А знаете ли вы единственную сферу в нашей стране, где есть свой собственный регулятор по информационной безопасности? Какая кредитная организация, осуществляющая функции по обязательному страхованию вкладов, гарантирует тайну об операциях своих клиентов? Думаю, вы уже догадались, что речь идёт непосредственно о Банке России. Именно в нём все служащие обязаны хранить тайну о вкладах клиентов и иных сведениях, если это не противоречит федеральному закону. Эта история, мягко говоря, слизана с коммерческой тайны. За исключением того, что всё что относится к банковской тайне уже заранее регламентировано и оговорено на бумаге.

Zip File, мамкины. С вами, Денчик и в сегодняшнем видео мы поговорим об оставшихся тайнах. Государственную и коммерческую уже изучили, по персональным данным прошлись. Осталось только с банковской разобраться.

Помимо этого, в данном уроке я собираюсь затронуть общий закон о связи и чем на практике обернулось введение небезызвестного пакета от госпожи Яровой.

В общем, если интересны данные темы, наливайте себе напиток погорячее и будем погружаться в унылейший мир душнилова и бумажных законов, за знание которых пухлые дяди в затасканных пиджаках платят большие деньжища очкастым задротам вроде меня. Погнали. 

Нооо, прежде чем мы начнём, мне бы хотелось рассказать вам об обучающем курсе, ориентированном на специалистов по информационной безопасности от популярной образовательной платформы SkillBox.

В рамках обучения, авторы, в числе которых преподаватели-практики, из таких крупных международных компаний, как Alibaba Cloud, Tinkoff, QIWI и других, не менее популярных конгломератов, научат вас искать уязвимости, предотвращать угрозы и обеспечивать комплексную безопасность IT-систем.

В конце курса, в вашем портфолио будет не менее 3 полноценных проектов. При этом, практический опыт в области программирования и сетевого администрирования на начальном этапе вообще не является обязательным. 

Всё это уже включено в программу данного курса, записавшись на который вы получите бесплатный доступ к трём модулям “Python Basic” и двум по “Администрированию Винды и работе с командным интерпретатором Powershell”.

Помимо этого, вы изучите основные приёмы анализа сетевого трафика, познакомитесь с базовыми принципами взлома, кх. простите, пентеста сетей и прочими прелестями, включая обширный арсенал хаЦкерского ПО. 

Нескучные онлайн-лекции, воркшопы, домашки и, конечно же, карьерные консультации, призванные облегчить ваше трудоустройство после успешного освоения курса.

Кстати, весь пройдённый материал, навсегда останется у вас в кабинете. А сразу после защиты итогового проекта, карьерный консультант от Skillbox подберёт для вас наиболее подходящие варианты вакансий на рынке труда.

В общем, если хотите присоединиться к этой движухе и реально повысить свою профессиональную квалификацию переняв опыт у именитых международных экспертов, а не комнатных безопасников вроде меня. Welcome.

Ссылка на практический курс по кибербезопасности от SkillBox будет в описании. Получи 50% скидку на курс назвав менеджеру Skillbox мой фирменный промокод.

Первый платеж только с 4-го месяца обучения. Такую выгодную возможность может упустить лишь ленивый. Так что, не протупите. Бегом учиться!

Закон о банковской тайне (ФЗ No395-I)

Ну а мы возвращаемся к основному сюжету. И первое о чём мы с вами сегодня поговорим, это 395-ФЗ. Он же закон о банковской тайне.

Согласно нему, операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и счетах клиентов.

Там же определён перечень информации, которая обязана передаваться и в действительности может быть передана в соответствующие органы (налоговая, таможенная служба и другие инстанции, так или иначе работающие с банками). 

Раскрытие подобной информации данными органами влечёт за собой ответственность вплоть до возмещения ущерба с их стороны. Так что этот момент, они чтут предельно свято.

Закон о связи (126 ФЗ) 

Ну и раз уж мы заговорили о святости, предлагаю затронуть тему самой главной скрепы любого IT-шника бумажойда, а именно 126 федеральный закон. Он же – закон о связи. 

Данный ФЗ устанавливает правовые основы деятельности в области связи на территории России и на территориях находящихся в её юрисдикции. Также, он определяет полномочия органов государственной власти в области связи.

Т.е. права и обязанности лиц, участвующих в указанной деятельности или пользующихся услугами связи. Поскольку так или иначе большинство используемых нами систем подключено к сетям связи (включая сеть Интернет), закон напрямую касается всех физических и юридических лиц.

В нём само-собой тоже есть свои собственные определения. Такие как, операторы связи – т.е. чуваки, предоставляющие вам связь. Сеть связи - технологическая система, включающая в себя средства и линии связи.

Ну и электросвязь как таковая – представляет собой любое излучение, за счёт которого происходит передача или прием знаков, сигналов, изображений, звуков и прочих вещей по какому-либо каналу.

