Эшер II A+
16.2K subscribers
504 photos
28 videos
73 files
2.03K links
Канал «Неугомонного Фила» про блокировки
Сайт: https://usher2.club
Бот: https://t.iss.one/u2ckbot

VPN: https://t.iss.one/FarscapeBot

Поддержите меня: https://t.iss.one/usher2/2424

#позиция #ликбез #donate
#doc #regulation #экскурс #история

Контакт: @schors
Download Telegram
#regulation Не моя немного тематика. Но я считаю, что многим будет полезно. И почитать, и возможно поучаствовать. Проект постановления правительства России «Об утверждении Правил предоставления субсидии из федерального бюджета Российскому фонду развития информационных технологий ‎на возмещение затрат по использованию субъектами малого и среднего предпринимательства российского программного обеспечения»:
https://regulation.gov.ru/p/110264

☝️ Собственно, минцифра предлагает обсудить (точнее, они формально обязаны), как бы малому бизнесу найти российские программы, а тем — клиентов в лице малого бизнеса. Что делать вы все знаете:
• Регистрируемся на портале regulation.gov.ru, если ещё нет
• Пишем свои замечания и предложения в конструктивном ключе

Проект почему-то не размещен для процедуры оценки регулирующего воздействия. Мне не очевидно почему. Явно причин не указано. Я хочу отметить, что я считаю процедуру ОРВ не назойливым наказанием, а прекрасной возможностью всесторонне обсудить проект. Фраза в пояснительной записке «не повлечет социально-экономических, финансовых и иных последствий» на мой субъективный взгляд юмористическая и противоречит и названию, и всем целям проекта акта из той же записки. Создается впечатление, что она туда попала именно в целях избежания процедуры ОРВ
#regulation Опять очень косвенная тема для канала. Но довольно важная, тем более в телекоме, который обкладывают сотнями новых требований в час. Есть такой закон определяющий основы установления и оценки применения содержащихся в нормативных правовых актах требований, которые связаны с осуществлением предпринимательской и иной экономической деятельности — закон «об обязательных требованиях». Правительство России планирует создать единый реестр обязательных требований. Реестр консолидирует информацию по всем требованиям в зависимости от сферы экономической деятельности — от нормативных источников требований до возможных санкций за их нарушения:
https://regulation.gov.ru/p/110241

👉 Предполагается, что разработает и будет поддерживать реестр Минцифра. Идеологической поддержкой и вести сам реестр будет Минэк. К 01 марта 2021 года Минцифра должна создать и запустить этот реестр. К проекту постановления прилагается план-график, когда ФОИВы должны будут внести сведения о своих требованиях в этот реестр

☝️ Тема с реестром обязательных требований интересная. Хотелось бы нормального описания и реализации. А не как всегда

💥 Общественное обсуждение проекта продлится до 20 ноября.

Если вдруг у кого-то есть мнение, как должен выглядеть реестр, или опыт в составлении ТУ и ТЗ — ваш звездный час. Надо зарегистрироваться на сайте https://regulation.gov.ru или войти на него через Госуслуги, если вы ещё этого не сделали, прочитать текст проекта постановления и возможно дополнить его, переписать, или высказать замечания, или всё это вместе
#regulation #орв 0/4 Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 24 ноября 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ

⚠️ Это уже второй подход к снаряду. Прошлый был в июле 2020. С теми же замечаниями по процедуре. Из новой версии документа убрано много воды и лозунгов. Но многие спорные пункты просто перефразированы

➡️ В новой версии нормы действие её ограничено сетью связи общего пользования, исключая радио и телевизор, но включая технологические сети связи с номером автономной системы (что с точки зрения российского законодательства является оксюмороном)

