Главная » Накопительная » Умо иб - учебно-методическое объединение высших учебных заведений россии по образованию в области информационной безопасности. Карфаген должен быть разрушен

Умо иб - учебно-методическое объединение высших учебных заведений россии по образованию в области информационной безопасности. Карфаген должен быть разрушен

8-й Центр ФСБ выложил достаточно неожиданный документ . Документ описывает рекомендации в области разработки нормативно-правовых актов в области защиты ПДн. Но этим же документом рекомендуется пользоваться операторам ИСПДн при разработке частных моделей угроз.

Что же думает ФСБ о том, как и где нужно применять СКЗИ?

Документ носит полное название: «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности». Утвержден документ руководством 8 Центра ФСБ России 31 марта 2015 года.

В преамбуле документа определяется, что рекомендации «для федеральных органов исполнительной власти… иных государственных органов… которые… принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности».

Этими же нормами «целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных».

Когда же необходимо использовать СКЗИ?

Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
  • если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
  • если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.

Это логично. Но когда угрозы могут быть нейтрализованы только с помощью СКЗИ"?
  • передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
  • хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.

Если второй пункт так же достаточно логичен, то вот первый не столь ясен. Дело в том, что согласно текущей редакции закона «О персональных данных» имя, фамилия и отчество уже являются персональными данными. Соответственно любая переписка или регистрация на сайте (с учетом того, сколько данных сейчас требуют при регистрации) попадают формально под это определение.

Но, как говорится, нет правил без исключения. В конце документа есть две таблицы. Приведем лишь одну строку Приложения № 1.

Актуальная угроза:

1.1. проведение атаки при нахождении в пределах контролируемой зоны.

Обоснование отсутствия (список немного сокращен):
  • сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;
  • пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;
  • помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;
  • утверждены правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
  • утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;
  • осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;
  • осуществляется регистрация и учет действий пользователей с ПДн;
  • на АРМ и серверах, на которых установлены СКЗИ:
    • используются сертифицированные средства защиты информации от несанкционированного доступа;
    • используются сертифицированные средства антивирусной защиты.

То есть, если пользователи проинформированы о правилах и ответственности, а двери запираются, то беспокоиться не о чем. Блажен, кто верует. О необходимости контроля за соблюдением правил речь в документе даже не идет.

Что еще интересного есть в документе?

  • для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия.

Правда чуть ниже говорится, что список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. Про то, что оценка соответствия не есть сертификация, говорилось неоднократно.
  • в случае отсутствия прошедших в установленном порядке процедуру оценки соответствия СКЗИ… на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора (уполномоченного лица) и предполагаемого разработчика СКЗИ готовится обоснование целесообразности разработки нового типа СКЗИ и определяются требования к его функциональным свойствам.

Очень приятный пункт. Дело в том, что сертификация процесс очень длительный - до полугода и больше (скажем, в случае нашей компании предыдущая сертификация заняла у нас 8 месяцев). Зачастую клиенты используют новейшие ОС, не поддерживаемые сертифицированной версией. В соответствии с этим документом клиенты могут использовать продукты, находящиеся в процессе сертификации.

В документе указывается, что:

При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
  • описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
  • выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы.

Соответственно необходимо иметь документ, анализирующий защищенность канала. При этом не указывается, какие организации имеют право выдавать такие заключения.

Документ содержит перечень сведений, которые необходимо указывать при описании информационных систем. Например:

  • характеристики безопасности (конфиденциальность, целостность, доступность, подлинность), которые необходимо обеспечивать для обрабатываемых персональных данных;
  • используемые в каждой подсистеме или в информационной системе в целом каналы (линии) связи, включая кабельные системы, и меры по ограничению несанкционированного доступа к защищаемой информации, передаваемой по этим каналам (линиям) связи, с указанием каналов (линий) связи, в которых невозможен несанкционированный доступ к передаваемой по ним защищаемой информации, и реализуемые для обеспечения этого качества меры;
  • носители защищаемой информации, используемые в каждой подсистеме информационной системы или в информационной системе в целом (за исключением каналов (линий) связи).

Ну и в заключение скажем, что:
Согласование с ФСБ России частных моделей угроз операторов, подготовленных в соответствии с настоящими методическими рекомендациями, не требуется.

