💥 Роскомнадзор начал рассылать теперь и НЕЛИЦЕНЗИАТАМ требования по приказам №№221, 222 и 223 по «устойчивому Рунету». Это приказы о предоставлении сведений в Роскомнадзор владельцами номеров автономных систем об номера автономных систем, IP-адресах, схемах сети, маршрутизации, каналах через границу, целях использования этих каналов. Вся информация должна была быть собрана к 22 мая 2020 (начиная с 01 ноября 2019). Но готовить что-то Роскомнадзор начал, судя по всему, только в марте-мае 2020 года. Вот эти приказы с историей разработки:
https://usher2.club/helpers/stable-runet-npa-list#p92592
https://usher2.club/helpers/stable-runet-npa-list#p92582
https://usher2.club/helpers/stable-runet-npa-list#p92576
‼️ Из трех нормативных равнозначных вариантов предоставления информации Роскомнадзор реализовал только через файлы XML. Формы на сайте и автоматизация пока не реализованы
👉 Слать надо всё сюда https://service.rkn.gov.ru
👽 Все данные имеют параметр обязательности. Он троичный. 1, 0 и ничего. Это такая особенность многих органов власти обязательно иметь пустые ячейки «как-нибудь». Я вижу таблицу, хочу её не заполнять, и не устоять
😱 Структура данных XML создана по пунктам приказа. Так прямо в инструкции и написано
👉 Руководства по заполнению:
https://usher2.club/docs/Guide_CMU_SSOP_20200513_221.pdf
https://usher2.club/docs/Guide_CMU_SSOP_20200513_222.pdf
https://usher2.club/docs/Guide_CMU_SSOP_20200513_223.pdf
👉 Примеры XML для тестов (как примеры заполнения они не подходят):
https://usher2.club/docs/Tester_ACT221_1_20200421_1_1.xml
https://usher2.club/docs/Tester_ACT222_1_20200421_1_1.xml
https://usher2.club/docs/Tester_ACT223_1_20200421_1_1.xml
https://usher2.club/docs/Tester_INC_1_20200421_1_1.xml
👉 Схемы XML:
https://usher2.club/docs/SSOP_ACT221_1.00.xsd
https://usher2.club/docs/SSOP_ACT222_1.00.xsd
https://usher2.club/docs/SSOP_ACT223_1.00.xsd
ℹ️ На Linux сгенерированный XML можно проверить как-то так:
🤘 Канал Ордерком рекомендует написать примерно так:
«На основании п.8.1 приказа Роскомнадзора №221 от 31.07.2019 и пункта 7.1 приказов Роскомнадзора №222 и №223 от 31.07.2019 указанные в приказах лица имеют возможность выбрать способ направления информации либо через электронную форму в личном кабинете расположенном на официальном сайте Роскомнадзора (далее Сайт), либо через выгружаемый файл XML, сформированный по прилагаемой инструкции. Эти способы, согласно текстам приказов, являются альтернативными и равнозначными. Нами был выбран вариант направления данных через личный кабинет Сайта. После детального изучения разделов Сайта – необходимые для подачи отчета разделы не были найдены.
В своем письме вы просите предоставить данные только с использованием файлов в формате XML. В связи с изложенным, просим вас разъяснить какие действия должен предпринять оператор для соблюдения требований данных приказов»
https://t.iss.one/ordercomru/1855
https://usher2.club/helpers/stable-runet-npa-list#p92592
https://usher2.club/helpers/stable-runet-npa-list#p92582
https://usher2.club/helpers/stable-runet-npa-list#p92576
‼️ Из трех нормативных равнозначных вариантов предоставления информации Роскомнадзор реализовал только через файлы XML. Формы на сайте и автоматизация пока не реализованы
👉 Слать надо всё сюда https://service.rkn.gov.ru
👽 Все данные имеют параметр обязательности. Он троичный. 1, 0 и ничего. Это такая особенность многих органов власти обязательно иметь пустые ячейки «как-нибудь». Я вижу таблицу, хочу её не заполнять, и не устоять
😱 Структура данных XML создана по пунктам приказа. Так прямо в инструкции и написано
👉 Руководства по заполнению:
https://usher2.club/docs/Guide_CMU_SSOP_20200513_221.pdf
https://usher2.club/docs/Guide_CMU_SSOP_20200513_222.pdf
https://usher2.club/docs/Guide_CMU_SSOP_20200513_223.pdf
👉 Примеры XML для тестов (как примеры заполнения они не подходят):
https://usher2.club/docs/Tester_ACT221_1_20200421_1_1.xml
https://usher2.club/docs/Tester_ACT222_1_20200421_1_1.xml
https://usher2.club/docs/Tester_ACT223_1_20200421_1_1.xml
https://usher2.club/docs/Tester_INC_1_20200421_1_1.xml
👉 Схемы XML:
https://usher2.club/docs/SSOP_ACT221_1.00.xsd
https://usher2.club/docs/SSOP_ACT222_1.00.xsd
https://usher2.club/docs/SSOP_ACT223_1.00.xsd
ℹ️ На Linux сгенерированный XML можно проверить как-то так:
xmllint --schema SSOP_ACT221_1.00.xsd Tester_ACT221_1_20200421_1_1.xml
🔥🔥🔥 Что прямо сейчас с этим делать кому уже пришло?🤘 Канал Ордерком рекомендует написать примерно так:
«На основании п.8.1 приказа Роскомнадзора №221 от 31.07.2019 и пункта 7.1 приказов Роскомнадзора №222 и №223 от 31.07.2019 указанные в приказах лица имеют возможность выбрать способ направления информации либо через электронную форму в личном кабинете расположенном на официальном сайте Роскомнадзора (далее Сайт), либо через выгружаемый файл XML, сформированный по прилагаемой инструкции. Эти способы, согласно текстам приказов, являются альтернативными и равнозначными. Нами был выбран вариант направления данных через личный кабинет Сайта. После детального изучения разделов Сайта – необходимые для подачи отчета разделы не были найдены.
