Законопроект об ответственности за неправильную систему авторизации на сайтах

это всего лишь кнут к давно принятому закону:

Мне сначала тоже так показалось. Но не факт как на практике будет. Раньше без кнута никто не пытался штрафовать. А с этим кнутом - хз как выйдет.

этого недостаточно. там ещё ссылка на ст.16 закона, чему он должен удовлетворять

Вот когда законодательно закрепят номер мобильного телефона пожизненно за одним человеком без права передачи другому лицу и официальный запрет на использование этого номера (другими лицами) после смерти человека в течение 20 лет. Вот тогда можно поговорить как это использовать номер телефона для установления личности.

А то как перевести 20 миллионов денег незнамо кому, то достаточно ввести 4 цифры присланных по какому-то там номеру телефона. А если дятлы из банка звонят на этот же самый номер телефона, чтобы сообщить очень-безусловно-ценное рекламное предложение, то прямо требуют доказать, что это именно ты взял трубку. А тому кто поднял трубку и оказался твоим другом/соседом/любовником/мошенником/убийцей или ещё кем, то тому нельзя даже тему рекламного предложения услышать нельзя, не то чтобы само предложение услышать. И если этот злоумышленник вдруг решит послушать таки рекламу ему не предназначенную, то ему достаточно на вопрос «Это вы Иванов И.И.» ответить «Да». Б — «безопасность». А перевод денег не страшно, их можно и по смс подтвердить.

Надо смотреть какая логика за всем этим стоит. Если действительно желание защитить рунет от чего-то иностранного, то достаточно будет, если к логин/паролю вопросов не возникнет и даже к иностранной почте при этом, лишь бы авторизацию не делал какой сторонний нероссийский дядя для российского сайта.

Если нагнуть население и загнать в стойло под предлогом защиты, то никакого обычного логин/пароля не оставят, а штрафовать и блочить лицемерно вздыхая о нарушении российского законодательства станут вообще ВСЕ сайты в интернете, на которых из РФ можно зарегистрироваться в интернете без указанных требований.

P.S. На это не обратили внимание, но там еще требования к рекомендательным системам интересные: уведомлять о рекомендациях и раскрывать алгоритмы рекомендаций. Я думаю ютуб после этого точно наконец официально заблочат, а скорее всего и все иностранные поисковики в интернете.

все страшней и страньше.:-(

https://rtvi.com/news/volgogradczy-podali-v-sud-na-bilajn-iz-za-sistematicheskih-internet-sboev/

Это Вы про сервера Телеграмма?

Законопроект внесен, а не то, чтобы его собирались внести.

Так закон ещё не принят, в теории, могут и отклонить.

БВАХАХАХАХАХАХАХАХАХАХАХАХАХАХАХА…..

Кхм, ой то есть мяу

А где-то есть аутентификация через телеграм?

Всё? Я не смогу сюда заходить?

А про какие сервисы вообще речь?

ЛОР и подобные в масштабах страны это вообше 0,00001%. Весь народ тусуется на всяких телеграмах ютубах и подобном и все это не у нас.

Что я должен вынести из чтива по ссылке?

российских сервисов авторизации (типа vk.com, mail.ru, yandex.ru, банковских ID).

4.2

4. с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети «Интернет», и (или) информационных систем, и (или) программ для электронных вычислительных машин и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо. …

Чем система авторизации ЛОРа не соответствует 8.10.4?

Чем система авторизации ЛОРа не соответствует 8.10.4?

В части 2 статьи 16 того же закона указано, что осуществляется государственное регулирование отношений в сфере защиты информации путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

Об этом государственном регулировании (требованиях о защите информации) отвечу чуть подробнее ниже.

Я не являюсь специалистом в области защиты информации и сейчас у меня нет возможности плотно засесть и попытаться разобраться в законодательстве на эту тему. Поделюсь лишь некоторыми мыслями, возникшими по результатам беглого просмотра.

Из приказов от ФСТЭК РФ 29.04.2021 N 77 и от 02.06.2020 N 76 можно сделать выводы, что законодательством установлены определенные требования к защите информации, содержащиеся в следующих видах информационных систем:

• государственных (отдельно - в государственных системах общего пользования);
• управления производством, используемых предприятиями оборонно-промышленного комплекса;
• значимых объектов критической информационной инфраструктуры;
• автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды;
• оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа;
• персональных данных.