Приказ ФСБ РФ от 18 сентября 2008 г. N 464
"Об утверждении Регламента Федеральной службы безопасности Российской Федерации"

С изменениями и дополнениями от:

1. Утвердить прилагаемый Регламент Федеральной службы безопасности Российской Федерации.

2. Контроль за исполнением Регламента, утвержденного настоящим приказом, возложить на заместителей Директора ФСБ России и руководителей служб ФСБ России в части касающейся.

Директор

А. Бортников

Регистрационный N 12394

Установлены общие правила внутренней организации ФСБ России при осуществлении функций в установленной сфере деятельности, в том числе структура и штатное расписание центрального аппарата, полномочия Директора Службы и его заместителей, правила документооборота, порядок законопроектной деятельности, исполнения поручений, рассмотрения запросов и обращений, приема граждан, создания координационных и совещательных органов, рабочих групп и др.

ФСБ России осуществляет государственное управление в области обеспечения безопасности РФ, борьбы с терроризмом, защиты и охраны государственной границы РФ, охраны внутренних морских вод, территориального моря, исключительной экономической зоны, континентального шельфа РФ и их природных ресурсов, обеспечивает информационную безопасность РФ, а также координирует контрразведывательную деятельность уполномоченных федеральных органов исполнительной власти.

Деятельностью ФСБ России руководит Президент РФ.

Приказ ФСБ РФ от 18 сентября 2008 г. N 464 "Об утверждении Регламента Федеральной службы безопасности Российской Федерации"


Регистрационный N 12394


Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования


В настоящий документ внесены изменения следующими документами:


Изменения вступают в силу по истечении 10 дней после дня

ОрдерКом, Москва, Руководитель
Галушко Дмитрий Михайлович
Руководитель www.ordercom.ru
кандидат юридических наук

1. С УФСБ по субъекту РФ - местонахождению сети связи

В п.2 ст. 64 ФЗ «О связи» и Перечнях лицензионных условий осуществления деятельности в области оказания услуг связи (всех , за исключением услуг связи для целей вещания и услуг местной телефонной связи с использованием средств коллективного доступа) , есть пункт: «реализация требований к сетям и средствам связи для проведения оперативно-разыскных мероприятий» (далее - «ОРМ »). Неисполнение данного требования влечет наложение административного штрафа 30-40 тыс. руб. и возможное приостановление действия лицензий .

Для реализации вышеуказанных требований необходимо взаимодействие с уполномоченными органами, осуществляющими ОРД. От имени уполномоченных органов взаимодействие с Операторами возложено на УФСБ по субъекту РФ - местонахождению сети связи (далее - «Управление») . Поэтому с УполОрг надо дружить

Выделю следующие этапы взаимодействия :

1) Оператор не позднее 60 дней с даты получения лицензии подает в Управление заявление (п.5 Правил).

2) Руководитель Управления определяет уполномоченное подразделение, осуществляющее взаимодействие с оператором связи ( . Уполномоченное подразделение принимает решение о наличии/отсутствии необходимости разработки Плана мероприятий по внедрению технических средств (далее - «План »). При отсутствии необходимости пишется письмо, в котором указывается, что Управление не возражает против предоставления Оператором услуг связи ( .

На практике 1 из условий письма счастья является присоединение СПД только к сети 1 Оператора, сдавшего ТС СОРМ в постоянную эксплуатацию. Дальнейшее: на усмотрение куратора.

3) При необходимости разработки Плана, уполномоченное подразделение в срок до 3 месяцев с даты подачи Оператором заявления совместно с оператором разрабатывает План ( . План составляется в 3-х экземплярах - по 1 экз. для: УФСБ, Территориального Управления Роскомнадзора (далее по тексту - «УРСН ») и Оператора связи.

В Плане, помимо стандартных реквизитов (наименование, № лицензии, услуги) в соответствии с Типовыми требованиями к плану мероприятий по внедрению ТС для проведения ОРМ (далее - «Типовые требования»(), предусмотрены следующие этапы:

4) Разработка перечня лиц, привлекаемых к установке и обслуживанию технических средств для проведения ОРМ (далее- «ТСОРМ »).

В частности определяется поставщик ТСОРМ и лиц, имеющих допуск со сторон Оператора. При этом в настоящее время на испытаниях в Центре по научно-техническому сопровождению внедрения СОРМ на сетях электросвязи России при ФГУП ЦНИИС находятся 3 ТСОРМ: «Омега», производства ООО «Специальные технологии»; «СОРМОВИЧ» производства ООО «Мера.ру» и РИАНЕТ одноименной компании.

