Cisco по-русски

Уже давно подготовил 2 заметки по Cisco, но руки не доходили опубликовать, поэтому сейчас решил объединить их вместе и выложить как единый материал.

Последние пару лет все чаще слышно о том, что Cisco попало под немилость российского регулятора по криптографии. И в общем-то со стороны все так и выглядит:

С 2008 года по дистрибьюторам и заказчикам пошла информация, что криптографическое оборудование с маркировкой К9 ввозить не будут. И через несколько месяцев слух стал реальностью, К9 перестали пропускать через таможню.

Вся эта беда была с одной стороны делом времени, с другой провоцировалась, положа руку на сердце, самой Cisco’й. Например, оборудование с функцией шифрования продавалось дешевле, такого же оборудования без функции шифрования. Функционала больше, а цена ниже, причем значительно. Ну чем не провокация?

Не так давно проблема с импортом К9 от Cisco была частично решена. Если раньше ФСБ не пропускали такое оборудование вообще, и уверяли потенциальных заказчиков, что «не дождетесь», то теперь и маркировку К9 ограниченно ввозят. Под конкретного заказчика, в ограниченном объеме и с разрешения ФСБ. По всей видимости, закупки обосновываются, как «для себя», т.е. компании покупают оборудования для организации своей собственной работы, но не для предоставления услуг клиентам (например, интернет-банкинга).

Странным образом это «потепление» произошло на фоне переговоров с Cisco’й о ее участии в российской инновационной программе.

Как мы знаем президент Медведев выделил 5 направлений инновационного развития России:

1. энергоэффективность и энергосбережение
2. ядерные технологии
3. космос
4. медицина
5. информационные технологии

Генеральный директор российской Cisco Павел Бетсис открыто заявляет:

«Мы хотим стать доверенным советником для ИКТ-отрасли России»

имея ввиду доверенность власти:

«Очень большая часть экономики России сосредоточена в сегменте государственного бизнеса, поэтому данному направлению следует уделить особое внимание».

Грубо говоря Cisco желает возглавить одно из 5 направлений инновационного развития России.

Напомню, что Cisco был создан Russia Board – корпоративный Совет по программам и инвестициям в России. В рамках этого Совета принято решение инвестировать 1 млрд. долларов в «развитие предпринимательства и устойчивых инноваций» в нашей стране.

И тут, как и у президента есть свои 5 направлений:

1. Cisco объявила о том, что дополнительно выделит на венчурные инвестиции в российскую инновационную экономику 100 млн. долларов. (Глупость полнейшая, российские фонды переполнены деньгами, которые просто некуда вкладывать, потому что нормальных проектов нет. )
2. Cisco обеспечит свое физическое присутствие в Инновационном центре Сколково. Интересно…
3. Cisco расширит объем ресурсов, выделяемых для научных исследований и конструкторских разработок в России. Еще интересней. Предполагается, что по завершении строительства инфраструктуры в Сколково будет сформирована вторая глобальная штаб-квартиру для отдела перспективных технологий Cisco (Emerging Technologies Group). Также Cisco разместит в Сколково специалистов своей инженерной команды и будет использовать инновационную платформу Cколково для создания ряда новых бизнес-подразделений.
4. Cisco будет нацелено на совместную разработку моделей выхода на рынок, обеспечивающих успешную деятельность предприятий-стартапов в партнерстве с российским венчурным сообществом. Ну это ни о чем.
5. Cisco разработает новую модели партнерства с существующими российскими предприятиями, венчурными и технологическими компаниями. Тоже ни о чем.

Теперь подробнее к пунктам 2 и 3.

Физическое присутствие в Сколково подразумевает создание производственных мощностей:

«Скорее всего, мы начнем с небольшого производства компонентов, пользующихся спросом в России» говорит Павел Бетсис.

Для этого Сколково и создается. Там будет особая таможенная зона. И то оборудование, которое будет создаваться на ее территории, теоретически, должно без преград выходить на российский рынок.

Есть подозрение, что вопрос криптографии должен найти свое решение именно на территории Сколково и аналогичных территорий. Однако! Как это будет решаться? – вопрос открытый. Может быть, то оборудование, которое будет собираться в Сколково с западными алгоритмами шифрования будет проходить на российский рынок без ограничений, или собираемое оборудование будет каким-то образом дорабатываться, сертифицироваться… трудно сейчас сказать. При этом, по всей видимости, скоро консультации на тему использования неГОСТового шифрования должны закончиться, и участникам дискуссии с российской стороны придется поменять схему допуска и использования западных стандартов шифрования в России.

Как заключение

Подытоживая написанное хочу сказать, что не смотря на возникшие сложности ввоза К9 в Россию, Cisco вовсе не вошла кому-то в немилость, это лишь конфликт рода: «вы сгрубили – мы сгрубили». Никакая крупная западная компания не будет заявлять о вложении в 1 миллиард долларов в очень рисковые проекты без уверенности в поддержке власти, особенно этот принцип актуален для России, где государственный сектор и подконтрольные государству сектора составляют большую часть экономики.

Совместное исследование 2

В общей сложности в 2- недельном опросе поучаствовали около 200 человек. В результате наиболее спорными сообщество считает следующие темы (ТОР-7):

1) Требования по защите и конфиденциальности 31%
2) Аутсорсинг обработки персональных данных, в том числе трансграничный 21%
3) Межведомственная передача персональных данных 12%
4) Обработка персональных данных в рамках принуждения субъекта к выполнению обязательств 11%
5) Черные списки 10%
6) Персональные данные, представляющие общественный интерес 8%
7) Сведения о судимости и административных правонарушениях 7%

В общем-то на этих темах мы и остановимся.