В своем письме вы просите предоставить данные только с использованием файлов в формате XML. В связи с изложенным, просим вас разъяснить какие действия должен предпринять оператор для соблюдения требований данных приказов»
https://t.iss.one/ordercomru/1855
Да, по поводу заполнения форм Роскомнадзор делает покерфейс и поёт песню про «заполняйте XML». Мне очень нравится про «первичный сбор». Хочу что-нибудь почитать на тему первичных сборов.
Спасибо каналу Ордерком: https://t.iss.one/ordercomru/1917
Спасибо каналу Ордерком: https://t.iss.one/ordercomru/1917
#вещества Ахаха!!! Т.е. мяу. Тут у нас опять безопасность, целостность и устойчивость. Твиттер МИД (верифицированный) взломали и продают с него базу туристов. Давно сидим, полдня уже:
https://twitter.com/MID_travel/status/1278435529609097218
https://twitter.com/MID_travel/status/1278435529609097218
#regulation #орв Минэк выдал отрицательное заключение оценки регулирующего воздействия на законопроект Минцыфры о «бесплатном интернете»:
https://regulation.gov.ru/p/101646
Ранее Минцифра пыталась разместить законопроект без ОРВ: https://regulation.gov.ru/p/100268 А в текущем размещении НЕ УЧЛА ВСЕ отзывы на этот законопроект во время публичного обсуждения
❌ Законопроект не содержит ясной концепции
❌ Законопроект не учитывает результатов соответствующего эксперимента (да и вообще с ним не связан)
❌ Доходы операторов связи могут быть существенно снижены
❌ Нет ограничения в медиа-контенте для сайтов, как это сделано в рамках соответсвтующего эксперимента
❌ Критерии качества не определены ни действующим законодательством, ни проектом
❌ Всё вокруг реестра и информационной системы — юридическая чушь и должно быть перереработано
✅ Предлагается вернуться к вопросу после анализа результатов эксперимента
🔥🔥🔥 Заключение Минэка не упоминает спутниковый интернет, хотя в отзывах его было много и это реально проблема
Проводимый сейчас эксперимент:
https://digital.gov.ru/ru/documents/7146/
Хотя собирать сведения будут до 15 июля, а сроки подготовки отчета — до 14 августа. Но, кончено, уже публично отчитались все стороны. Битва цифр с потолка без связи с реальностью:
https://digitaldem.ru/2020/07/03/veliki-li-poteri-biznesa-ot-besplatnogo-interneta/
https://regulation.gov.ru/p/101646
Ранее Минцифра пыталась разместить законопроект без ОРВ: https://regulation.gov.ru/p/100268 А в текущем размещении НЕ УЧЛА ВСЕ отзывы на этот законопроект во время публичного обсуждения
❌ Законопроект не содержит ясной концепции
❌ Законопроект не учитывает результатов соответствующего эксперимента (да и вообще с ним не связан)
❌ Доходы операторов связи могут быть существенно снижены
❌ Нет ограничения в медиа-контенте для сайтов, как это сделано в рамках соответсвтующего эксперимента
❌ Критерии качества не определены ни действующим законодательством, ни проектом
❌ Всё вокруг реестра и информационной системы — юридическая чушь и должно быть перереработано
✅ Предлагается вернуться к вопросу после анализа результатов эксперимента
🔥🔥🔥 Заключение Минэка не упоминает спутниковый интернет, хотя в отзывах его было много и это реально проблема
Проводимый сейчас эксперимент:
https://digital.gov.ru/ru/documents/7146/
Хотя собирать сведения будут до 15 июля, а сроки подготовки отчета — до 14 августа. Но, кончено, уже публично отчитались все стороны. Битва цифр с потолка без связи с реальностью:
https://digitaldem.ru/2020/07/03/veliki-li-poteri-biznesa-ot-besplatnogo-interneta/
Forwarded from Leonid Evdokimov
О-о-о-оооо! Моя эс-ка-зэ-и!
Ламповый шифр ушедшего лета!
О-о-о-оооо! Моя эс-ка-зэ-и!
Вечный по-ГОСТ для законопроектов!
Ламповый шифр ушедшего лета!
О-о-о-оооо! Моя эс-ка-зэ-и!
Вечный по-ГОСТ для законопроектов!
Forwarded from Ivan Begtin (Ivan Begtin)
CNews пишет о том что сайт с законопроектами Госдумы скоро будет недоступен во многих браузерах поскольку использует TLS 1.0, а скоро этот стандарт передачи данных не будет поддерживаться в Firefox и других браузерах [1]
Долго думая что добавить к этой новости, не могу не вспомнить о том что, например, сайт обращений к Президенту РФ letters.kremlin.ru до сих пор не имеет своего сертификата [2]. Там только относительно недавно стал отзываться https с сертификатом от другого домена [3].
Раньше, для того чтобы, например, губернатору знать о том на что жалуются граждане Президенту, достаточно было договориться с крупнейшими местными провайдерами чтобы перехватывать все отправленные сообщение от граждан направляемые через незащищённый http протокол.
