Форум ''Интернет и Право''

Основной раздел => Общие обсуждения => Тема начата: Александр Никитин от 29 Июня 2007, 22:45:56



Название: Размещение данных вне юрисдикции РФ
Отправлено: Александр Никитин от 29 Июня 2007, 22:45:56
Всем день добрый.

Такой вот вопрос .. как вариант защиты данных центрального сервера своей московской фирмы рассматриваем размещение оного за пределами РФ.
Т.е. в локальной Сети информация храниться ВООБЩЕ не будет - все, от почты до БД и папок общего пользования будет находиться эдак в Германии и юзер в офисе (благо канал быстроходный) даже не почувствует толком разницы.

Цель:

1. защита от физической потери данных, благо по стоимости затея сопоставима с содержанием своей, правильно обустроенной, серверной комнаты;

2. защита от супостатов, которые набегом могут изъять технику с содержимым .. конкуренты, правоохранительные органы по "просьбе" конкурентов и т.п. (сразу оговорюсь - ничего криминального прятать не собираемся, просто уже были прецеденты);

3. защита системы от тех же юзеров (чтобы не таскали данные с локальных машин).

Так вот .. опуская первый и последний пункт .. вопросы по второму .. может есть у кого опыт или возможность посоветовать что умное:

- если траффик между Москвой и Мюнхеном будет шифрован (перманентно), причем по алгоритму предложенному немецким дата-центром и у нас не сертифициррованным - может ли это вызвать какие-либо проблемы с российским законодательством?

- в случае, если все же, завтра придут злые дядьки в погонах (не путать с хорошими дадьками в погонах), убедятся что в офисе ВООБЩЕ никаких данных нет - могут ли они запросить немцев о выдаче информации .. могут ли реально получить от них оную (интересна не только теория, но и практика)?

- возможно еще какие-то подводные камни есть?

Искренне рад был бы комментариям.


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Urix от 29 Июня 2007, 23:43:53
Цитировать
- если траффик между Москвой и Мюнхеном будет шифрован (перманентно), причем по алгоритму предложенному немецким дата-центром и у нас не сертифициррованным - может ли это вызвать какие-либо проблемы с российским законодательством?
Нет, ибо никто не в праве ограничивать Вас в вашем праве защищать свою собственность от преступных посягательств. Например, пересылать по почте свое сообщение в запечатанном конверте или в криптоконтейнере, устанавливать дома железную дверь с хитрым замком, снабжать автомобиль сигнализацией или хранить документы и ценности в банковском сейфе. Но нельзя помещать споры сибирской язвы в запечатанный конверт, держать дома бутылку водки с ядом или снабжать сейф гранатой на растяжке. Защищать свою собственность нужно так, чтобы после преодоления защиты преступнику не наносился ущерб, иначе уже Вас обвинят в превышении мер необходимой обороны. Нельзя ограничивать ничьих прав. Расследование же преступлений не право, а обязанность. Действовать надо не против людей, а противодействовать преступным посягательствам на защищаемый объект. Исходить надо из этого. Отсюда, если те же "левоохранители" захотят получить доступ к Вашей информации, то это будет означать, что они совершают противозаконное посягательство на чужую собственность.
Цитировать
- в случае, если все же, завтра придут злые дядьки в погонах (не путать с хорошими дадьками в погонах), убедятся что в офисе ВООБЩЕ никаких данных нет - могут ли они запросить немцев о выдаче информации .. могут ли реально получить от них оную (интересна не только теория, но и практика)?
Делается это через НЦБ Интерпол-Россия. А для штаб-квартиры Интерпола в Лионе, который и будет передавать дальше запрос в НЦБ Интерпол-Германия, нужны доказательства, например, в отмывании грязных денег, в торговле краденными раритетами или объектами искусства, в наркоторговле, в терроризме и т.д. Доказательство - это возбужденное в России уголовное дело по указанным основаниям и объявление лиц в международный розыск с очень подробным и доказательным описанием совершенных преступлений.

Интерпол занимается действиями против лиц, совершивших исключительно уголовные преступления, но сам он не занимается сбором доказательств преступности деяний, а также возвратом похищенных ценностей. Он занимается координацией действий национальных полицейских сил в борьбе с международной криминальной преступностью. Причина успеха Интерпола в неукоснительном соблюдении Конвенции ООН по правам  человека (Билль о правах) при неукоснительном соблюдении национального законодательства. Например, экстрадиция россиян запрещена Конституцией и находящиеся на территории России граждане России за совершенные ими преступления на территории других стран будут нести уголовную ответственность и отбывать наказание в России.

