Дайджест новостей по информационному праву за 19—25 ноября (26.11.2007)

Постановление Правительства РФ от 14 ноября 2007 г. № 776 «О внесении изменений в постановление Правительства Российской Федерации от 19 октября 2005 г. № 627»

1. В подпункте «б» пункта 2 слова «Федеральная служба по надзору в сфере связи» заменить словами «Федеральное агентство связи».

2. В Правилах государственного регулирования цен на услуги присоединения и услуги по пропуску трафика, оказываемые операторами, занимающими существенное положение в сети связи общего пользования, утвержденных указанным постановлением:

а) в пункте 3 слова «Федеральная служба по надзору в сфере связи» заменить словами «Федеральное агентство связи»; б) в пункте 5 слова «Федеральной службы по надзору в сфере связи» заменить словами «Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия», слово «Службу» заменить словами «Федеральное агентство связи»;

в) в пункте 6:

в абзаце первом слова «Федеральная служба по надзору в сфере связи» заменить словами «Федеральное агентство связи»;

в абзаце втором слова «Федеральной службой по надзору в сфере связи» заменить словами «Федеральным агентством связи», слово «Службы» заменить словом «Агентства»;

г) в пункте 7 слова «Федеральной службой по надзору в сфере связи» заменить словами «Федеральным агентством связи», слово «Службы» заменить словами «Федерального агентства связи»;

д) в пункте 8 слова «Федеральная служба по надзору в сфере связи» в соответствующем падеже заменить словами «Федеральное агентство связи» в соответствующем падеже;

е) в пункте 10 слова «и предельную цену обслуживания точки присоединения» исключить;

ж) пункт 12 признать утратившим силу;

з) в пункте 13 слова «, обеспечивающая возможность установления единовременно одного соединения между пользователями взаимодействующих сетей электросвязи» исключить;

и) в пункте 14:

в подпункте «а» слова «(за исключением расходов на эксплуатационно-техническое обслуживание и ремонт средств связи, которые учтены в цене обслуживания точки присоединения)» исключить;

в подпункте «б» слова «(за исключением суммы амортизации, начисленной в отношении средств связи, образующих точку присоединения)» исключить;

к) пункт 17 изложить в следующей редакции:

«17. Оператор связи в соответствии с установленными Федеральным агентством связи предельными ценами на услуги присоединения и услуги по пропуску трафика имеет право:

дифференцировать цены на услуги присоединения в зависимости от количества предоставленных точек присоединения, а цены на услуги по пропуску трафика — по времени суток, дням недели, выходным и нерабочим праздничным дням, объему пропущенного трафика, а также по иным основаниям;

устанавливать объем услуг по пропуску трафика (но не более 1000 минут в месяц на одну точку присоединения, обеспечивающую возможность установления одновременно одного соединения), подлежащий гарантированной оплате потребителем услуг по пропуску трафика, если объем оказанных услуг в расчетном периоде меньше установленной величины. Оплата установленного объема услуг по пропуску трафика для сети местной телефонной связи осуществляется по цене, установленной в отношении услуги местного завершения вызова на смежном узле связи.»;

л) в абзаце втором пункта 22 и пункте 23 слова «Федеральной службой по надзору в сфере связи» заменить словами «Федеральным агентством связи»;

м) пункт 24 изложить в следующей редакции:

«24. В случае если оператор связи, не занимающий существенного положения в сети связи общего пользования, установил цены на услуги завершения вызова на свою сеть связи, превышающие цены на аналогичные услуги, оказываемые оператором, занимающим существенное положение в сети связи общего пользования, последний в каждом расчетном периоде дополнительно к общей сумме за услуги по пропуску трафика, оказанные оператору, не занимающему существенного положения в сети связи общего пользования, включает величину возмещения.

Величина возмещения рассчитывается как разница цен на аналогичные услуги завершения вызова, установленных сторонами договора о присоединении, умноженная на объем услуг завершения вызова, оказанных оператору, занимающему существенное положение в сети связи общего пользования.».

3. Подпункт «а» пункта 2 раздела II перечня услуг присоединения и услуг по пропуску трафика, оказываемых операторами, занимающими существенное положение в сети связи общего пользования, цены на которые подлежат государственному регулированию, утвержденного указанным постановлением, изложить в следующей редакции:

«а) услуга зонового завершения вызова на сеть оператора фиксированной телефонной связи;».

http://www.government.ru/government/governmentactivity/rfgovernmentdecisions/archive/2007/11/19/6551630.htm

Постановление от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.

4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.

5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.

7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

8. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

9. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.

11. При обработке персональных данных в информационной системе должно быть обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

к) описание системы защиты персональных данных.

13. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

14. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.

15. Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

16. При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.

17. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.

В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования.

Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.

18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.