Да и сейчас, пока своего сертификата у домена нет, тоже можно, лишь чуть сложнее, но ничего нереального. Тем более что по умолчанию letters.kremlin.ru только http и поддерживает.
Но это всё, разумеется, исключительно умозрительная, нереалистичная ситуация. Конечно же, ни один губернатор, по причине высоких моральных качеств и этических принципов, не мог даже задуматься о подобном.
Ссылки:
[1] https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
[2] https://letters.kremlin.ru
[3] https://letters.kremlin.ru
#tls #ssl #https #privacy
Долго думая что добавить к этой новости, не могу не вспомнить о том что, например, сайт обращений к Президенту РФ letters.kremlin.ru до сих пор не имеет своего сертификата [2]. Там только относительно недавно стал отзываться https с сертификатом от другого домена [3].
Раньше, для того чтобы, например, губернатору знать о том на что жалуются граждане Президенту, достаточно было договориться с крупнейшими местными провайдерами чтобы перехватывать все отправленные сообщение от граждан направляемые через незащищённый http протокол.
Да и сейчас, пока своего сертификата у домена нет, тоже можно, лишь чуть сложнее, но ничего нереального. Тем более что по умолчанию letters.kremlin.ru только http и поддерживает.
Но это всё, разумеется, исключительно умозрительная, нереалистичная ситуация. Конечно же, ни один губернатор, по причине высоких моральных качеств и этических принципов, не мог даже задуматься о подобном.
Ссылки:
[1] https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
[2] https://letters.kremlin.ru
[3] https://letters.kremlin.ru
#tls #ssl #https #privacy
CNews.ru
Сайт с законопроектами Госдумы больше недоступен для пользователей Firefox. На очереди Chrome, Safari, MS Edge
Сайт ГАС «Законодательство», на котором размещены рассматриваемые Госдумой законопроекты, перестал быть доступен...
#реклама Напомню, что это необычная реклама. Я по своему самодурству размещаю рекламные посты каких-то компаний или сообществ, или сервисов. Они мне за это не платят. Ни цента, ничего
💥 Сервер, СХД или сетевое оборудование в лизинг
💡 Закажите оборудование: https://serverleasing.ru/?utm_source=e2
💥 Сервер, СХД или сетевое оборудование в лизинг
💡 Закажите оборудование: https://serverleasing.ru/?utm_source=e2
Депутаты Александр Хинштейн (председатель комитета Госдумы по инфополитике с 2020) и Сергей Боярский (сын того самого Боярского) направили в Госдуму законопроект о наказании за невыполнение обязанностей по ограничению доступа к запрещенной информации хостерами и самими сайтами. Давно ожидаемый закон, потому что пока что можно информацию не удалять даже внутри России
https://sozd.duma.gov.ru/bill/989758-7
✅ Ответственность административная. Новая статья КоАП 13.41
💥 Наказание предусмотрено И хостинг провайдерам, И владельцам ресурсов, на которых размещена информация
➡️ Штрафы физикам от 50 до 100 тысяч рублей, должностным лицам от 200 до 400 тысяч рублей, юрлицам от 800 тысяч до 3 миллионов рублей. Повторное нарушение влечет штраф физикам от 100 до 200 тысяч рублей, должностным лицам от 500 до 800 тысяч рублей, юридическим лицам от 4 до 8 миллионов рублей
➡️ Выделены определенные категории информации — порнуха, детская порнуха, наркота, экстремизм (категории не соответствуют категоризации запрещенки в существующих формулировках) — для которой увеличенные штрафы. Штрафы физикам от 100 до 200 тысяч рублей, должностным лицам от 400 до 800 тысяч рублей, юрлицам от 3 до 8 миллионов рублей. Повторное нарушение влечет штраф физикам от 200 до 500 тысяч рублей, должностным лицам от 800 тысяч до 1 миллиона рублей, юрлицам от 8 до 15 миллионов рублей
☝️ Действие статьи не распространяется на нарушение копирайта
❌ Несоразмерное деянию наказание. Заметное число юридических лиц, предоставляющих услуги хостинга, умрут от первого же штрафа. Не говоря уже о владельцах ресурсов
❌ Все описанные категории нарушителей плохо формализуемы. Общение с ними надзорного органа происходит по каналам связи, не имеющим правового статуса. «Осечки» не единичны. Существует риск регулярных огромных штрафов в результате ошибок и неточностей
❌ Интересный кейс с виртуалками и серверами. Хостера виртуалок и серверов тоже штрафовать? А как он вмешается в трафик? Прекратить оказывать услуги тоже нет оснований. Вопрос о правомерности наличия в договоре условия незамедлительного прекращения услуг аренды вычислительных мощностей по уведомлению цензора дискуссионный
‼️ Это не сейчас замечено, но некоторое время назад в законы про блокировку утвердили понятие «незамедлительно». В связи с такими штрафами значимость этого действия многократно усилилась. Как и риски, связанные с этим неправовым булшитом
❌ Не редкость, когда решения о признании информации запрещенной вызвано глупостью органов власти, желанием получить статистику (например, так работает региональная прокуратура — поставлено на поток), непрофессионализмом и пофигизмом судов. Ярчайшие примеры — запрет юморески о даче взяток (суд в итоге выигран, решение о запрете отменено), запрет научного труда об этнографии (суд в итоге выигран, прокуратура дала задний ход, решение о запрете отменено)
❌ Не редкость, когда запрет информации — инструмент конкурентной борьбы (например, целый ряд судов с разными истцами «о признании юридически значимых фактов» по отзывам на товары, в том числе и на Яндекс.Маркете)
❌ Это интернет, детка. Здесь закрытие чего-то даже на короткий срок, не то что на месяцы судебных разбирательств — это зачастую означает смерть проекта. Практически законопроект резко усиливает механизм блокировок как инструмент конкурентной борьбы.