➡️ Усиливается контроль государства, которое лучше знает как строить сети связи, вводится ряд сертификаций (новый рынок для ФСТЭК), ограничивается возможность иностранного вмешательства, бюрократизируется обслуживание сетей, вводятся новые требования к системе управления сетями связи, вводится регулирование деятельности обслуживающего персонала и привлекаемых лиц сторонних организаций, устанавливаются обязательные периодические процедуры — мониторинг, измерения, журналы. К последним устанавливаются требования к оформлению и хранению

💥 Норматив вводит новые требования для участников отношений — система управления сетями, журналы, измерения, специальная защита. Однако, степень регулирующего воздействия указана как средняя вместо высокой

💥 Согласно представленному сводному отчету участники отношений не понесут расходов. Это возмутительная ложь. Пункты 11 и 12 сводного отчета не заполнены

➡️ Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов

ЧТО ДЕЛАТЬ

Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
Садишься выпить чашечку кофе? Зайди на портал и выскажись
Почитал про коронавирус? Зайди на портал и выскажись
Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишу

ДАЛЬШЕ САГА В ЧЕТЫРЕХ ЧАСТЯХ О СОДЕРЖИМОМ
🔐 Безопасность
🖥 Система управления сетями
🛠 Обслуживание сетей
👽 Привлечение сторонних организаций
#regulation #орв 1/4 Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 24 ноября 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ

🔐 БЕЗОПАСНОСТЬ

➡️ Очень много воды про то, что системы безопасности создаются для безопасного обеспечения безопасного функционирования сетей, систем управления и баз данных оператора связи. Эксплуатация систем безопасности должна быть безопасной во имя безопасности

➡️ К средствам обеспечения информационной безопасности сетей связи отнесли в том числе обеспечение бесперебойного питания и резервирование оборудования и программ

➡️ Отсылка к тому, что если есть объекты КИИ, то должны соблюдаться требования закона о защите КИИ. Я пропустил какой-то конкурс на цитируемость этого понятия?

💥 Операторы связи не реже трех раз в год должны уточнять паспорт безопасности по ГОСТ Р 53109-2008 https://docs.cntd.ru/document/1200073585 : «Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи». В голове у всех нормотворцев IT — это такой огромный завод с кучей сотрудников... Ещё из ГОСТа: «Опись всей сетевой архитектуры должна содержать... адресные таблицы, таблицы маршрутизации»...

➡️ Внезапный пункт требований к обслуживанию средств криптографической защиты, основу которых составляют требования по доступу лиц к СКЗИ

➡️ Оператор связи обязан не реже раза в год проводить аудит систем управления с отчетом произвольной формы

➡️ Оператор связи должен разработать и утвердить регламент, который должен содержать правила и процедуры выявления, анализа ‎и устранения уязвимостей сетей связи (этот пункт, кстати, почему-то «завис» в разделе поиска уязвимостей системы управления сетей связи). Не знаю что это. Видимо папка с таким названием

☝️ По сравнению с предыдущей версией проекта норматива, из раздела про безопасность убраны требования к квалификации персонала, стендовые испытания, обязательные процедуры, общение с НКЦКИ (люблю пиарить эту организацию: https://www.gov-cert.ru/ ). В итоге все требования к безопасности при эксплуатации стали выглядеть… знаете, как книга из которой вырваны страницы. Жесткий паспорт безопасности, повисший в вакууме
#regulation #орв 2/4 Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 24 ноября 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ


🖥 СИСТЕМА УПРАВЛЕНИЯ СЕТЬЮ СВЯЗИ
некая «система управления сетью связи» — это что-то, существующее только в голове у нормотворцев. У большинства операторов нет какой-то единой системы управления сетью

➡️ Новые требования к системам управления надо складывать с существующим нормативом. https://www.consultant.ru/document/cons_doc_LAW_342965/5b7236bdd753ba6cd2b3891568acae6e2c503914/ (у него немного более узкая формулировка, но всё же)

По сравнению с предыдущей версией проекта норматива, из него убран весь этот булшит по 24/7/365, 99.9%, 7” и так далее