20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

21. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.

http://www.government.ru/government/governmentactivity/rfgovernmentdecisions/archive/2007/11/20/2458765.htm

21 ноября. Портал «Cnews.ru» сообщил, что канадский почтовый сервис шифрованной почты Hushmail разместил в условиях предоставления услуг предупреждение о том, что пароль к почтовому ящику и письма могут быть выданы канадским властям по требованию суда.

Ранее компания Hushmail Communication заявляла, что даже сотрудники компании не могут получить доступ к учетной записи, однако в сентябре 2007 г. выяснилось, что это не так. По запросу федеральных властей США, сделанному через суд, компания передала властям 12 компакт-дисков с почтой пользователя, проходящего по делу о незаконной торговле стероидами, сообщает The Register.

Однако получить пароль будет все же не так просто: администрации сервиса придется подменить пользователю Java-апплет, используемый для входа в систему, на другой, который будет отправлять на сервер пароль в нешифрованном виде.

http://www.cnews.ru/news/line/index.shtml?2007/11/21/276022

22 ноября. Портал «Securitylab» со ссылкой на «Сnews.ru» сообщает, что Житель американского штата Огайо, глава банды телефонных террористов – фрикеров, признал себя виновным в осуществлении ложных вызовов спецотрядов полиции (SWAT) с использованием подстановки телефонных номеров.

Стюарт Розофф (Stuard Rosoff), он же Майкл Найт (Michael Knight) из Кливленда, штат Огайо, и его приятели, один из которых – незрячий, в 2006-2007 гг. звонили в службу спасения 911 через интернет, подставляя номер жертвы, и сообщали о взятии заложников. Звонившие утверждали, что хорошо вооружены, уже убили одного из заложников, и вели себя так, будто приняли большую дозу наркотиков.

Полицейские немедленно вычисляли адрес по номеру телефона и присылали туда спецотряд полиции. Жертвами банды, таким образом, стали около ста человек, из которых двое были ранены в ходе полицейских операций. SWAT выезжал на ложные вызовы 60 раз, что нанесло полиции финансовый ущерб на сумму $250 тыс.

Зловещие шутники выбирали жертв из телефонных чатов, выведывая у них номера телефонов, а также создавали, таким образом, неудобства своим знакомым неприятелям.

Полиция вздохнула с облегчением после того, как выяснилось, что телефонная система службы спасения не была взломана, как предполагалось ранее.

Стюарт Розофф признал себя виновным в преступном сговоре. Признание было сделано в Федеральном суде северного региона Техаса. Ему грозит до 5 лет тюрьмы, штраф в размере $250 тыс. и возмещение ущерба полиции. Он, как и другие участники банды, был арестован в июне 2007 г., после чего освобожден на поруки. Двое других членов банды, Джейсон Троубридж (Jason Trowbridge) и Чед Уорд (Chad Ward), находятся под стражей и будут подвергнуты суду 17 декабря 2007 г.

Участница банды Анжела Робертсон (Angela Robertson) была освобождена под залог, признала себя виновной в преступном сговоре, в настоящее время ожидает приговора. Еще одна участница, Гваделупа Сантана Мартинез (Guadalupe Santana Martinez) из Вашингтона, также признала себя виновной. Приговор ей будет вынесен в январе 2008 г.

Техническую сторону деятельности группы обеспечивал слепой хакер из Бостона. Его, под инициалами M.W., указали в своих признаниях трое участников банды.

http://www.securitylab.ru/news/308272.php

25 ноября. Портал «Securitylab» со ссылкой на «lenta.ru» сообщает, что Французских интернет-пользователей, которые скачивают пиратскую музыку и фильмы, будут в принудительном порядке отключать от Глобальной сети. Эту инициативу уже поддержал президент Франции Николя Саркози.

Для надзора за пользователями будет создана специальная структура, которой поручат обрабатывать информацию о случаях «незаконных обменов данными», полученную от местных провайдеров, и выносить предупреждения наиболее активным пиратам. В случае, если французские любители делиться музыкой или кино проигнорируют призывы перестать нарушать закон, их будут отключать от Сети — будет приостановлено действие их учетных записей.

Этот план по борьбе с интернет-пиратством, скорее всего, будет одобрен главными игроками на французском рынке кино- и аудиопродукции. При этом FT уточняет, что в благодарность за столь радикальные методы защиты авторских прав звукозаписывающие компании согласились распространять ряд архивных французских записей без систем защиты от копирования. Кинокомпании, в свою очередь, решили сократить время задержки выпуска фильмов на DVD с 7,5 месяцев до полугода с начала проката картин в кинотеатрах.

Новая инициатива вызвала резкое недовольство у ассоциаций по защите прав потребителей и парламентариев.

http://www.securitylab.ru/news/308553.php