На практике в Плане СОРМ прописывается обязанность Оператора связи « заключить контракт на поставку и монтаж ТСОРМ с выбранной по согласованию с УФСБ организацией-подрядчиком и предоставить УФСБ копию контракта ». При этом Решением Верховного суда Республики Коми ) данное требование Плана признано не соответствующим Типовым требованиям, которые не предусматривают вышеуказанной обязанности оператора связи .

Следующий этап : выдача Оператору ТУ на подключение к пункту управления ОРМ (далее - «ПУ»), содержащих:

Местонахождение точки присоединения ПУ ОРМ;

Местонахождение точки подключения баз данных Оператора;

Требования к линиям (каналам) связи, соединяющим ТСОРМ с ПУ.

Следующий этап : предоставление Оператором баз данных (далее - БД) об: абонентах, оказанных услугах связи (в т.ч. о соединениях, трафике и платежах абонентов) При этом информация предоставляется Управлению путем осуществления круглосуточного удаленного доступа к БД и хранится в течение 3 лет.

Следующий этап, указанныйв п./п. 3«г» Типовых требований: предоставление ТСОРМ

Существует практика, когда Управление временно разрешает Оператору использовать оборудование, разработанное самим Оператором. Знаю прецеденты в МСК, Владимирской обл...

Но чаще всего с Оператора требуют приобретения ТСОРМ, минимальная стоимость которых составляет около 500 т.руб. Также необходимо за свой счет организовать канал связи между сетью Оператора и точкой присоединения ПУ ОРМ, а также платить поставщику ТСОРМ за их техобслуживание около 30 т.руб. в год.

Следующий этап: Организация линий и/каналов связи между ПУ ОРМ и узлом связи сети связи оператора связи ;

И хотя согласно п. 2 Указа Президента РФ 01.09.1995 N 891 «ОРМ, связанные с подключением к станционной аппаратуре…Операторов связи в интересах органов ОРД, проводятся с использованием оперативно-технических средств органов ФСБ», в реальности это ложится на плечи Оператора.

Следующий этап: Опытная (тестовая ) эксплуатации ТСОРМ в сети Оператора, включая устранение замечаний, выявленных в её ходе .

При этом ТСОРМ должны обеспечивать передачу на ПУ следующей информации:

О выделенных реальных IP-адресах;

Передаваемой информации …в том виде и последовательности, в которых такая информация поступала (Бен Ладан жив );

О местоположении пользовательского оборудования (если есть тех. возможность).

Последний этап: проведение приемо-сдаточных испытаний ТСОРМ : осуществляется Оператором путем подписания представителями Управления и УРСН акта. План требует принятия ТСОРМ в постоянную эксплуатацию в течение 2 лет с даты подписания.

За что платим?

Основная составляющая «железа» ТСОРМ в СПД - материнская плата, (напр. KT965/ATXP, производитель Kontron, Германия), средняя цена 15 т.руб. Остальное железо тянет ещё тысяч на 35 руб., в сумме получается 50, а не 500… Есть ещё ПО ,

Также следует отметить, что оплачивая техобслуживание, Оператор часто не получает его.

Пример: Сибирский ФО , Оператор менее 5 тыс. абонентов, реализовал план СОРМ, заплатив в рассрочку около 500 тыс. рублей, + платит ежегодно за ТО 30 тыс. рублей. Как расплатился за ТС, от «куратора» пришла рекомендация: обновить на новый, потому как Абонентов за 2 года стало больше и действующие ТСОРМ не справляются. Стоимость новых: около 1 млн., возможностей платить нет...

За чей счет?

В соответствии с ч. 4 ст. 6 ФЗ «Об ОРД»: Оперативно-розыскные мероприятия, связанные с контролем …иных сообщений, прослушиванием телефонных переговоров с подключением к станционной аппаратуре … юридических лиц, предоставляющих услуги и средства связи, со снятием информации с технических каналов связи, проводятся с использованием оперативно- технических сил и средств органов ФСБ .

Согласно ст. 19 данного закона, а также ст. 20 Закона РФ «О безопасности» и ст. 22 ФЗ «О ФСБ» финансирование деятельности органов ОРД осуществляется из федерального бюджета.

Но до сих пор я знаю единственный прецедент покупки ТСОРМ за счет бюджета.

