Я тут обещал же написать, почему важно создать систему взаимодействия между операторами связи (или интернет-компаниями) и всевозможными silovik-ами.
Все очень просто.
В законодательстве России, связанном с ИТ и телекомом, сейчас полный бардак, мрак и извращения. В расплодившихся «органах», включая суды, работают крайне неподготовленные, непрофессиональные и, я бы даже сказал тупые, персонажи. Это факт, данный нам в ощущениях.
Любой запрос «от органов» может быть незаконным или просто поддельным -мамкиных хацкеров, начитавшихся про «социальную инженерию», развелось до бабушки.
Потому, если интернет-компания и/или оператор связи дорожит своими клиентами, то ОН ОБЯЗАН ИМЕТЬ ПРОСТОЙ И ПОНЯТНЫЙ РЕГЛАМЕНТ взаимодействия с государственными органами.
И когда вы заключаете договор с российскими поставщиками интернет-услуг, вы должны иметь это ввиду.
Я понимаю, что это очень трудный и непростой документ и пока не все еще осознали его ценность, но наличие регламента, который опубликован и на который ссылаются другие официальные документы — это конкурентное преимущество. И это главное.
Но помимо клиентоориентированности, наличие регламента:
1. Защитит от утечек и сливов клиентских данных
2. Приведет в чувство не в меру ретивых «силовиков»
3. Защитит сотрудников от коррупционного давления и незаконных действий.
Это просто один из способов защиты в агрессивной (и даже токсичной) внешней среде, на самом деле. И да — как один из методов подтверждения исполнения регламента — публикация отчетов о взаимодействии с госструктурами. Он просто подтверждает, что регламент работает и демонстрирует объем запросов, проходящий по нему.
Что в регламенте должно быть — зависит от организации бизнес-процессов. Думаю, что в разных компаниях они различаются. Но совершенно очевидно, что:
1. Компания должна отвечать только на валидные запросы, подтвержденные законодательством — это, собственно, и есть цель регламента: описать валидность.
2. Компания ни при каких условиях не должна отправлять ответы на запросы на странные и заведомо небезопасные адреса, типа почтовых ящиков на бесплатных хостингах
3. О каждом запросе и движении дел по нему, должны знать как минимум трое человек в компании: юрист, руководитель и непосредственный исполнитель. Возможно, еще кто-то.
4. Все запросы должны быть классифицированы и учтены. Они и пойдут потом в отчет.
Это, разумеется, не все пункты. Но еще раз — компания, которая не опубликовала такой регламент потенциально опасна. И токсична. Требуйте регламент взаимодейсвтия с госструктурами у своих партнеров.
Ну, а как пример — вот так выглядит очевидно поддельное и/или незаконное письмо с требованием выдать чувствительные персональные данные клиента, который опубликовал Ордерком: t.me/ordercomru/422
И таких «писем» по всей стране миллионы.
Что здесь не так:
а) нет никаких доказательств того, что письмо подлинное. Нет ЭЦП. Регистрационный номер и отправителя идентифицировать нельзя.
б) отсылки на набор номеров статей, которые не имеют отношения к процессу (например, ст.28 закона «О полиции» — это про правах сотрудника полиции, но никак не про обязанности провайдера, а отсылка на закон «Об ОРД» целиком, говорит о том, что тут кто-то не знает законов)
в) Отсылки на «срочно» и «важно». Ну, то есть, они там очень занятые — а в операторе люди херней занимаются?
г) запрос просто неграмотно написан. И не очень понятно что там, где у кого хранится. Детская порнография или суицид? И что, получается, это провайдер должен знать у кого что хранится?
д) вишенка на торте — отправить данные на какой-то левый имейл.
Совершенно очевидно, что вот этот вот «подполковник полиции» в должности и.о. начальника, просит (с уважением!) оператора связи нарушить все законы и заняться ОРД самостоятельно. Видимо, в Тыве горит план по посадкам за репосты. Или он просто некомпетентен и глуп, что вероятнее.