В новой версии проекта норматива убраны требования к обязательной сертификации систем управления и обеспечения целостности с помощью сертифицированных СКЗИ

«Управление сетями связи должно осуществляться только ‎с территории Российской Федерации». Передали привет админам в отпусках. Не, ну а что? Нефиг в отпуске работать

💥 «39. Для изоляции сегмента управления сетью связи от других сетей связи оператор должен организовать: 1)выделенные транзитные пункты сигнализации, которые должны обеспечивать автоматизацию управления сетью сигнализации и обработки сообщений сигнализации (управление критическим процессом, обработка ‎и передача информации)»… Кто писал этот текст? Что он означает?

Если я правильно понимаю общую междустрочную суть пунктов 39, 40 и 41, предлагается управлять сетями связи только по выделенным сетям или каналам (норма различает эти понятия, за ними наверное стоит провод и vlan соответственно). VPN в целях управления поверх общей сети разрешается, но условия, при котором он разрешается, я не смог понять

«Пропуск трафика системы управления сетями связи через территорию иностранного государства не допускается за исключением ...» (кроме посольств, Калининграда и прочего). Внимательно следите, чтобы трафик до управляемой единицы не пошёл через границу, и если пошел — стреляйте себе в ногу из реактивного патрона с разрывной боеголовкой
#regulation #орв 3/4 Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 24 ноября 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ

🛠 ОБСЛУЖИВАНИЕ СЕТЕЙ СВЯЗИ

Из новой версии проекта норматива убрано требование документации к средствам связи по ГОСТ 2.601-2019

Из новой версии проекта норматива убрано смешное требование наличия сотрудника с допуском к гостайне. В предыдущем проекте такой сотрудник предполагался, если сетью желало воспользоваться государство

➡️ Неимоверное количество воды про эксплуатацию сетей связи. Навязанная классификация

Требование не реже раза в год производить большое количество измерений под протокол. Подвох тут конечно же в сертифицированных средствах измерения, которые должны быть или появиться

«Сведения о проведении профилактических работ, аварийно-восстановительных работах и ремонте средств связи по запросам федерального органа исполнительной власти в области связи, федерального органа исполнительной власти в области обеспечения безопасности, федерального органа исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, а также Центра мониторинга и управления сетью связи общего пользования должны быть представлены оператором связи в течение трех часов с момента поступления запроса». Сферическое требование в вакууме:
• А если попросили все, кому приоритет? Всем отдать? А если будет принята поправка в закон, дающее право выдать только одному? Поправку тоже Минцифра внесла
• А «запрос» это в данном случае что? 3 часа после поступления заказного письма на имя организации? Отлично. Но зачем? А если иное, то что?
• Формат сведений какой? Тексты в «лексиконе» подойдут?

☝️ Отдельно замечу, что сама Минцифра просто на 10 листах проект-то нормально не может. То два трека размещения, то не та степень, то сводный отчет не заполнен (и в этот раз), то проект публикуется от давно уволившегося сотрудника. Да вон, у них тут даже в паспорте два адреса Минцифры указано — на Тверской 7 и на Пресненской 10. А провайдеры конечно все чётко будут вести такие журналы
#regulation #орв 4/4 Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 24 ноября 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ

👽 ПРИВЛЕЧЕНИЕ СТОРОННИХ ОРГАНИЗАЦИЙ
обращаю внимание — требования относятся к любой сторонней организации, только часть пунктов говорит об иностранной

«Сторонняя организация в лице иностранного юридического лица, привлекаемая оператором связи к выполнению работ, связанных с эксплуатацией сети связи и (или) управлению сетью связи, обязана иметь российское представительство на территории Российской Федерации». Это такой косвенный протекционизм производителям оборудования

«Оператор связи обязан организовать единую точку подключения для доступа сторонних организаций (лиц) к управлению средствами связи...» Чтобы что?