Сертифицирование ТСОРМ:

1. Для обеспечения целостности, устойчивости функционирования и безопасности единой сети электросвязи РФ является обязательным подтверждение соответствия установленным требованиям средств связи, используемых в ССОП ;

2. Подтверждение соответствия требованиям, предусмотренным Правилами повопросам применения средств связи , осуществляется посредством их обязательной сертификации или принятия декларации о соответствии.

3. Перечень подлежащих обязательной сертификации средств связи включает в себя:…оборудование средств связи, в том числе программное обеспечение, обеспечивающее выполнение установленных действий при проведении ОРМ ( .

В соответствии с п. 4 Правил «Сети и средства связи, используемые оператором связи, должны соответствовать требованиям, предъявляемым к ним для проведения ОРМ и устанавливаемым Минкомсвязи РФ по согласованию с ФСБ РФ»

ФСБ и Минкомсвязи пока только согласовывают Правила применения средств связи, обеспечивающих выполнение установленных действий при проведении ОРМ в СПД (далее - «Правила применения »). Поэтому в настоящее время для средств связи, используемых в СПД, невозможно подтвердить соответствие ТСОРМ. Соответственно установка не сертифицированных ТСОРМ в СПД нарушает ст. 41 ФЗ «О связи» и п. 4 Правил. Если выявлено нарушение установленных ФЗ обязательных требований в области связи, Роскомнадзор обязан выдать предписание об устранении этого нарушения в соответствии с п. 4. ст. 27 ФЗоС. В случае невыполнения лицензиатом в установленный срок предписания, Роскомнадзор в соответствии с п/п 3 п. 2 ст. 37 ФЗоС вправе приостановить действие лицензии. Реализацию законных требований может проверить и прокуратура путем внеплановой проверки.

Кроме того, согласно ст. 13.6. КоАП РФ «Использование на сетях связи несертифицированных средств связи влечет штраф в размере 30-40 тыс. рублей с возможной конфискацией средств связи. Значит, во избежание вышеуказанных последствий Оператор не имеет право использовать несертифицированные ТСОРМ в СПД.

Вместе с тем, в соответствии с п. 6 Правил: «в случае применения оператором средств связи, для которых не установлены требования, указанные в пункте 4 Правил, на основании обращения Управления оператор предоставляет технологические помещения, соответствующие требованиям, установленным Минкомсвязи с ФСБ.

Требования к технологическому помещению установлены Приложением к Требованиям, утвержденным Мининформсвязи РФ , и предусматривают, в частности:

1. Соответствие помещения требованиям, предъявляемым к эксплуатации технических средств ОРМ уполномоченного органа, которые размещаются в этом помещении.

2. В технологическом помещении размещается кроссовое оборудование для подключения технических средств ОРМ уполномоченного органа к средствам связи оператора связи... Количество соединительных линий и требования к ним определяются уполномоченным органом в соответствии с техническими параметрами технических средств ОРМ уполномоченного органа.

3. Размещение иных средств связи в помещении допускается только по разрешению Управления.

4. Оборудование помещения средствами, исключающими несанкционированный доступ.

Следовательно, в настоящее время для Оператора СПД единственным законным способом реализации лицензионного условия является предоставление технологического помещения. И такая практика существует ( .

1.2. Получение уполномоченными органами информации о соединениях между абонентами и ответственность за непредставление

Согласно п.1 ст. 64 ФЗоС: «Операторы связи обязаны: предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию о пользователях услугами связи и об оказанных им услугах связи, а также иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами ».

Данная информация предоставляется, если она имеет значение для уголовного дела и только по решению суда .

Согласно УПК РФ следователь подает в суд ходатайство, в котором указывает:

Уголовное дело, основания для проведения следственного действия;

Период получения информации (до 6 месяцев) наименование организации.

С ФСПП

Если суд принимает решение о получении информации о соединениях между абонентами и (или) абонентскими устройствами его копия направляется следователем Оператору связи, который обязан предоставить информацию, зафиксированную на любом материальном носителе не реже 1 раза в неделю. Информация предоставляется в опечатанном виде с сопроводительным письмом, в котором указываются период, за который она предоставлена, и номера абонентов и (или) абонентских устройств.