😱 Может создаться впечатление, конечно же ложное, что инструмент конкурентной борьбы и есть настоящая цель законопроекта. Невозможно же предположить дремучую глупость и недальновидность, или хайпожорство столь уважаемых авторитетных авторов
https://sozd.duma.gov.ru/bill/989758-7
✅ Ответственность административная. Новая статья КоАП 13.41
💥 Наказание предусмотрено И хостинг провайдерам, И владельцам ресурсов, на которых размещена информация
➡️ Штрафы физикам от 50 до 100 тысяч рублей, должностным лицам от 200 до 400 тысяч рублей, юрлицам от 800 тысяч до 3 миллионов рублей. Повторное нарушение влечет штраф физикам от 100 до 200 тысяч рублей, должностным лицам от 500 до 800 тысяч рублей, юридическим лицам от 4 до 8 миллионов рублей
➡️ Выделены определенные категории информации — порнуха, детская порнуха, наркота, экстремизм (категории не соответствуют категоризации запрещенки в существующих формулировках) — для которой увеличенные штрафы. Штрафы физикам от 100 до 200 тысяч рублей, должностным лицам от 400 до 800 тысяч рублей, юрлицам от 3 до 8 миллионов рублей. Повторное нарушение влечет штраф физикам от 200 до 500 тысяч рублей, должностным лицам от 800 тысяч до 1 миллиона рублей, юрлицам от 8 до 15 миллионов рублей
☝️ Действие статьи не распространяется на нарушение копирайта
❌ Несоразмерное деянию наказание. Заметное число юридических лиц, предоставляющих услуги хостинга, умрут от первого же штрафа. Не говоря уже о владельцах ресурсов
❌ Все описанные категории нарушителей плохо формализуемы. Общение с ними надзорного органа происходит по каналам связи, не имеющим правового статуса. «Осечки» не единичны. Существует риск регулярных огромных штрафов в результате ошибок и неточностей
❌ Интересный кейс с виртуалками и серверами. Хостера виртуалок и серверов тоже штрафовать? А как он вмешается в трафик? Прекратить оказывать услуги тоже нет оснований. Вопрос о правомерности наличия в договоре условия незамедлительного прекращения услуг аренды вычислительных мощностей по уведомлению цензора дискуссионный
‼️ Это не сейчас замечено, но некоторое время назад в законы про блокировку утвердили понятие «незамедлительно». В связи с такими штрафами значимость этого действия многократно усилилась. Как и риски, связанные с этим неправовым булшитом
❌ Не редкость, когда решения о признании информации запрещенной вызвано глупостью органов власти, желанием получить статистику (например, так работает региональная прокуратура — поставлено на поток), непрофессионализмом и пофигизмом судов. Ярчайшие примеры — запрет юморески о даче взяток (суд в итоге выигран, решение о запрете отменено), запрет научного труда об этнографии (суд в итоге выигран, прокуратура дала задний ход, решение о запрете отменено)
❌ Не редкость, когда запрет информации — инструмент конкурентной борьбы (например, целый ряд судов с разными истцами «о признании юридически значимых фактов» по отзывам на товары, в том числе и на Яндекс.Маркете)
❌ Это интернет, детка. Здесь закрытие чего-то даже на короткий срок, не то что на месяцы судебных разбирательств — это зачастую означает смерть проекта. Практически законопроект резко усиливает механизм блокировок как инструмент конкурентной борьбы.
😱 Может создаться впечатление, конечно же ложное, что инструмент конкурентной борьбы и есть настоящая цель законопроекта. Невозможно же предположить дремучую глупость и недальновидность, или хайпожорство столь уважаемых авторитетных авторов
«При этом сайт Госдумы работает на базе веб-сервера Nginx. Чтобы обеспечить поддержку TLS 1.2, его необходимо пересобрать; это может занять максимум полдня» (c) Фил
https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
Судя по всему, эти полдня потрачены и сайт sozd.duma.gov.ru нормально работает. Вот что животворящий пост в телеграм-канале делает. В прошлый раз мы так починили сайт e-trust.gosuslugi.ru. Telegram channel driven troubleshooting
Так. Мне не нравится как ведёт себя regulation.gov.ru....
https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
Судя по всему, эти полдня потрачены и сайт sozd.duma.gov.ru нормально работает. Вот что животворящий пост в телеграм-канале делает. В прошлый раз мы так починили сайт e-trust.gosuslugi.ru. Telegram channel driven troubleshooting
Так. Мне не нравится как ведёт себя regulation.gov.ru....
