Базы персональных данных россиян под контролем государства
На днях в Госдуму был внесен законопроект, посвященный национальной безопасности. Законопроект вносит изменения в Федеральный закон №152 «О персональных данных», обязывая оператора ПДн осуществлять обработку данных граждан РФ в базах данных, расположенных только на территории РФ. Исключения возможны в тех случаях, когда обработка ПДн необходима для:
— достижения целей, предусмотренных международным договором РФ или законом;
— осуществления правосудия и исполнения судебного акта;
— исполнения полномочий государственных и муниципальных органов и функций организаций, участвующих в предоставлении государственных и муниципальных услуг;
— осуществления деятельности СМИ либо научной, литературной или иной творческой деятельности (при условии, что при этом не нарушаются права и законные интересы субъекта ПДн).
Также законопроект вносит изменения в Федеральный закон №149 «Об информации, информационных технологиях и о защите информации», дополняющие закон статьей о порядке ограничения доступа к информации, обрабатываемой с нарушением законодательства РФ в области ПДн. В новой статье:
— Роскомнадзор наделяется правом ограничивать доступ к ПДн, обрабатываемым с нарушением законодательства;
— операторы обязуются уведомлять Роскомнадзор о месте расположения баз данных, содержащих ПДн граждан РФ;
— устанавливается порядок доступа к ПДн, обрабатываемым с нарушением законодательства;
— предусматривается создание «Реестра нарушителей прав субъектов ПДн».
Предлагаемые изменения планируется ввести с 1 сентября 2016 года.
Данный законопроект вызывает множество вопросов, связанных с его реализацией. Так, под действие исключений не попадают системы бронирования гостиниц, билетов и автомобилей при поездках за границу, а также значительно усложняется ведение кадрового учета в иностранных компаниях, имеющих представительство в России. Кроме того, принятие предлагаемых поправок вынудит владельцев иностранных интернет-сайтов и социальных сетей, содержащих данные о российских граждан, перенести часть данных на серверы, расположенные в России, иначе доступ к таким сайтам может быть заблокирован для российских пользователей.
Удостоверение личности нового поколения
Федеральная миграционная служба совместно с Минкомсвязь России подготовили проект указа Президента, согласно которому с 1 января 2015 года основным удостоверением личности в России станет электронная пластиковая карта, на которой будут зафиксированы в графической и электронной форме ПДн гражданина (в том числе, биометрические данные по желанию гражданина). Кроме того, электронный носитель карты будет содержать средства и ключи электронной подписи, используемые для создания квалифицированной электронной подписи, и иные сведения.
Стоит отметить, что в начале 2013 года уже был опубликован проект Федерального закона «Об основном документе, удостоверяющем личность гражданина Российской Федерации». Авторы данного законопроекта предполагают, что электронная карта позволит снизить бумажный документооборот и сократит возможность мошенничества при совершении юридических действий и оказании государственных услуг.
В случае принятия законопроекта федеральный закон вступит в силу с 1 января 2015 года. Одновременно с введением электронных карт действующие до сих пор паспорта гражданина СССР потеряют силу, в то время как существующие российские паспорта сохранят актуальность до 2025 года.
Мобильная криминалистика от NIST
NIST выпустил интересное руководство по мобильной криминалистике, описывающее встроенные технологии мобильных устройств (сотовых телефонов, смартфонов и сопутствующих устройств) и способы анализа их данных.
NIST классифицирует мобильные устройств на основании таких характеристик, как процессор, операционная система, память, радио-модуль, дисплей, беспроводные соединения и др. В руководстве описываются процедуры извлечения, сохранения и анализа цифровых данных мобильных устройств, а также рассматриваются возможности специализированного криминалистического программного обеспечения, в числе которого Eclipse, MOBILedit! Forensic, ART, Project-A-Phone. Кроме того, авторы документа приводят список Интернет-сайтов, содержащих онлайн-инструментарий для проведения криминалистических экспертиз.
Отдельное внимание в документе уделяется мобильным устройствам с ОС Android и iOS, для которых приводятся примеры различных уязвимостей, например:
— возможность легкого расшифрования бэкапов, сделанных при помощи iТunes, методом «грубой силы»;
— хранение данных большинства android-приложений в SQLite-таблицах в отдельных папках для каждого приложения;
— возможность разблокировки устройства на ОС Android с использованием файла gesture.key;
— возможность запуска режима отладки на заблокированном Android — устройстве при помощи определенных инструментов.