вовсе не в том смысле, что "авось нас пронесет", а совсем в другом.
У нейронных сетей есть куча багов. Для начала они не умеют сами себя настраивать и самовоспроизводиться, но над этим уже работают ученые умы. Дальше хитрее: они не умеют сами себе ставить цели. Но есть и еще круче. Deep Learning – это разновидность логики.
Да, это следующий, недоступный нам уровень логики (даже специалисты признают, что не понимают, как система решает ту или иную задачу, у которой нет решения). Но это все равно логика, а у людей есть еще и интуиция.
Что такое интуиция?
Интуиция – это информация из … неизвестных источников.
Я считаю, что данное свойство есть у любого живого существа (даже у отдельной клетки), и что это основа живой материи.
Алексей ЛУКАЦКИЙ
Сертификат ФСТЭК и реестр отечественного ПО
>>>> Действующая нормативная база определенно говорит, что средства защиты конфиденциальной информации, подаваемые на включение в реестр, должны иметь сертификат ФСТЭК. Мы уже разбирали эту ситуацию. Хотя со мной ряд экспертов, представляющих отечественных производителей, спорили, что сертификат не требуется и "ваще это все фигня, эти ваши сертификаты ФСТЭК", со временем выяснилось, что сертификат все-таки нужен. Это вытекает из письма министра Никифорова от 15 марта 2016 года, но... вот тут-то и проявляется самое интересное. Экспертный совет при Минкомсвязи убедил министра, что выполнять написанный министерством же и утвержденный Правительством нормативный акт можно не целиком. И министр с этим согласился! Это просто феерия какая-то.
При этом эксперты Экспертного совета защищают свою позицию тем, что «для попадания в реестр важно соблюдение критериев “отечественности”, а не наличие лицензий внутренних контролирующих органов» (имеется в виду сертификат, а не лицензия)…Так откровенно забивать болт на требования Постановления Правительства?.. Хотя бы внести изменения в его текст, чтобы придать всей этой конструкции хоть какую-то легитимность...
Я еще тогда говорил, что этот реестр – это профанация, а не импортозамещение и обеспечение национальной безопасности. Требования лицензии ФСТЭК на разработку и сертификата на разработанные средства защиты хоть как-то укладывались хотя бы во вторую составляющую. И вот теперь и на ней поставили крест. Один плюс – стартапам по ИБ теперь не надо заморачиваться получением сертификатов ФСТЭК, чтобы попасть в реестр Минкомсвязи (хотя этот сертификат понадобится при покупке решений заказчиками в рамках госзакупок).
Если вкратце, то суть такова:«в одном месте наших правил сертификат требуется, в другом нет, а что вам делать, мы и сами не знаем – решайте сами».
Андрей ПРОЗОРОВ
«Греховное» поведение
>>>> В книге «BPMCBOK 3.0» (Свод знаний по управлению бизнес-процессами), в главе, посвященной измерениям процессов, нашел забавную, но толковую идею, которую полезно знать специалистам по ИТ и ИБ.
«Греховное» поведение [при измерениях]:
- Тщеславие. Использование измерений исключительно для того, чтобы выставить компанию, ее сотрудников и особенно менеджеров в лучшем свете. Так как бонусы и вознаграждения обычно завязаны на показатели эффективности, руководители ожидают благоприятных метрик. Реальная картина эффективности организации воспринимается скорее как угроза, чем как информация для корректирующих действий.
- Провинциальность. Функциональные подразделения диктуют только те метрики, которые их руководители могут контролировать.
- Нарциссизм. Измерение с позиции внутреннего наблюдателя (inside-out), а не клиента (outside-out).
- Лень. Уверенность, что уже и так известно, что и как надо измерять.
- Мелочность. Измерение только малой части того, что действительно имеет значение.