ФЗ от 27.07.2010 N 213-ФЗ «О внесении изменений в Федеральный закон «О судебных приставах» и статью 64 Федерального закона «Об исполнительном производстве» по вопросам предоставления судебным приставам персональных данных», судебному приставу-исполнителю предоставлено право при совершении исполнительных действий требовать необходимую информацию, в том числе персональные данные , объяснения и справки (абз. 2 п. 2 ст. 12 Закона N 118-ФЗ). Информация, предоставляется по его требованию в виде справок, документов и их копий безвозмездно и в установленный им срок.

В процессе исполнения требований исполнительных документов судебный пристав вправе запрашивать необходимые сведения, в том числе ПДн, у физических и юридических лиц, получать от них объяснения, информацию, справки.

В соответствии с ФЗ «персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и иная информация . Открытость списка (в той части, которая может относиться к персональным данным) дает судебным приставам свободу в истребовании интересующей информации о должнике. Сведения об оплаченных услугах вполне могут подпасть под категорию персональных данных, что дает приставам право запрашивать эти данные.

1. В целях обеспечения сохранности имущества выносят постановление о наложении ареста на имущество должника, запрете распоряжаться имуществом и блокировании денежных средств на лицевом счету должника, находящемся у оператора, в пределах суммы задолженности по исполнительному документу. Постановление не позднее следующего рабочего дня направляется операторам связи на территории региона.

2. При поступлении достоверной информации о наличии у должника денежных средств, внесенных им в качестве авансового платежа на лицевой счет, находящийся у оператора, - обращаются в суд с заявлением об обращении взыскания на имущество должника, находящееся у третьих лиц, в порядке, установленном ч. 1 ст. 77 Закона.

3. После получения вступившего в законную силу судебного акта об обращении взыскания на имущество должника, находящееся у третьих лиц, - выносят постановление о списании денежных средств должника с лицевого счета, находящегося у оператора, в пределах суммы задолженности по исполнительному производству.

1.3. С прокуратурой

П. 6. ст. 10 ФЗ от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее по тексту - «трехглавый закон ») запрещает распространение информации, которая направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды, а также иной информации, за распространение которой предусмотрена ответственность.

Ст. 13 ФЗ от 25.07.2002 N 114-ФЗ «О противодействии экстремистской деятельности» запрещает «распространение экстремистских материалов». При этом информационные материалы признаются экстремистскими федеральным судом, а их список публикуется на сайте Минюста РФ.

П. 9) ст. 2 трехглавого закона под распространением информации понимает: «действия направленные на получение или передачу информации неопределенному кругу лиц».

Подпунктом «б» пункта 4 раздела XVI перечня лицензионных условий осуществления деятельности в области оказания телематических услуг связи под услугами понимается предоставление доступа к сети Интернет. Предоставляя доступ, Оператор в терминах Правил оказания телематических услуг связи «обеспечивает Абоненту возможность принимать и передавать информацию» (см. п. 2 Правила ТУС).

То есть Оператор предоставляет возможность, а Абонент самостоятельно получает и/или передает (размещает) информацию в сети Интернет.

Следовательно, передача информации осуществляется между абонентами, а Оператор открывает доступ к информации, как кран открывает доступ воде. И как Владелец крана не отвечает за качество воды (ржавая, хлорированная, много железа). Оператор не несет ответственности за содержимое информации, но обязан доставить информацию в неизменном виде (см. п. 22 Правил ТУС).

Также следует отметить, что оператор предоставляет абонентам доступ не к конкретному ресурсу, но ко всем ресурсам сети Интернет, а Абонент уже сам делает выбор, что ему нужно (Какую воду включить: горячую, холодную, или поставить фильтр для очистки воды). Иными словами Оператор связи не отвечает за наполнение ресурсов сети Интернет, а лишь «перенаправляет» запросы от одного абонентского оборудования, подключенному к сети Интернет к другому абонентскому оборудованию, подключенному к сети Интернет. Таким образом, Оператор не распространяет информацию.

1.4. Ответственность за незаконное использование авторских и смежных прав

Проблемы доказывания : Постановление Пленума ВС РФ : Доказательства по делам, связанным с распростране-нием сведений через телекоммуникационные сети, могут быть обеспечены нотариусом до возбуждения гражданского дела в суде (например, посредством удо-стоверения содержания сайта в сети Интернет на опре-деленный момент времени) или судом. В случаях, не терпящих отлагательства, при подготовке дела к судеб-ному разбирательству, а также при разбирательстве дела суд вправе произвести осмотр доказательств на месте (в частности, просмотреть информацию, размещенную на определенном ресурсе телекоммуникационной сети, в режиме реального времени). Осмотр и исследование доказательств производятся в законодательно установ-ленном порядке: с извещением участвующих в деле лиц, с фиксированием результатов осмотра в протоколе, с вызовом в необходимых случаях свидетелей, специали-стов и т. д.