Оператор должен полностью контролировать и записывать все действия сторонней организации. Вообще все. И анализировать их. Мне почему-то кажется, что это слабовыполнимое требование в общем случае

💥 Специальные требования к договору со сторонней организацией

😎 Раз в квартал следует подавать в ФСБ сведения об иностранном персонале и привлекаемых к обслуживанию иностранных организациях. Состав сведений прилагается. Подаются сведения электронно. Или бумажно, если невозможно электронно. Странное уточнение. Кому невозможно? Что такое «подача в электронном виде»?

➡️ Оператор связи должен хранить в течение трех лет информацию ‎о всех действиях со средствами связи приведенными ниже, выполненных работниками оператора связи и (или) сторонними организациями в процессе управления сетью связи, в том числе с использованием удаленного доступа
#regulation #орв СЕГОДНЯ ПРЕДПОСЛЕДНИЙ ДЕНЬ ОБСУЖДЕНИЯ!!! Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ

➡️ Усиливается контроль государства, которое лучше знает как строить сети связи, вводится ряд сертификаций (новый рынок для ФСТЭК), ограничивается возможность иностранного вмешательства, бюрократизируется обслуживание сетей, вводятся новые требования к системе управления сетями связи, вводится регулирование деятельности обслуживающего персонала и привлекаемых лиц сторонних организаций, устанавливаются обязательные периодические процедуры — мониторинг, измерения, журналы. К последним устанавливаются требования к оформлению и хранению

💥 Норматив вводит новые требования для участников отношений — система управления сетями, журналы, измерения, специальная защита. Однако, степень регулирующего воздействия указана как средняя вместо высокой

💥 Согласно представленному сводному отчету участники отношений не понесут расходов. Это возмутительная ложь. Пункты 11 и 12 сводного отчета не заполнены

➡️ Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов

ЧТО ДЕЛАТЬ

Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
Садишься выпить чашечку кофе? Зайди на портал и выскажись
Почитал про коронавирус? Зайди на портал и выскажись
Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишу

⚠️ У вас ещё есть день. Это важно
#regulation #орв 1/3 Рубрика «внезапная аналитика»

👉 В марте Минцифра разработала проект норматива по мониторингу соблюдения операторами связи обязанности по проверке достоверности сведений об абоненте и пользователях. Проектом предусмотрены сроки, состав и порядок передачи сведений в систему мониторинга Роскомнадзора. Этот проект разработан по требованием Федерального закона №533 от 30 декабря 2020 года (мои любимые даты принятия законов):
https://regulation.gov.ru/p/114142

ЗАКОН. Сам №533-ФЗ – это набор изменений в «закон о Связи». Написан мутно, с массой перефразировок одного и того же. Закон вводит ограничения по продаже SIM-карт (теперь только в стационарных точках), обязанность операторов сотовой связи сверять сведения о корпоративных пользователях с Госуслугами. Для пользователей-устройств должна быть какая-то схема, про которую в подзаконке забыли. Госконтракты из-под действия закона выведены – «cвои» не могут быть хулиганами. И конечно вот это рамочное «содержание и порядок устанавливается Правительством». Якобы закон должен бороться с «серым» рынком «симок» и через это с анонимными звонками о минировании. Главный пробел – нет методики мониторинга и обязанности юрлицам использовать услуги сотовой связи именно в соответствии с этим мониторингом. Объяснение «если один человек звонит одновременно из двух мест» - смехотворно. Юрлиц не ограничивают в способах использования. Понятие «пользователь» расплывчатое, а раздавать телефоны бригадам не перестанут даже если оно будет не расплывчатым.