Все очень просто.
В законодательстве России, связанном с ИТ и телекомом, сейчас полный бардак, мрак и извращения. В расплодившихся «органах», включая суды, работают крайне неподготовленные, непрофессиональные и, я бы даже сказал тупые, персонажи. Это факт, данный нам в ощущениях.
Любой запрос «от органов» может быть незаконным или просто поддельным -мамкиных хацкеров, начитавшихся про «социальную инженерию», развелось до бабушки.
Потому, если интернет-компания и/или оператор связи дорожит своими клиентами, то ОН ОБЯЗАН ИМЕТЬ ПРОСТОЙ И ПОНЯТНЫЙ РЕГЛАМЕНТ взаимодействия с государственными органами.
И когда вы заключаете договор с российскими поставщиками интернет-услуг, вы должны иметь это ввиду.
Я понимаю, что это очень трудный и непростой документ и пока не все еще осознали его ценность, но наличие регламента, который опубликован и на который ссылаются другие официальные документы — это конкурентное преимущество. И это главное.
Но помимо клиентоориентированности, наличие регламента:
1. Защитит от утечек и сливов клиентских данных
2. Приведет в чувство не в меру ретивых «силовиков»
3. Защитит сотрудников от коррупционного давления и незаконных действий.
Это просто один из способов защиты в агрессивной (и даже токсичной) внешней среде, на самом деле. И да — как один из методов подтверждения исполнения регламента — публикация отчетов о взаимодействии с госструктурами. Он просто подтверждает, что регламент работает и демонстрирует объем запросов, проходящий по нему.
Что в регламенте должно быть — зависит от организации бизнес-процессов. Думаю, что в разных компаниях они различаются. Но совершенно очевидно, что:
1. Компания должна отвечать только на валидные запросы, подтвержденные законодательством — это, собственно, и есть цель регламента: описать валидность.
2. Компания ни при каких условиях не должна отправлять ответы на запросы на странные и заведомо небезопасные адреса, типа почтовых ящиков на бесплатных хостингах
3. О каждом запросе и движении дел по нему, должны знать как минимум трое человек в компании: юрист, руководитель и непосредственный исполнитель. Возможно, еще кто-то.
4. Все запросы должны быть классифицированы и учтены. Они и пойдут потом в отчет.
Это, разумеется, не все пункты. Но еще раз — компания, которая не опубликовала такой регламент потенциально опасна. И токсична. Требуйте регламент взаимодейсвтия с госструктурами у своих партнеров.
Ну, а как пример — вот так выглядит очевидно поддельное и/или незаконное письмо с требованием выдать чувствительные персональные данные клиента, который опубликовал Ордерком: t.me/ordercomru/422
И таких «писем» по всей стране миллионы.
Что здесь не так:
а) нет никаких доказательств того, что письмо подлинное. Нет ЭЦП. Регистрационный номер и отправителя идентифицировать нельзя.
б) отсылки на набор номеров статей, которые не имеют отношения к процессу (например, ст.28 закона «О полиции» — это про правах сотрудника полиции, но никак не про обязанности провайдера, а отсылка на закон «Об ОРД» целиком, говорит о том, что тут кто-то не знает законов)
в) Отсылки на «срочно» и «важно». Ну, то есть, они там очень занятые — а в операторе люди херней занимаются?
г) запрос просто неграмотно написан. И не очень понятно что там, где у кого хранится. Детская порнография или суицид? И что, получается, это провайдер должен знать у кого что хранится?
д) вишенка на торте — отправить данные на какой-то левый имейл.
Совершенно очевидно, что вот этот вот «подполковник полиции» в должности и.о. начальника, просит (с уважением!) оператора связи нарушить все законы и заняться ОРД самостоятельно. Видимо, в Тыве горит план по посадкам за репосты. Или он просто некомпетентен и глуп, что вероятнее.