Из всего этого к обычным сайтам в интернете могут относится только требования к обработке персональных данных (далее – ПД).

Что касается ПД, то согласно ФЗ «О персональных данных» под ними понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД). Если субъект ПД прямо не указан указан (фактически для этого достаточно одного лишь отсутствия указания ФИО), то такие ПД считаются обезличенными, что дает лишь некоторые поблажки в плане целей их обработки, но не отменяет общих требований к их защите.

Из постановления Правительства РФ от 01.11.2012 N 1119 следует, что существует 4 уровня защищенности ПД. Определение необходимого уровня защищенности ПД для конкретной информационной системы производится оператором, осуществляющим обработку ПД, с учетом актуального уровня угроз, количества субъектов ПД, а также того, обрабатываются ли в следующие категории ПД:

• специальные категории ПД (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПД);
• биометрические ПД;
• ПД, полученные из общедоступных источников ПД (таких, как справочники, адресные книги), в которые с письменного согласия субъекта ПД могут включаться его ФИО, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПД, сообщаемые субъектом ПД.

Выделяют угрозы 3-х типов:

• угрозы 1-го типа связаны с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении;
• угрозы 2-го типа связаны с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении;
• угрозы 3-го типа не связаны с наличием недокументированных (недекларированных) возможностей.

Думаю, можно считать, что в открытом ПО в норме существуют угрозы только 3-го типа. Также можно отметить, что большинство сайтов не обрабатывает указанные выше особо выделенные категории ПД. Если эти предположения верны, то сайт может быть отнесен к 4-му (наиболее мягкому по требованиям) или 3-му уровню защищенности, в зависимости от количества его пользователей – субъектов ПД. Само количество субъектов ПД, как я предполагаю, наиболее разумно оценивать по числу учетных записей зарегистрированных пользователей. Если пользователей, не являющихся сотрудниками оператора, более 100.000 человек, то для системы будет требоваться 3-й уровень защищенности, если менее – то 4-й.

Из приказа ФСТЭК России от 18.02.2013 N 21 следует, что:

• в информационных системах 4 уровня защищенности ПД применяются средства защиты информации 6 класса и 6 уровня доверия, а также средства вычислительной техники не ниже 6 класса;
• в информационных системах 3 уровня защищенности ПД применяются средства защиты информации 6 класса и 6 уровня доверия, а также средства вычислительной техники не ниже 5 класса.

Что касается касается соответствия средств вычислительной техники определенному классу, то с этим вопросом, очевидно, следует обратиться к лицу, предоставляющему в пользование оборудование для размещения сервера.

Что касается средств защиты информации, то здесь речь может идти как о чисто программных, так и о программно-аппаратных средствах. Самому владельцу типичного сайта разработать подобные средства защиты информации нереально, т.к. это доступный только юридическим лицам лицензируемый вид деятельности, а созданные средства защиты информации подлежат сертификации. Остается только обзавестись уже готовыми сертифицированными по соответствующим классам защиты и уровням доверия продуктами. Указанный выше приказ ФСТЭК содержит таблицу, в которой перечислены функции защиты информации, которые должны быть реализованы в информационной системе, в зависимости от ее уровня защищенности, при помощи сертифицированных средств защиты информации.

Продолжение следует…

Для систем 4 уровня защищенности список функций (мер безопасности) следующий:

• идентификация и аутентификация пользователей (как работников оператора, так и внешних пользователей);
• управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;
• управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
• защита обратной связи при вводе аутентификационной информации;
• управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей;
• реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа;
• управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами;
• разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы;
• назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы;
• ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе);
• реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети;
• регламентация и контроль использования в информационной системе технологий беспроводного доступа;
• регламентация и контроль использования в информационной системе мобильных технических средств;
• управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы);
• определение событий безопасности, подлежащих регистрации, и сроков их хранения;
• определение состава и содержания информации о событиях безопасности, подлежащих регистрации;
• сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения;
• защита информации о событиях безопасности;
• реализация антивирусной защиты;
• обновление базы данных признаков вредоносных компьютерных программ (вирусов);
• контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации;
• идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации;
• управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин;
• контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены;
• размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр;
• обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.

При этом:

• можно не использовать меры, непосредственно связанные с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе;
• при невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПД могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПД. В этом случае в ходе разработки системы защиты ПД должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности ПД.