#вещества Когда «Другой Песков» стал представителем Президента по вопросам цифр, я думал, что он хочет нам что-то донести из внутренней кухни своими странными заявлениями. Но время показало, что всё, что он говорит, не соприкасается с реальностью. Вообще не соприкасается. Все его речи и заявления являются обычно его личными мнениями и фантазиями в рамках какого-то вымышленного мира и воображаемых друзей. Но если вы хотели подавиться обедом, то почитайте и про отработанно неработающую процедуру оценки регулирующего воздействия, и про переизобретение оценки фактического воздействия, и про каменный топор в национальных интересах:
https://tass.ru/interviews/9016753
https://tass.ru/interviews/9016753
ТАСС
Cпецпредставитель президента: "цифровые страхи" вредят национальной безопасности
Специальный представитель президента РФ по вопросам цифрового и технологического развития Дмитрий Песков — о том, как Telegram можно использовать в здравоохранении, дистанционном образовании и защите прав граждан при внедрении технологий
#regulation #орв 0/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
💥 Норматив вводит новые требования для участников отношений — система управления сетями, журналы, измерения, специальная защита. Однако, степень регулирующего воздействия указана как средняя вместо высокой
💥 Согласно представленному сводному отчету участники отношений не понесут расходов. Это возмутительная ложь. Пункты 11 и 12 сводного отчета не заполнены
➡️ Норматив общий для всех категорий сетей связи
➡️ Усиливается контроль государства, которое лучше знает как строить сети связи, вводится ряд сертификаций (новый рынок для ФСТЭК), ограничивается возможность иностранного вмешательства, бюрократизируется обслуживание сетей, вводятся новые требования к системе управления сетями связи, вводится регулирование деятельности обслуживающего персонала и привлекаемых лиц сторонних организаций, устанавливаются обязательные периодические процедуры — мониторинг, измерения, журналы. К последним устанавливаются требования к оформлению и хранению
➡️ Много воды с терминами «подразумевает» и «направлено». При этом это не самое плохое эссе про эксплуатацию. Много воды про защиту информации. В ряде случаев дублируются требования исполнять закон о КИИ
😱 «Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов, принадлежащие операторам связи, в случае если данные технические средства не входят в состав сетей связи оператора связи.» Не смог интерпретировать этот пункт. Я не знаю о чем он
ЧТО ДЕЛАТЬ
✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
✅ Садишься выпить чашечку кофе? Зайди на портал и выскажись
✅ Почитал про коронавирус? Зайди на портал и выскажись
✅ Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишу
ДАЛЬШЕ САГА В ТРЕХ ЧАСТЯХ О СОДЕРЖИМОМ
🔐 Безопасность
🖥 Система управления сетями
🛠 Обслуживание сетей
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
💥 Норматив вводит новые требования для участников отношений — система управления сетями, журналы, измерения, специальная защита. Однако, степень регулирующего воздействия указана как средняя вместо высокой
💥 Согласно представленному сводному отчету участники отношений не понесут расходов. Это возмутительная ложь. Пункты 11 и 12 сводного отчета не заполнены
➡️ Норматив общий для всех категорий сетей связи
➡️ Усиливается контроль государства, которое лучше знает как строить сети связи, вводится ряд сертификаций (новый рынок для ФСТЭК), ограничивается возможность иностранного вмешательства, бюрократизируется обслуживание сетей, вводятся новые требования к системе управления сетями связи, вводится регулирование деятельности обслуживающего персонала и привлекаемых лиц сторонних организаций, устанавливаются обязательные периодические процедуры — мониторинг, измерения, журналы. К последним устанавливаются требования к оформлению и хранению
➡️ Много воды с терминами «подразумевает» и «направлено». При этом это не самое плохое эссе про эксплуатацию. Много воды про защиту информации. В ряде случаев дублируются требования исполнять закон о КИИ
😱 «Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов, принадлежащие операторам связи, в случае если данные технические средства не входят в состав сетей связи оператора связи.» Не смог интерпретировать этот пункт. Я не знаю о чем он
ЧТО ДЕЛАТЬ
✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
✅ Садишься выпить чашечку кофе? Зайди на портал и выскажись
✅ Почитал про коронавирус? Зайди на портал и выскажись
✅ Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишу
ДАЛЬШЕ САГА В ТРЕХ ЧАСТЯХ О СОДЕРЖИМОМ
🔐 Безопасность
🖥 Система управления сетями
🛠 Обслуживание сетей
#regulation #орв 1/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🔐 БЕЗОПАСНОСТЬ
➡️ Новые компоненты безопасности сети должны проходить стендовые испытания
➡️ Операторы связи не реже трех раз в год должны уточнять паспорт безопасности по ГОСТ Р 53109-2008 https://docs.cntd.ru/document/1200073585: «Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи». В голове у всех нормотворцев IT — это такой огромный завод с кучей сотрудников... Ещё из ГОСТа: «Опись всей сетевой архитектуры должна содержать... адресные таблицы, таблицы маршрутизации»...
➡️ «Эксплуатационная документация на систему защиты информации сетей связи должна разрабатываться с учетом ГОСТ Р 52448-2005», а защищаться должен в том числе сайт оператора связи
➡️ «К работам по обеспечению информационной безопасности сети связи должен допускаться персонал, имеющий профильное образование». Личное наблюдение — образование по инфобезу да и в целом по IT и реальность очень часто вообще не пересекаются. Будут свадебные офицеры безопасности с дипломами
➡️ Много обязательных периодических действий по безопасности, но нет требования журналирования, так что никто это выполнять не будет
➡️ Устанавливается требование взаимодействия с НКЦКИ (чтобы этот набор букв не значил). Не понятно, что это за взаимодействие, потому что оно нигде не регламентируется. И НКЦКИ о нем ничего не знает (с точки зрения норм)
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🔐 БЕЗОПАСНОСТЬ
➡️ Новые компоненты безопасности сети должны проходить стендовые испытания
➡️ Операторы связи не реже трех раз в год должны уточнять паспорт безопасности по ГОСТ Р 53109-2008 https://docs.cntd.ru/document/1200073585: «Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи». В голове у всех нормотворцев IT — это такой огромный завод с кучей сотрудников... Ещё из ГОСТа: «Опись всей сетевой архитектуры должна содержать... адресные таблицы, таблицы маршрутизации»...