Если УД возбуждено, а достаточных доказательств Россией не представлено, то уголовное преследование лица было начато без достаточных на то оснований со всеми вытекающими. Это рано или поздно выяснится и Россия получит "черный шар" на очередной ежегодной Генеральной Ассамблее МККП (ICPC). Это чревато отказом других стран, членов Интерпола, в экстрадиции настоящих преступников в Россию, а информация от НЦБ Интерпол-Россия будет маркироваться как недостоверная со всеми вытекающими. Думаю, что потери для России в целом будут более существенными, чем выигрыш маленькой группы бандитов в погонах. Кроме того, действия такой группы могут повлечь за собой еще и нежелательные политические последствия для России.


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Николай Николаевич Федотов от 01 Июля 2007, 00:16:58
- если траффик между Москвой и Мюнхеном будет шифрован (перманентно), причем по алгоритму предложенному немецким дата-центром и у нас не сертифициррованным - может ли это вызвать какие-либо проблемы с российским законодательством?
Может, только в случае, когда таким образом защищаются данные, подлежащие обязательной защите в соответствии с законодательством РФ. Но даже в этом случае вряд ли возможно привлечение к ответственности, ибо невозможно доказать в рамках административного производства.

- в случае, если все же, завтра придут злые дядьки в погонах (не путать с хорошими дадьками в погонах), убедятся что в офисе ВООБЩЕ никаких данных нет - могут ли они запросить немцев о выдаче информации .. могут ли реально получить от них оную (интересна не только теория, но и практика)?
Могут. Были прецеденты. Немцы - известные поборники стукачества и орнунга. Сдадут ваши сервера на айн-цвай. Рекомендую выбрать страну с более либеральным законодательством - США, Сингапур, Таиланд, Латвию.

- возможно еще какие-то подводные камни есть?
Есть. Такая система более уязвима вот с какой стороны. Предположим, злые в погонах хотят навредить вашему предприятию. Но судебной санкции на обыск у них нет и не будет. В такой ситуации, если бы сервера стояли в вашем офисе за железной дверью, вам плевать на злых дядек. А в загранице - другое дело. Совсем небольшая провокация - и провайдер (любой из цепочки провайдеров, через которых идут ваши данные) отключает ваш канал связи. Всё, ваша работа полностью парализована!


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Urix от 01 Июля 2007, 10:36:38
Цитировать
Может, только в случае, когда таким образом защищаются данные, подлежащие обязательной защите в соответствии с законодательством РФ.
ННФ! Речь идет об информации предприятия, на которую не распространяются ограничения государства. Государственная тайна по определению является собственностью государства, но ее хранителем может быть назначено предприятия. Например, РосОборонЭкспорт. Финансовые трансакции по определению не подпадают под ограничения коммерческой тайны для государства, например, в лице налоговых органов. Но тем нужны документы. А информация на компьютере - это может быть результатом моделирования, не имеющей ничего общего с реальной действительностью. Мечтали-с. Не должно быть ограничений доступа правоохранительных органов к информации о совершенных, совершаемых или готовящихся преступлениях. Но "стук" в России не является обязательным условием добропорядочности. Совсем наоборот. И я что-то в своей практике не встречал чудаков, которые сами на себя "стучат".
Цитировать
Предположим, злые в погонах хотят навредить вашему предприятию.
Президент тоже является заказчиком услуг связи. Предположим, злые в погонах хотят навредить Президенту... За такие вещи, если они становятся известны, надо сразу же лишать лицензии МинСвязи и расстреливать из рогаток тухлыми яцами и гнилыми помидорами без суда и следствия. Перлюстрация и другие подобные ОРМ осуществляются только по решению суда.
Цитировать
Совсем небольшая провокация - и провайдер (любой из цепочки провайдеров, через которых идут ваши данные) отключает ваш канал связи. Всё, ваша работа полностью парализована!
Это Вы на собственном опыте утверждаете? Были прецеденты? Если да, то в каком это райдерском захвате Вы принимали участие? Не поделитесь инфой?
Цитировать
защита системы от тех же юзеров (чтобы не таскали данные с локальных машин)
Организация дата-центров - это дорогое удовольствие. Надо понимать, что такие дата-центры являются прекрасными местами для сбора разведывательной информации и очень вероятно действуют под "крышей" иностранных спецслужб. Поэтому защищать свою информацию с использованием дата-центров нужно немного иначе, чем Вам предлагают в самом дата-центре.