Также есть Абонент. Эдакий аналог субъекта из персональных данных. Т.е. персона, предоставляющая о себе кучу данных. И сведения об этих самых абонентах. 

Которые само собой являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством. Короче всё плюс-минус как с персоналками, только под другим соусом.

Информация ограниченного доступа

Ну и раз уж затронули тему инфы с ограниченным доступом, давайте вспомним, какие сведения об абонентах относятся к этому делу. Разумеется, это ФИО, адрес абонента или адрес установки его оконечного оборудования.

Имея представление об этих данных вы всегда можете так или иначе идентифицировать личность, которой предоставляются какие-либо услуги связи.

Главное помнить, что тут, как и в случае с персональными данными предоставление третьим лицам сведений об абонентах может осуществляться только с их письменного согласия.

А обязанность оператора в свою очередь заключается в том, чтобы предоставить доказательство получения этого самого согласия от абонента. Тоже ловите флешбеки от коммерческой тайны, да?

Пакет Яровой

2016 год запомнился всему сообществу инфобеза введением двух крупных законопроектов, вносящих собой большое количество правок в законодательные акты с целью противостоять международному терроризму и обеспечить гос. безопасность нашей любимой Россиюшки.

Самая жесть этих правкой заключалась в том, что операторов связи заставили хранить текстовые сообщения, голосовую информацию, изображения, звуки, видео и иные сообщения пользователей сети интернет без малого до 6 месяцев.

Надеюсь, вы понимаете, какой это гигантский объём данных и почему операторы поголовно сокрушались по этому поводу. Главный косяк ещё заключается в том, что весь трафик, передаваемый сегодня в глобальной сети, как правило летает по безопасному протоколу HTTPS.

Т.е. по сути провайдеров обязали хранить данные, которые зашифрованы. Ну не бред ли? Зато есть во всей этой мышиной возне и реальные плюсы. ЦОДы в нашей стране после ужесточения законодательства стали развиваться просто с головокружительной скоростью.

Помимо этого, в течении года операторы обязаны хранить всю информацию о фактах приема и непосредственно информацию об этих пользователях, осуществляющих передачу. Это конечно не сравнится с объёмом вложений, ибо на практике выглядит как короткая строчка в логах, но тем не менее.

Также появилось такое понятие, как ОРИ. Т.е. организатор распространения информации (ОРИ) в сети "Интернет". Любой такой организатор, как правило провайдер, обязан предоставлять всю информацию соответствующим государственным органам.

В том числе, осуществляющим оперативно-розыскную деятельность или обеспечивающих безопасность Российской Федерации. Короче, товарищ майору, как принято говорить в Интернетах.

Что ж, друзья. Думаю, самое время подвести некий итог нашей порядком подзатянувшейся нынче беседы. Выстраивая модель безопасности нужно всегда согласовывать свои действия с требованием регулятора.

Ну и конечно же помимо совершенствования в области бумаго-марания, не забывайте и о технической составляющей нашей профессии. Обязательно прокачивайте себя по части программирования, разработки или администрирования сетей.

Напоследок хочу рассказать вам один небольшой лайфхак, каким образом можно затроллить банковских служащих. Просто приходите в банк и говорите, что согласно федеральному закону №152 часть 14, прошу вести обработку и учёт моих персональных данных в письменном виде на бумажном носителе.

И после того, как лицо оператора позеленеет, к вам вызовут администратора, который будет правдами и неправдами убеждать вас отказаться от этого мракобеского действа.

Ну сами понимаете да, сколько это добавляет работы. Ибо если вы напишите такую заяву, им придётся фиксировать абсолютно все действия, происходящие с вашими ПДшками на бумаге, да и ещё и отчитываться вам об этом чуть ли не лично. 

Так что, если есть время и желание потроллить какой-нибудь Сбер или Альфу, вот вам небольшой вброс, как можно это сделать довольно жёстко и практически не прилагая особых усилий.

Пользуйтесь советом пока я жив, и не забывайте делать домашку к урокам. Она доступна для каждого сюжета в рамках нашего курса «Информационная безопасность с нуля до джуна». Ссылка, разумеется, также будет оставлена в описании. 

Ну а на сим, разрешите откланяться. С вами, как обычно, был Денчик. В заключении по традиции хотелось бы пожелать всем досмотревшим ролик до этой минуты удачи, успеха и самое главное знания своих прав.

Берегите себя и свои данные. Не забывайте поставить лайк сразу после просмотра, и помните, поделившись этим сюжетом со своими друзьями, вы сделаете мир чуточку лучше, добавив в него созидательной составляющей и остановив всеобщую деградацию.

Так что не будьте жлобами, делитесь с друзьями по цеху полезной инфой и развивайтесь совместно. По одиночке, сами знаете, мир безопасней нам точно не сделать. А вот в команде, обязательно, что-нибудь да получится.