➡️ «Эксплуатационная документация на систему защиты информации сетей связи должна разрабатываться с учетом ГОСТ Р 52448-2005», а защищаться должен в том числе сайт оператора связи
➡️ «К работам по обеспечению информационной безопасности сети связи должен допускаться персонал, имеющий профильное образование». Личное наблюдение — образование по инфобезу да и в целом по IT и реальность очень часто вообще не пересекаются. Будут свадебные офицеры безопасности с дипломами
➡️ Много обязательных периодических действий по безопасности, но нет требования журналирования, так что никто это выполнять не будет
➡️ Устанавливается требование взаимодействия с НКЦКИ (чтобы этот набор букв не значил). Не понятно, что это за взаимодействие, потому что оно нигде не регламентируется. И НКЦКИ о нем ничего не знает (с точки зрения норм)
#regulation #орв 2/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🖥 СИСТЕМА УПРАВЛЕНИЯ СЕТЬЮ СВЯЗИ
чтобы это словосочетание ни значило
➡️ Новые требования к системам управления надо складывать с существующим нормативом. https://www.consultant.ru/document/cons_doc_LAW_342965/5b7236bdd753ba6cd2b3891568acae6e2c503914/ (у него немного более узкая формулировка, но всё же)
➡️ Режим функционирования систем управления сетями связи «24 часа в сутки, 7 дней в неделю, 365/366 дней в году», а также должна присутствовать бегущая строка шрифтом точечками
➡️ «Система управления сетью связи должна содержать основной и резервный пункты управления и управляемые средства связи» и большой зал амфитеатром с плазмой, трибуной и столом для важных совещаний важных комиссий
👎 Я читаю проект норматива по поручению целого Совета Безопасности или маркетинговый булшит?
➡️ «доступность систем управления сетями связи на уровне не менее 99, 9% – суммарное время простоя систем управления сетями связи не более 43,83 час за календарный год». Всегда любил такие цифры. С какого потолка они взяты? Почему такие? Что такое в конце-концов «простой системы управления»? Что это за хрень? Кто писал этот пункт?
😱 «Системы управления сетями связи, являющиеся значимым объектом критической информационной инфраструктуры»… Я запутался. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов. Или я не понимаю что такое объект КИИ. Или я не могу их совместить
➡️ «Система управления сетью связи не должна взаимодействовать с сетями связи других операторов, входящих в состав ССОП». Я не знаю на что намек. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов
➡️ « адресное пространство технологической сети не должно пересекаться с адресным пространством, предназначенным для узлов связи сетей связи, входящих в состав сети связи оператора связи или пользователей услугами». Желание разработчиков нормативов Минцифры и Роскомнадзора формулировать частности общими словами, ни к чему не прикрепляя, делает этот пункт (значение которого я на самом деле угадываю) бессмысленным бредом
‼️ «Для обеспечения устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи должны применяться средства защиты информации, имеющие сертификат ФСТЭК России». Я такой ни одной не знаю. Прощайте независимые операторы связи
‼️ «обеспечение конфиденциальности и целостности информации управления должно осуществляться с использованием сертифицированных СКЗИ». Прощайте независимые операторы связи серия 2 сцена 3
❌ «должна быть исключена возможность управления средствами связи с территории иностранного государства». Передали привет админам в отпусках. Не, ну а что? Нефиг в отпуске работать
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🖥 СИСТЕМА УПРАВЛЕНИЯ СЕТЬЮ СВЯЗИ
чтобы это словосочетание ни значило
➡️ Новые требования к системам управления надо складывать с существующим нормативом. https://www.consultant.ru/document/cons_doc_LAW_342965/5b7236bdd753ba6cd2b3891568acae6e2c503914/ (у него немного более узкая формулировка, но всё же)
➡️ Режим функционирования систем управления сетями связи «24 часа в сутки, 7 дней в неделю, 365/366 дней в году», а также должна присутствовать бегущая строка шрифтом точечками
➡️ «Система управления сетью связи должна содержать основной и резервный пункты управления и управляемые средства связи» и большой зал амфитеатром с плазмой, трибуной и столом для важных совещаний важных комиссий
👎 Я читаю проект норматива по поручению целого Совета Безопасности или маркетинговый булшит?
➡️ «доступность систем управления сетями связи на уровне не менее 99, 9% – суммарное время простоя систем управления сетями связи не более 43,83 час за календарный год». Всегда любил такие цифры. С какого потолка они взяты? Почему такие? Что такое в конце-концов «простой системы управления»? Что это за хрень? Кто писал этот пункт?