Также для сведения мы приняли следующие замечания. Особенно всем понравилось предпоследнее 😉 , чтож, будем и над этим работать:

8 ) Обработка ПДн в медицинских учреждениях (ПДн в учреждениях здравоохранения, к примеру АРМ с ПДн всего отделения (К1) на посту медсестры, а еще интересно что делать с обходом, заходит врач и при всей палате зачитывает состояние пациента петрова)
9)
Письменные согласия субъектов. Получение согласия субъекта ПД
10)
Общедоступность ПДн
11)
необходимость лицензии на ТЗКИ
12)
финансирование работ по ИБ в госструктурах
13)
Проблема состоит в том, что проблематично проследить источник распространения ПДн.
Коллизия заключается в том, что источником ПДн, хранителем ПДн является субъект. Если оператор обязан обеспечивать их конфиденциальность, то субъект не обязан.
Можно требовать защищать ПДн о болезни субъекта. А тот же субъект вопит на всю Ивановскую про свои болезни и свои несчастья.
Это не значит, что нужно обязать субъекта сохранять конфиденциальность. Это значит — нужно вводить положения учитывающие для операторов такое положение дел.
14)
Обезличенные и общедоступные ПДн в свете Web 2.0, 3.0, социальных сетей и т.п.
15)
Вопрос об отнесению к ПДн — что есть ПДн, а что не является ПДн.
16)
Какие виды ПД подлежат защите — любые, в том числе рассеянные по массиву документов (включая Интернет), или же данные в базах данных, ориентированных на обработку ПД, и в бумажных персональных делах?
17)
Что наказывается в мировой практике: невыполнение требований к защите процессов обработки, или же ущерб вследствие разглашения ПД?
18)
Противоречие между защитой ПД (в частности, запретом на объединение баз данных и на нецелевое использование ПД) — и оказанием электронных услуг населению.
19)
Для прокуроров желательно четко объяснить, что требования по уничтожению ПД по завершении обработки не «пересиливают» иные требования законодательства — например, к сохранению документов в течение установленных сроков хранения.
20)
Кто определяет цели и состав обработки ПДн для территориальных органов ФОИВ — самостоятельных юр.лиц?
21)
Отсутствие гармонизации между законодательством в сфере персональных данных и различными видами тайн.
22)
Блокирование ПД
23)
Как защищаются ПД в мелком бизнесе?
24)
Для меня лично главная проблема — многабукв.
Вот я ИП, с мааааленьким Интернет-магазином, с мааааленьким оборотом, на зарубежном виртуальном хостинге. Найти в куче словес те, которые соответствуют моей ситуации у меня просто нет сил. Уже два года пытаюсь понять — выживу я после ввода закона в действие, или придет какая-нибудь комиссия и опа — штраф в 80000 для маня будет фатальным.
25)
перенос
26)
toparenko и Алексей Волков — а кто это?
27)
Аутсорс только на первый взгляд панацея, в нашей стране давно уже отработана схема фирм-однодневок (со всеми необходимыми документами, лицензиями и сертификатами). Так что, думаю, организации надо быть готовой к тому, что регуляторы найду то, чего им надо найти, фирма ответственная за построение СЗКИ пропала, а с ней могут уйти и защищаемые данные. Вот как-то так.

Всем читателям огромное спасибо.

По состоянию на сегодняшний день, на невероятном энтузиазме Алексея исследование готово уже почти на 80-90%.

Покупка документов по защите персональных данных или обучение?

Вообще к идее покупки шаблонов документов по персональным данным я отношусь отрицательно. Даже при условии получения удаленной консультации, результаты работы будут убогими.

Если отбросить все остальные работы по защите персональных данных и сосредоточится только на организационно-распорядительной документации, то дело не в наличие документов, а в том, как правильно они применены. Поэтому покупать документы смысла вообще нет, да и участники рынка это уже осознали.

Не намного интереснее выглядят последние услуги некоторых компаний, суть которых все равно сводится к продаже документов по защите персональных данных. Вот GlobalTrust Solutions предлагают документы, при создании которых были даже «учтены требования британского стандарта BS 10012:2009 RU, предъявляемые к системам управления персональными данными (СУПДн), а также требования международных стандартов 2700х серии». Из нашей с Алексеем последней статьи следует, что большого смысла в этом не было, но видимо разработчики услуги решили, что в этом есть конкурентное преимущество… может быть…

За N-ую сумму предлагается не только получить стопку бумаги, но еще и консультацию.

Факт получения стопки бумаги даже с консультацией практически ничего не дает, ОДНАКО, правильно применив нужный документ, можно действительно решить какую-то маленькую проблемку. Например, за счет правильной разбивки на ИСПДн можно снизить класс системы и уменьшить количество целого ряда документов.

Обо всех подобных тонкостях в рамках удаленных консультаций узнать нельзя, для этого нужно как минимум обучение на несколько дней по хорошей программе. Только в этом случае будет минимальный, но смысл.

Кстати об обучении… думаю многим будет интересно, недавно НПО «Эшелон» объявили о розыгрыше сертификатов на обучение на курсах, согласованных со ФСТЭК России, в учебных центрах «Эшелон» и АИС. Для этого на портале ispdn.ru нужно поучаствовать в опросе (участие могут принять только зарегистрированные пользователи портала). Подробности акции можно посмотреть здесь.