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Александр Никитин от 01 Июля 2007, 23:11:52
.. если те же "левоохранители" захотят получить доступ к Вашей информации, то это будет означать, что они совершают противозаконное посягательство на чужую собственность.)

Оценка безусловно верна, но .. когда это их останавливало :(

Делается это через НЦБ Интерпол-Россия. А для штаб-квартиры Интерпола в Лионе, который и будет передавать дальше запрос в НЦБ Интерпол-Германия, нужны доказательства, например, в отмывании грязных денег, в торговле краденными раритетами или объектами искусства, в наркоторговле, в терроризме и т.д. Доказательство - это возбужденное в России уголовное дело по указанным основаниям и объявление лиц в международный розыск с очень подробным и доказательным описанием совершенных преступлений.

Т.е. вы хотите сказать, что на этапе получения ОПЕРАТИВНОЙ информации (до возбуждения УД), у наших правоохранителей шансов получить подобные данные - нулевые?

Если УД возбуждено, а достаточных доказательств Россией не представлено, то уголовное преследование лица было начато без достаточных на то оснований со всеми вытекающими. Это рано или поздно выяснится и Россия получит "черный шар" на очередной ежегодной Генеральной Ассамблее МККП (ICPC).

Скатываемся на красивые общие слова .. Вопрос был, скорее, о том какова ПРАКТИКА.

Сам знаю немало случаев, когда у Конкурентов (в серьезном бизнесе) доставало сил и возможностей к возбуждению "Дела" под липовыми предлогами с одной лишь целью - вытряхивания из сотрудников и компьютеров необходимой для Захвата информации.


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Александр Никитин от 01 Июля 2007, 23:21:43
Могут. Были прецеденты. Немцы - известные поборники стукачества и орнунга. Сдадут ваши сервера на айн-цвай. Рекомендую выбрать страну с более либеральным законодательством - США, Сингапур, Таиланд, Латвию.

Вот .. об этом-то и речь. "Либеральность" американцев или латвийцев - вопрос ситуации и выбора предлога для "запроса". Важно то, что Риск есть.

Такая система более уязвима вот с какой стороны. Предположим, злые в погонах хотят навредить вашему предприятию. Но судебной санкции на обыск у них нет и не будет. В такой ситуации, если бы сервера стояли в вашем офисе за железной дверью, вам плевать на злых дядек. А в загранице - другое дело. Совсем небольшая провокация - и провайдер (любой из цепочки провайдеров, через которых идут ваши данные) отключает ваш канал связи. Всё, ваша работа полностью парализована!

Учитывая достаточную серьезность бизнеса - Санкция-то скорее всего будет.

Пока выбор из двух вариантов - либо создавать Свою защищенную инфраструктуру, с теми самыми "железными дверями", криптозащитой, тотальным шифрованием всего траффика внутриофисного, системами уничтожения данных .. Либо, как и упоминалось, иметь пустые терминалы локально и все потоки и массивы хранить у черта на куличиках ..

По совести сказать, при одинаковой (примерно) затратности, выбрать Лучшее пока не получается :)


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Александр Никитин от 01 Июля 2007, 23:24:36
Организация дата-центров - это дорогое удовольствие. Надо понимать, что такие дата-центры являются прекрасными местами для сбора разведывательной информации и очень вероятно действуют под "крышей" иностранных спецслужб. Поэтому защищать свою информацию с использованием дата-центров нужно немного иначе, чем Вам предлагают в самом дата-центре.