Как я понимаю ситуацию, владелец сайта должен взять сертифицированное ПО (включая, наверняка, операционную систему), реализующее указанный выше набор функций, и обеспечить, чтобы в его общей информационной системе (включающей, например, web-сайт, форум и т.п.) указанные функции реализовались именно сертифицированным ПО, а установленное на сервере ПО его собственной разработки (если таковое имеется) пользовалось для указанных выше функций сертифицированным ПО (было интегрировано с ним).

Для создания подобного рода информационной системы, соответствующей определенному уровню защищенности, владелец сайта вовсе не обязан обращаться к кому-либо за помощью (он может сделать это самостоятельно). Насколько я понял, аттестация объектов информатизации, не передающих сведения в государственные информационные системы, также не требуется (ее можно пройти при наличии желания). Никаких требований к способам идентификации/аутентификации/авторизации пользователей описных мной систем (таким, как номер мобильного телефона, госуслуги, биометрия) я не нашел. Т.е., если я правильно понимаю, то если удастся самому создать подобного рода систему, то можно жить спокойно, пока не придут с проверкой. А если проверят и убедятся, что всё в порядке, то и никаких последствий быть не должно.

Есть еще ряд формальностей, на которые следует обратить внимание:

• руководителем оператора должен быть утвержден документ, определяющий перечень лиц, доступ которых к ПД, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
• для системы 3 уровня защищенности дополнительно должно быть назначено должностное лицо (работник), ответственный за обеспечение безопасности ПД в информационной системе;
• оператор должен самостоятельно или с привлечением лиц, имеющих лицензию, не реже одного раза в 3 года производить контроль (проверку эффективности) выполнения требований к защите информации в информационных системах соответствующего уровня защищенности;
• оператор должен выполнять иные общие требования, установленные статьей 18.1 ФЗ «О персональных данных», включая размещение в публичном доступе политики обработки персональных данных.

Вообще было бы интересно послушать более авторитетное мнение по указанному вопросу от кого-либо из профессионалов в области средств защиты информации или от кого-либо из тех, кто с таким профессионалом общался.

P.S. Если кому-либо будет интересно самому порыться в законодательстве на эту (или другую тему), то могу порекомендовать как наиболее удобную для бесплатного использования систему consultant.ru. В будние дни с 20 до 24 часов и в выходные дни круглосуточно там доступно всё федеральное законодательство и судебная практика. А в самих документах слева от абзацев зачастую есть буква ’i". Если на нее нажать, то появляется перечень нормативных документов, связанных с содержанием данного абзаца (это не считая гиперссылок в самом тексте).

Из всего этого к обычным сайтам в интернете могут относится только требования к обработке персональных данных

Не могут просто так

Короче, если начнут требовать, макскому проще будет таки яндекс/vk id прикрутитить, чем гемороиться со средствами защиты.

Или вообще закрыть ЛОР, как слишком много чего требующий от владельца.

если владельцем интернет сайта/программы/информационной системы является российское физическое или юридическое лицо

К владельцу ООО Линукс.орг.ру в Казахстане, например, требования этого закона разве применимы?

проще будет таки яндекс/vk id прикрутитить,

А на этих всяких vk id разве нельзя зарегаться иностранцу? Или вообще написано - номера мобильного телефона; это для заграничных номеров тоже?

Реакция в виде клоуна — это, конечно, прекрасно. Но это я от тебя уже видел десятки раз по поводу и без. Можно помимо этого таки ответ на вопрос получить?

К чему эта ссылка? Что ты пытался мне ей сказать?

Любые сервисы аутентификации до которых может дотянуться товарищ майор. Речь не шла о том, сколько занимает ЛОР и где тусуется народ.

А смс этот депутат будет оплачивать? Если да, то я за

1. Зачем обходить это ограничение? В любой момент гугл или эппл из за санкций забанит тебе авторизацию и готово.

2. Это ничего не решит. Тебя оштрафуют, поскольку бизнес то все равно в РФ.

ЛОР и подобные в масштабах страны это вообше 0,00001%

0,00001% от населения страны — это ~14 человек. Смею заверить, даже на одном только ЛОРе намного больше даже только ежедневно активных пользователей. Считай заново и/или прекращай от балды цифрами сыпать. А то будет как в тот раз с метрами и литрами.