😱 «Системы управления сетями связи, являющиеся значимым объектом критической информационной инфраструктуры»… Я запутался. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов. Или я не понимаю что такое объект КИИ. Или я не могу их совместить
➡️ «Система управления сетью связи не должна взаимодействовать с сетями связи других операторов, входящих в состав ССОП». Я не знаю на что намек. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов
➡️ « адресное пространство технологической сети не должно пересекаться с адресным пространством, предназначенным для узлов связи сетей связи, входящих в состав сети связи оператора связи или пользователей услугами». Желание разработчиков нормативов Минцифры и Роскомнадзора формулировать частности общими словами, ни к чему не прикрепляя, делает этот пункт (значение которого я на самом деле угадываю) бессмысленным бредом
‼️ «Для обеспечения устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи должны применяться средства защиты информации, имеющие сертификат ФСТЭК России». Я такой ни одной не знаю. Прощайте независимые операторы связи
‼️ «обеспечение конфиденциальности и целостности информации управления должно осуществляться с использованием сертифицированных СКЗИ». Прощайте независимые операторы связи серия 2 сцена 3
❌ «должна быть исключена возможность управления средствами связи с территории иностранного государства». Передали привет админам в отпусках. Не, ну а что? Нефиг в отпуске работать
#regulation #орв 3/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🛠 ОБСЛУЖИВАНИЕ СЕТЕЙ СВЯЗИ
😂😂😂 «В случае использования ресурсов сети связи оператора связи для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка, персонал, обеспечивающий управление сетью связи оператора связи, должен иметь допуск к сведениям, составляющим государственную тайну». Вот это отличный пункт. Чтобы никто ничего не отнял следует просто не держать в штате обслуживающего персонала людей с формой секретности. Перестарались с пафосом и драматичностью. Аплодирую стоя.
😎 Раз в квартал следует подавать в ФСБ сведения об иностранном персонале и привлекаемых к обслуживанию иностранных организациях. Состав сведений прилагается
➡️ «Средства связи должны быть укомплектованы комплектом эксплуатационной документацией в соответствии с ГОСТ Р 2.601-2019». А каждая стойка продублирована шкафом для документов. Внутрь ГОСТ не полез
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🛠 ОБСЛУЖИВАНИЕ СЕТЕЙ СВЯЗИ
😂😂😂 «В случае использования ресурсов сети связи оператора связи для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка, персонал, обеспечивающий управление сетью связи оператора связи, должен иметь допуск к сведениям, составляющим государственную тайну». Вот это отличный пункт. Чтобы никто ничего не отнял следует просто не держать в штате обслуживающего персонала людей с формой секретности. Перестарались с пафосом и драматичностью. Аплодирую стоя.
😎 Раз в квартал следует подавать в ФСБ сведения об иностранном персонале и привлекаемых к обслуживанию иностранных организациях. Состав сведений прилагается
➡️ «Средства связи должны быть укомплектованы комплектом эксплуатационной документацией в соответствии с ГОСТ Р 2.601-2019». А каждая стойка продублирована шкафом для документов. Внутрь ГОСТ не полез
#regulation #орв #ибу 4/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
☀️ НЕМНОГО БОЛТОВНИ
Я бы предложил в качестве регуляторной песочницы применить эти все требования к информационным ресурсам органов государственной власти и Единой Сети Передачи Данных органов власти. Обязать разработать эксплуатационную документацию на систему защиты информации сетей с учетом ГОСТ Р 52448-2005 для сайтов kremlin.ru, government.ru, которые до сих пор не имеют HTTPS. Вновь вводимые или измененные компоненты системы информационной безопасности как в ЕСПД, так и на информационных ресурсах госорганов должны тестироваться отдельно для подтверждения их функционирования, и в последующем в операционном окружении для подтверждения того, что их интеграция в сеть связи не ухудшает показатели качества услуг связи и/или функций системы информационной безопасности. А то, вон, в начале лета потеряли с обновлением автоматизацию реестра PKI на сайте Госуслуг. И паспорт безопасности по ГОСТ, и ипмортозамещение в СХД, и сертификация ФСТЭК системы управления ЕСПД и элементами инфобезпасности. Заодно будут и затраты все видны, и эффективность.
❤️ Отличное же предложение?
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
☀️ НЕМНОГО БОЛТОВНИ
Я бы предложил в качестве регуляторной песочницы применить эти все требования к информационным ресурсам органов государственной власти и Единой Сети Передачи Данных органов власти. Обязать разработать эксплуатационную документацию на систему защиты информации сетей с учетом ГОСТ Р 52448-2005 для сайтов kremlin.ru, government.ru, которые до сих пор не имеют HTTPS. Вновь вводимые или измененные компоненты системы информационной безопасности как в ЕСПД, так и на информационных ресурсах госорганов должны тестироваться отдельно для подтверждения их функционирования, и в последующем в операционном окружении для подтверждения того, что их интеграция в сеть связи не ухудшает показатели качества услуг связи и/или функций системы информационной безопасности. А то, вон, в начале лета потеряли с обновлением автоматизацию реестра PKI на сайте Госуслуг. И паспорт безопасности по ГОСТ, и ипмортозамещение в СХД, и сертификация ФСТЭК системы управления ЕСПД и элементами инфобезпасности. Заодно будут и затраты все видны, и эффективность.
❤️ Отличное же предложение?
Давайте разбавлю поток нормативов таки блокировочками. Мой Учитель (я выделял для себя его посты в RU.FREEBSD в fidonet, в те времена, когда я только открыл для себя большую толстую книжку бабушки Немет) пишет нам в ЖЖ охтличную историю, хотя, для меня и моих читателей она уже типовая:
https://dadv.livejournal.com/209234.html
«Как работает Роскомнадзор образца лета 2020 года в части блокировок интернета. Практический пример.
В 2013 году появляется публикация https://auto.mail.ru/article/43154-prodazha_voditelskih_prav_30_tysyach_s_avtoshkoloi_50_tysyach_bez/ под заголовком "Прoдaжa вoдитeльских прaв: 30 тысяч с автошколой, 50 тысяч — без" и подзаголовком "МВД России по Забайкальскому краю совместно с УФСБ России разоблачили преступную группу, члены которой оформляли вoдитeльскиe удoстoвeрeния без сдачи экзаменов".