Несет ли хостер /владелец сайта ответственность за размещение третьим лицом чужого «контента» (в видекомпенсации на незаконное использование авт. права) ?

НЕТ : 1) Постановление ВАС ООО «Контент и право» к ООО «МетКом», ЗАО «МАСТЕРХОСТ», ИП Чумаку С.Б. о взыскании компенсации в размере 200 тыс. руб. за размещение mp3 файлов «Крылатые качели», «Кабы не было зимы», «Прекрасное далеко», «Александра».

2) Постановление ФАС СЗО от 25.10.2010 № А56-44999/2008 ФГУП ВГТРК взыскивало от соцсети «В Контакте» 3 млн. за размещение фильма «Охота на пиранью» (отказано в передаче дела в Президиум ВАС РФ для пересмотра в порядке надзора )

11.03.2011 Определение надзорной инстанции об отказе в передаче дела в Президиум ВАС РФ для пересмотра с/а в порядке надзора

ДА: 1) Постановление ФАС МО от 11.05.2010 по делу А40-89751/08 по искуООО «Первое музыкальное издательство» против ООО «Рамблер Интернет Холдинг» за размещение Пользователем Рамблер видеоклипа гр. Ляпис Трубецкой (да, 50 из 100 т.р)

2) Решение АСМО А40-16007/10 ТК СПОРТ против championat.ru (да, 3 из 5 млн. ): в

Однако по обоим решениям нет позиции ВАС (не обжаловалось)!

В проект новой редакции VII раздела Гражданского кодекса (разработаны по поручению Президента и опубликованы на сайте ВАС РФ) внесена Специальная статья (1253 прим) об ответственности интернет-провайдеров, по которой провайдер освобождается от ответственности за нарушение прав на «контента» при 2 условиях: что он:

1) не знал или не должен был знать» о неправомерности размещения «контента»,

2) при получении письменного заявления правообладателей «своевременно принял меры» по устранению последствий нарушения.

Т.о. практика требует обязательного досудебного уведомления Оператора. И если после этого Оператор убрал незаконный «контент», ответственности не будет.

__________________________________________________________________________________________________________________________________________________________________________________________________________

Примечания

Обновленный текст статьи с законодательством и практикой находится


Есть такое Постановление Правительства под номером 676 от 6 июля 2015 года. Устанавливает оно требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации. И до недавнего времени это Постановление никоим образом не касалось вопросов защиты информации. Минкомсвязь, инициировавший данное Постановление, жил в своем ИТ-мире и никак не пересекался с миром ИБ, в котором правили ФСТЭК с ФСБ со своими нормативными актами. Но в конце 2015-го года Президент поручил множеству разных министерств и ведомств усовершенствовать защиту информации в Российской Федерации и, в частности, в государственных органах. А тут еще в Минкомсвязь нагрянул новый заместитель министра, г-н Соколов, который стал курировать вопросы информационной безопасности. И произошло чудо... Позиции Минкомсвязи и ИБ-регуляторов стали сближаться.

Как и положено сервис базируется на банке данных угроз ФСТЭК, а в качестве методологии взят за основу последний публичный проект методики ФСТЭК, выложенный на сайте регулятора. На самом деле с того момента этот проект был сильно переработан, но как точка отсчета этот бесплатный сервис, созданный Булатом, подходит как нельзя лучше. Удачи!



Просмотров

Дарий III: биография Дарий 3 краткая характеристика
Дарий III: биография Дарий 3 краткая характеристика
Белла Ахмадулина — интересные факты из жизни поэтессы Мужья и дети беллы ахмадулиной
Белла Ахмадулина — интересные факты из жизни поэтессы Мужья и дети беллы ахмадулиной
 Начертательная геометрия
 Начертательная геометрия
Диетические блины из овсяной муки и овсяных хлопьев
Диетические блины из овсяной муки и овсяных хлопьев
Как приготовить папоротник соленый
Как приготовить папоротник соленый
Сонник: к чему снится черт
Сонник: к чему снится черт