ПОСТАНОВЛЕНИЕ

👆 Все сведения о пользователях максимально полные. До адреса регистрации и кода подразделения
👆 Сведения об используемом абонентами оборудовании, базовые станции, факты звонков…
👆 Есть такой пункт 2.2, который говорит о том, к каким именно сведениям о корпоративных пользователях предоставляется Роскомнадзору. Далее перечисляются подпункты. И внезапно 2.2.1 промаркирован просто «для физического лица». Для корпоративного физического лица там отдельный пункт 2.2.4. Это противоречит и соответствующему закону, и даже самой норме – собственно пункту 2. Знаете анекдот?
«Автосервис. Клиент смотрит счет и спрашивает у мастера:
- А что за пункт "Прокатило" - 10000 руб????
Мастер:
- Не прокатило, вычеркиваем.»
Про устройства с симками или забыли, или я не распознал в тексте. Зато есть про факты передачи вот этих промустройств. Откуда, куда.
Хотят сведения о фактах SMS и об объеме передаваемых данных. Это точно поможет устранить серый рынок «симок»?
Опасно сформулированные пункты о предоставлении сведений вызывающего и вызываемого номера. Создается впечатление, что эти сведения должны быть без привязки к тому, закреплен ли этот номер за корпоративным пользователем абонента данного оператора
Для организации автоматического взаимодействия обеспечивается организация технологического канала связи не менее 100 Мбит/с.
В аналитике все забыли про тайну личной жизни. Это немного не тайна связи. А вот это всё уже явно влезает именно в личную жизнь. Вот эти «факты передачи», базовые станции (корпоративный пользователь может работать удаленно), номера и так далее
#regulation #орв 2/3 Рубрика «внезапная аналитика»

👉 В марте Минцифра разработала проект норматива по мониторингу соблюдения операторами связи обязанности по проверке достоверности сведений об абоненте и пользователях. Проектом предусмотрены сроки, состав и порядок передачи сведений в систему мониторинга Роскомнадзора. Этот проект разработан по требованием Федерального закона №533 от 30 декабря 2020 года (мои любимые даты принятия законов):
https://regulation.gov.ru/p/114142

СВОДНЫЙ ОТЧЕТ. Я не знаю, стоит ли заводить даже эту песню. Разве есть смысл требовать от органов исполнительной власти выполнение законодательства и нормативов России? Особенно в довольно второстепенной задаче органов исполнительной власти – разработка нормативных актов. Но я попробую все же. Сводный отчет видимо проверяют, а автора этого проекта Лихачева А.В. мы измотали ещё во времена разработки им части документов по «суверенному Рунету». Поэтому он заполнен. Но зачитаешься 😊 Сводный отчет можно посмотреть, нажав на «Информация по этапу» на странице проекта
👆 Пункт 7 «основные группы предпринимательской и иной экономической деятельности». Внесены операторы сотовой связи в основные, а абоненты и пользователи в количестве 100млн. в заинтересованные лица. Но странно, ведь абоненты не просто заинтересованы, а они будут вынуждены следовать этим нормам. И цифра с потолка отличная.
👆 Пункт 11 «оценка расходов субъектов предпринимательской деятельности». Авторы проекта считают, что взаимодействие с информационной системой Роскомнадзора напишет себя само, а канал в 100Мбпс ничего не стоит. Впрочем, поддержание оной информационной системы Роскомнадзором оценено в такую же сумму
👆 Пункт 12 «риски решения проблемы предложенным способом». Дано описание рисков текущей ситуации, указан недостаток в виде отсутствия ответственности. И действительно, какие риски могут быть от самого регулирования? Что я в самом деле кощунствую

РАЗМЕЩЕНИЕ
‼️ Норма содержит новые обязанности для операторов сотовой связи – проверку сведений через ЕСИА и взаимодействие с информационной системой Роскомнадзора. Также новые обязанности косвенно появляются и у корпоративных абонентов, которые будут вынуждены вводить новые требования сотрудникам и соблюдать их исполнение. Степень регулирующего воздействия должна быть высокой
‼️ В сводном отчете содержатся непроверенные неточные данные, оценки расходов и государства, и предпринимателей – не посчитаны