Тогда же местный кузбасский новостной портал перепечатывает новость verbatim (со ссылкой): https://www.city-n.ru/view/328501.html
В 2020 робот находит перепечатку, очевидно по словам "Прoдaжa вoдитeльских прaв". Безо всякой проверки человеком, которая тут же бы отсеила заметку, адрес попадает в список, который автоматически "подмахивается" судом, проверка на https://eais.rkn.gov.ru/ сообщает:
Номер и дата основания для внесения в реестр: 2а-575/2020 от 11.06.2020
Орган, принявший решение о внесении в реестр: Тындинский районный суд - Амурская область
Все получают галочки и зарплату из бюджета.»
И как правильно замечают в каментах — никто не понесет ответственность. Эти тысячи, десятки тысяч неправовых решений ни о чем сойдут с рук и прокурорам, и судам. Более того, они все скорее всего премии получают по итогам отчетов. У меня нет способа прекратить эту вакханалию. Ну разве что лично у Андрея Липова чисто как гражданина что-то щёлкнет и они в Роскомнадзоре начнут все эти тысячи писулек прямой наводкой в Следственный Комитет слать начнут. Правда, это грозит резким дефицитом кадров в судах и прокуратурах
https://dadv.livejournal.com/209234.html
«Как работает Роскомнадзор образца лета 2020 года в части блокировок интернета. Практический пример.
В 2013 году появляется публикация https://auto.mail.ru/article/43154-prodazha_voditelskih_prav_30_tysyach_s_avtoshkoloi_50_tysyach_bez/ под заголовком "Прoдaжa вoдитeльских прaв: 30 тысяч с автошколой, 50 тысяч — без" и подзаголовком "МВД России по Забайкальскому краю совместно с УФСБ России разоблачили преступную группу, члены которой оформляли вoдитeльскиe удoстoвeрeния без сдачи экзаменов".
Тогда же местный кузбасский новостной портал перепечатывает новость verbatim (со ссылкой): https://www.city-n.ru/view/328501.html
В 2020 робот находит перепечатку, очевидно по словам "Прoдaжa вoдитeльских прaв". Безо всякой проверки человеком, которая тут же бы отсеила заметку, адрес попадает в список, который автоматически "подмахивается" судом, проверка на https://eais.rkn.gov.ru/ сообщает:
Номер и дата основания для внесения в реестр: 2а-575/2020 от 11.06.2020
Орган, принявший решение о внесении в реестр: Тындинский районный суд - Амурская область
Все получают галочки и зарплату из бюджета.»
И как правильно замечают в каментах — никто не понесет ответственность. Эти тысячи, десятки тысяч неправовых решений ни о чем сойдут с рук и прокурорам, и судам. Более того, они все скорее всего премии получают по итогам отчетов. У меня нет способа прекратить эту вакханалию. Ну разве что лично у Андрея Липова чисто как гражданина что-то щёлкнет и они в Роскомнадзоре начнут все эти тысячи писулек прямой наводкой в Следственный Комитет слать начнут. Правда, это грозит резким дефицитом кадров в судах и прокуратурах
И рубрика «Telegram channel driven troubleshooting». Кто у нас ещё не сделал TLS1.2 и не открывается в FireFox? Правильно, сайт с нормативно-правовыми актами Правительства Санкт-Петербурга, в том числе с постановлениями Беглова:
https://npa.gov.spb.ru/
У них там правда старый IIS наружу торчит, но тут уж что... Кому писать не знаю
https://npa.gov.spb.ru/
У них там правда старый IIS наружу торчит, но тут уж что... Кому писать не знаю
И немного про Персональные Данные в Государственных информационных системах. Жутчайшие утечки этих данных из них и связанные с этим резонансные новости дали некий эффект. На портале проектов правовых актов появилось уведомление о начале разработки поправок в закон «о Персональных данных» ввиду недостаточного уровня информационной безопасности государственных информационных систем в Российской Федерации и защищенности персональных данных граждан Российской Федерации:
https://regulation.gov.ru/p/106181
✅ Свои предложения можно оставить там до 04 августа 2020 г
✅ Многие общественные объединения много говорили об этом. Это шанс проявить себя. Это не Госдума, сюда можно писать и даже получить какую-то реакцию
✌️ У меня есть особое мнение. Проблема работы в области защиты персональных данных в государственных системах заключается собственно в отсутствии какой-либо работы. И конечно в глубокой коррумпированности (простите уж за прямоту). Вот скажите, какой закон позволил ФНС СПб выдать мой личный телефон всем кому ни лень при регистрации ИП? Почему мне звонили некие «партнеры банков» ещё до того, как даже сайт ФНС обновил базу? Ведь у этой проблемы есть совершенно конкретные имена, фамилии и суммы
https://regulation.gov.ru/p/106181
✅ Свои предложения можно оставить там до 04 августа 2020 г
✅ Многие общественные объединения много говорили об этом. Это шанс проявить себя. Это не Госдума, сюда можно писать и даже получить какую-то реакцию
✌️ У меня есть особое мнение. Проблема работы в области защиты персональных данных в государственных системах заключается собственно в отсутствии какой-либо работы. И конечно в глубокой коррумпированности (простите уж за прямоту). Вот скажите, какой закон позволил ФНС СПб выдать мой личный телефон всем кому ни лень при регистрации ИП? Почему мне звонили некие «партнеры банков» ещё до того, как даже сайт ФНС обновил базу? Ведь у этой проблемы есть совершенно конкретные имена, фамилии и суммы