Безусловно, это принимается во внимание :)


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Urix от 01 Июля 2007, 23:44:03
Цитировать
Оценка безусловно верна, но .. когда это их останавливало
Останавливало. Я уже здесь где-то рассказывал, как к нам в офис приперлись "ходоки" и как они убрались не солоно хлебавши. А то залетают - руки от компьютеров, всем стоять!!! Ну когда один умник начал руками трогать мой компьютер я его попросил показать постановление о производстве обыска. Он мне - это не обыск, а осмотр. Я ему - обыск делается руками, а осмотр глазами. Покажите постановление о производстве обыска и постановление о возбуждении уголовного дела. Он пытался на меня наехать, а я ему показываю интернет-камеру и мило улыбаясь говорю - улыбнителсь, Вас снимают. Ушли практически через пять минут так ничего и не надыбав. Но бумагу о том, что проводилась внезапная внеплановая проверка, в результате которой нарушений не обнаружено, мы у них получили...
Цитировать
Т.е. вы хотите сказать, что на этапе получения ОПЕРАТИВНОЙ информации (до возбуждения УД), у наших правоохранителей шансов получить подобные данные - нулевые?
Если нет какого-то секретного соглашения, то нулевые. Америкосов, когда они влезли в России в компьютеры хацкеров за доказательствами, ФСБ очень так грамотно поставило на место.
Цитировать
Вопрос был, скорее, о том какова ПРАКТИКА.
Наши, как те б..ди, другим почти всем дают реально. Нашим, как тем б..дям, другие чаще предлагают орально. Случай с Бэнк оф Нью-Йорк был затеян америкосами для того, чтобы "отстиранные" деньги гарантированно оставить у себя.
Цитировать
Сам знаю немало случаев, когда у Конкурентов (в серьезном бизнесе) доставало сил и возможностей к возбуждению "Дела" под липовыми предлогами с одной лишь целью - вытряхивания из сотрудников и компьютеров необходимой для Захвата информации.
Значит у конкурентов была плохо разработана или реализована с нарушениями стратегия защиты. Иначе был бы шиш с маком, а не золотые горы.
Цитировать
По совести сказать, при одинаковой (примерно) затратности, выбрать Лучшее пока не получается.
Вы не учли надежность системы. Вообще, вопрос этот очень тонкий, требующий предельной точности. Накосячить - как два пальца...

Если Ваш бизнес не с "душком" (наркота, пирамида, отмывание, контрабанда и т.д.) и действительно нужна помощь, то могу поломать голову над Вашей проблемой. Универсальных схем не бывает. Детали изложите в личке.


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Николай Николаевич Федотов от 02 Июля 2007, 21:04:32
Учитывая достаточную серьезность бизнеса - Санкция-то скорее всего будет.
Когда я работал в одном маленьком государственном унитарном предприятии, возникла похожая проблема. Надо было обезопасить данные от возможных злонамеренных действий со стороны соперников, в том числе, из числа людей со связями и погонами. Хотя я предлагал различные технические варианты - с шифрованием, уничтожением, рассредоточением данных, руководитель пошёл более простым и надёжным путём. Выбил офис в здании на Старой площади. Там и стоял наш сервер.  :P


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Александр Никитин от 02 Июля 2007, 22:38:43
Учитывая достаточную серьезность бизнеса - Санкция-то скорее всего будет.
... руководитель пошёл более простым и надёжным путём. Выбил офис в здании на Старой площади. Там и стоял наш сервер.  :P

Эх-хх .. кто бы мне офис на Старой площади предложил ..


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Александр Никитин от 02 Июля 2007, 22:44:49
Цитировать
Вопрос был, скорее, о том какова ПРАКТИКА.
Наши, как те б..ди, другим почти всем дают реально. Нашим, как тем б..дям, другие чаще предлагают орально. Случай с Бэнк оф Нью-Йорк был затеян америкосами для того, чтобы "отстиранные" деньги гарантированно оставить у себя.

Да уж .. Как ни печально ..

Цитировать
Если Ваш бизнес не с "душком" (наркота, пирамида, отмывание, контрабанда и т.д.) и действительно нужна помощь, то могу поломать голову над Вашей проблемой. Универсальных схем не бывает. Детали изложите в личке.

Буду признателен. Чуть позже - отпишусь. На всякий случай - относительно Бизнеса - наркотиками не занимаемся, налоги платим, деньги не отмываем, да и контрабанда - не наш профиль :)


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Urix от 04 Июля 2007, 00:27:23
Цитировать
Наши, как те б..ди, другим почти всем дают реально. Нашим, как тем б..дям, другие чаще предлагают орально. Случай с Бэнк оф Нью-Йорк был затеян америкосами для того, чтобы "отстиранные" деньги гарантированно оставить у себя.