Не могут просто так

Дружище,

Согласно закону, «персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

При этом сведения о политических взглядах, религиозных или философских убеждениях прямо вот этим законом отнесены к специальной категории персональных данных. Сведения о взглядах (т.е. мнениях, убеждениях)! А мало ли взглядов (мнений) выражает человек на форуме по другим (не относящимся к специальным категориям) вопросам? Да он только этим и занимается. И все эти сведения о его убеждениях по логике вещей являются персональными данными, т.к. привязаны к определенному профилю. Пускай человек скрывается под псевдонимом. Но его личность в принципе может быть определена, например по IP адресам в случае утечки данных или по запросу правоохранительных органов.

Пусть он выражает эти мнения публично, но требований к обработке персональных данных это само по себе не отменяет.

Добавлю. А если человек сам разместил в своем профиле на форуме реальные сведения о себе (ФИО, контакты)? То тут уже от обработки персональных данных не отвертишься. А информация об избранных им тегах в профиле, т.е. его интересах?

Всё? Я не смогу сюда заходить?

PcheloBiaka

Из Нидерландов с гугловской почтой можно

Это пока. Сейчас их возьмут за жабры и заставят эту ерунду вводить…

Тогда, наверное, уже и смысла сюда заходить не будет. Пойдём гулять на улицу, в лес, воздухом подышим, пишут, цифровой детокс полезен организму

Я бы предложил различать авторизацию и идентификацию. Первое - аналогично требованию предъявить паспорт и должно применяться при совершении каких-либо юридически или финансово значимых действий. А идентификация - это аналогично просьбе назвать свою имя без попыток проверки соответствует ли названное тому что написано в паспорте.

Очевидно,что если компания людей собралась на ЛОРе поболтать на окололинуксовые темы то предъявлять паспорта совершенно нет надобности. Достаточно того что у каждого будет собственное уникальное в рамках этого форума имя(которое может быть и творческим псевдонимом). Заходит юзер первый раз на форум,выбирает себе имя/псевдоним, и если оно еще не занято то форум устанавливает куку,по которой потом этого юзера и «узнаёт». Против занятости всяких распространенных имен тоже уже давно средство придумано - к ним добавляется некая цифра,генерируемая по какому-то алгоритму.

Кого такой механизм идентификации не устраивает - идут общаться во всякие Вконтакты,где прежде чем войти надо паспорт предъявить. Этих вопросы приватности вообще не беспокоят - они и так кучу информации о себе там вываливают.

Получается закон придуман только против россиян

Ну так очевидно что российские законы против россиян придумываются. Как и в других государствах - против своих граждан. Государство - это по определению аппарат насилия.

авторизации через: номера мобильного телефона;

Можно подумать мало всяких маргинальных личностей,готовых за долю малую оформить сим-карту на свой паспорт… А спрос как известно рождает предложение.

Строгость российских законов компенсируется необязательностью их исполнения

будет интернет строго по паспорту.

Технически не реализуемо в обозримом будущем. Интернет - слишком дырявая конструкция чтобы было большой проблемой пролезть в него в обход требования паспорта.

В нашем случае в законе речь идет почему-то об авторизации.

Естественно по причине технической безграмотности законотворцев.

либо заблокируют

Даже жители КНР вполне обходят их «великий китайский файрвол». Ну те,кому это надо. А там денег и ресурсов вложено в блокировки во многие разы больше чем у нас могут вложить.

Нефиг зависить от явных врагов

Согласен. Но для этого кроме кнута надо предложить и пряник. Как это сделано в Китае. Там создано немало своих сервисов, которыми граждане активно пользуются.

Что за идиоты эту хрень писали

Не то чтобы идиоты,а просто очень далёкие от информационных технологий люди. Даже если вдруг человек хороший юрист - совершенно не обязательно что он хорошо разбирается в околокомпьютерной технической тематике. Что уж говорить о писателях,артистах,спортсменах и кто у нас там еще среди депутатов есть.

сидеть в группах ВК и смотреть рекламу.

А что, просмотр рекламы производит какие-то материальные ценности? Ну по аналогии с работой у станка например. Можно вообще создать ботнет который будет заниматься тем что активно «смотреть» рекламу. Ну вот телевизионщики забили все свои каналы рекламой - и это привело только к тому что интерес населения к телевизору сильно упал и продолжает падать.

Уже некоторые сайты принимают для регистрации только почту яндекса/мыла/других сервисов.

Можно на такие сайты просто не ходить. Как будто в интернете сайтов мало где нет такого маразма. Это вот когда в 80е годы даже в городах-миллионниках по телевизору показывало три канала - тогда да, проблема была. И то выход был - книжки умные читать(записаться в библиотеку),а не пялиться в ящик.

например добавить отдельной строкой исключение для форума линуксоидов.

Не лишено смысла,учитывая что линукс на государственном уровне принят как основная ОС в качестве замены всяким проприетарным ОС. Вполне можно написать обращение к законодателям чтобы вписали в законы запрет на блокировку ресурсов,посвященных линуксу.

Да. Регистрируешься в Максе, провязываешь к нему госуслуги, профиль ВК, профиль сервисов Яндекс, почту mail.ru, и вот только тогда тебя пустят на ЛОР.

«При этом не следует путать первоначальную регистрацию пользователей на каком-либо ресурсе и его авторизацию в каждый раз при входе на него (как я ошибочно видел на одном из новостных сайтов). В законе речь идет об авторизации пользователей. Таким образом, сохранить для уже зарегистрированных пользователей старый порядок авторизации не получится.»

Получится, так для повторного входа уже зарегистрированного пользователя достаточно аутентификации.

"Аутентификация — это проверка личности пользователя, подтверждение того, что он тот, за кого себя выдает (например, с помощью пароля или биометрии). Авторизация — это процесс определения прав доступа пользователя к ресурсам после успешной аутентификации, т.е. что он может делать в системе. Оба процесса необходимы для обеспечения безопасности данных. "

жители КНР

Так и будет не КНР а КНДР — одну букву забыли, а какая разница.

Там, кстати, Eddy_Em дико угорает за последних.

Технически не реализуемо в обозримом будущем. Интернет - слишком дырявая конструкция чтобы было большой проблемой пролезть в него в обход требования паспорта.

Ну дело в том, что… ты и так - ходишь в интернет «по паспорту», потому как в договоре с провайдером указываются паспортные данные :)

Так и будет не КНР а КНДР

А что вы/мы знаем о КНДР? То что написали какие-то журналисты - любители жареных фактов? Смею предположить что наши «знания» о КНДР где-то на уровне западных представлений об СССР в 70-80е годы - хорошо видимых по их кинофильмам тех времен в тех местах где они показывали что-то про нашу страну.

Ни вы ни я не ездили в КНДР и не проводили технические исследования их сетей на предмет обхода блокировок. А те кто проводил - естественно не будут об этом болтать чтобы не светить найденные «дырки».

Вот живущие-работающие ныне в Китае личные знакомые у меня есть. И они говорят что там блокировки обходятся не особо сложнее чем сейчас в России. Но они же говорят что у местных нет и особой потребности блокировки обходить так как много полезных локальных сервисов на их родном китайском языке. Да, там проблема с общением на английском такая же как у большинства населения России.

Есть даже известная на профильных ресурсах аббревиатура – PVA. Phone Verified Account. Их продают сотнями и тысячами.

Лично мне больше всего нравится входить по кнопке «забыли пароль», никогда его и не помня.

Строгость российских законов компенсируется необязательностью их исполнения

fixed: Строгость российских законов компенсируется необязательностью их исполнения чиновниками

ты и так - ходишь в интернет «по паспорту»

Во-первых,кому сильно надо, могут вполне легко добыть левую симку. Да, сейчас это чуть сложнее чем полтора десятка лет назад,но именно что чуть. Впрочем есть и другие способы «проникновения» в интернет под видом совершенно другого человека. Например поиск и подключение к чужим дырявым wifi. Специально уточню что даже не взлом,а именно поиск изначально дырявых.

Во-вторых одно дело сам факт подключения меня к интернету и другое дело куда именно я там хожу и что делаю. Скрыть свою истинную деятельность в интернете по-прежнему легко. Конечно,требуется некоторая техническая квалификация чтобы понимать как это работает. К примеру я качаю книжки с библиотечных сайтов. Нет,никакой политики,исключительно художественная литература,приключения и фантастика. И я,как гражданин, не понимаю почему роскомнадзор считает скачивание книжек незаконным и пытается такие сайты блокировать. Чем скачивание книжки с сайта отличается от взятия ее в обычной библиотеке? Ну кроме того что в посёлке где я живу библиотека была закрыта в конце 60х годов,за пару лет до моего рождения.