Да уж .. Как ни печально ..
Merde...

Ну а с остальным, надеюсь, все понятно? Поработать Вам придется, не без этого. Но это уже будет осмысленная работа. Направление, надеюсь, понятно. И что делать, надеюсь, тоже. Лишь бы овчинка выделки стоила. Возникнут дополнительные вопросы - задавайте.


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: yuriyah от 07 Июля 2007, 14:24:29
США нет. Вообще, не страны большой восьмерки.
Но вообще, чтобы обратиться за такой серьезной правовой помощью, обычно требуется возбуждение уголовного дела. Вы полагаете, что конкуренты могут пойти и на это?


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Игорь Собецкий от 16 Июля 2007, 16:25:49
Останавливало. Я уже здесь где-то рассказывал, как к нам в офис приперлись "ходоки" и как они убрались не солоно хлебавши. А то залетают - руки от компьютеров, всем стоять!!! Ну когда один умник начал руками трогать мой компьютер я его попросил показать постановление о производстве обыска. Он мне - это не обыск, а осмотр. Я ему - обыск делается руками, а осмотр глазами. Покажите постановление о производстве обыска и постановление о возбуждении уголовного дела. Он пытался на меня наехать, а я ему показываю интернет-камеру и мило улыбаясь говорю - улыбнителсь, Вас снимают. Ушли практически через пять минут так ничего и не надыбав. Но бумагу о том, что проводилась внезапная внеплановая проверка, в результате которой нарушений не обнаружено, мы у них получили...
  Вам тогда очень сильно повезло. Видимо, нарвались на шибко честных и притом не шибко профессиональных людей. Если бы были не такие честные или профессиональные, могло бы быть заметно хуже.
   Как один из вариантов - компьютер стал бы осматривать человек в камуфляже и "омоновке". После Ваших предложений руками не трогать Вы получили бы прикладом в зубы. Очень сильно. Глядя на Ваши зубы на полу, другие сотрудники сами бы все очень быстро показали. После Вашего выхода из больницы Вы могли сколько угодно раз показывать эту запись в прокуратуре, в Интернете и по каналу CNN - во всех случаях приходила бы отписка из прокуратуры a la "факты не подтвердились". За кадром осталась бы пара строгих выговоров этим работникам...
   Так что способ с web-камерой, конечно, хорош, но так можно очень сильно нарваться. Упреждая Ваши угрозы пригласить в таких случаях адвоката, сразу спрошу: Ваш адвокат лучше Падвы и Резника вместе взятых? Если так, что ж он Ходорковского-то не спас?


Название: Re:Размещение данных вне юрисдикции РФ
Отправлено: Urix от 16 Июля 2007, 17:00:24
Цитировать
Вам тогда очень сильно повезло. Видимо, нарвались на шибко честных и притом не шибко профессиональных людей. Если бы были не такие честные или профессиональные, могло бы быть заметно хуже.
Они просто не ожидали, что их действия будут фиксироваться, как не ожидает этого карманник, когда его руку застают в чужом кармане. Обычно, к кому они приходили, как бараны шли на убой.
Цитировать
Как один из вариантов - компьютер стал бы осматривать человек в камуфляже и "омоновке". После Ваших предложений руками не трогать Вы получили бы прикладом в зубы. Очень сильно. Глядя на Ваши зубы на полу, другие сотрудники сами бы все очень быстро показали. После Вашего выхода из больницы Вы могли сколько угодно раз показывать эту запись в прокуратуре, в Интернете и по каналу CNN - во всех случаях приходила бы отписка из прокуратуры a la "факты не подтвердились". За кадром осталась бы пара строгих выговоров этим работникам...
Здесь мы, в лице Игоря Собецкого, столкнулись с пропагандой непротивления произволу и беззаконию от члена мафиозной группы, которая проникла в органы исполнительной власти. Бывает, что и такие банды нейтрализуют. Недаром Путин озаботился тем, что слишком много России пришлось выплачивать по обязательствам, возникшим в результате действий таких "левоохранителей". Так, глядишь, скоро эти долги превысят бюджет страны. Тем и озаботился Путин, что эти "мелкие" шалости уже стали представлять из себя угрозу национальной безопасности.