Письмо с СБУ

[Гайджин 574]

Не логично ли отказаться от бессмысленных мучений и прямо сказать "никаких логов нет"? Если вы будее каждый день полностью переписывать логами диск он у вас очень скоро "склеит пластины"....

Так а оно не сильно напрягает - стоит в сторонке и тихонечко похрюкивает, кушать сильно не просит. Более того, из нетфлоу, можно готовить не только "оперы" в органы.

[natiss 16]

Да ну его, это "оперное творчество", мы провайдеры или "композиторы"? Из него можно и нужно готовить статитстику активности абонентов, но это не самое жизненно необходимое.

Интересно, а в России попытки борьбы с интернет-бардаком к чему-то привели? Вот уж точно, страна контрастов, хотя, может напротив, однородность массы, вконтакт - стандарт, .... - президент, и т..п.

[andryas 1 058]

В Законе Украины про Телекомуникации сказано лишь о необходимости сохранения информаци о соединениях абонента.

Нет не только расшифровки, что такое соединение, нет информации даже о том, в какой форме сохранять, формате, с какой детализацией, куда сохранять и т.д.

 

Если брать класическое понятие "соединение" (как в телефонии), то необходимо сохранить лишь дату, IP и длительность сесии абонента (когда авторизировался, с каким IP адресом).

 

Сохранение даже того же netflow, как уже совершенно верно написали выше по тексту:

1. Не несёт никакого практического смысла, ибо установить не только URL, а даже доменное имя ресурса невозможно

2. Противоречит законодательству, ибо собираеться без письменного согласия абонента.

 

Писать весь трафик всех абонентов - нереально технически. Поток одного лишь заядлого торрентщика заполнит винчестер з несколько дней. Кроме того, в вашем "кеше" при желании найдут столько интересного, что сядите гарантировано и весьма надолго за хранение и распространение

[natiss 16]

В Законе Украины про Телекомуникации сказано лишь о необходимости сохранения информаци о соединениях абонента.

Нет не только расшифровки, что такое соединение, нету информации даже о том, в какой форме сохранять, формате, с какой детализацией, куда сохранять и т.д.

А раз расшифровок нет, то и сохранять нечего.

[KaYot 3 605]

Сохранение даже того же netflow, как уже совершенно верно написали выше по тексту:

1. Не несёт никакого практического смысла, ибо установить не только URL, а даже доменное имя ресурса невозможно

2. Противоречит законодательству, ибо собираеться без письменного согласия абонента.

 

Писать весь трафик всех абонентов - нереально технически. Поток одного лишь заядлого торрентщика заполнит винчестер з несколько дней. Кроме того, в вашем "кеше" при желании найдут столько интересного, что сядите гарантировано и весьма надолго за хранение и распространение

1. Смысл есть, вы таки даете органам ip-адреса куда ходил абонент. Дальше уже их дело как использовать эти улики.

2. Никаких противоречий

3. Писать весь трафик - запросто. И никакого кеша нет, только лог по адресам/портам.

[nikolakus 0]

в законе про ТК говориться о сохранении инфы по соединениям абонента, статистику нетфлоу можно расценивать как соединения абонента с такими-то айпи

 

а там пусть органы сами разбираются.

[Sanito 127]

Ребята, подпись Парамонова на тех киевских письмах что видел, реальная.

Дальше решайте сами.

[straus 82]

2. Противоречит законодательству, ибо собираеться без письменного согласия абонента.

2. Никаких противоречий

Ну как там говорят - за что боролись на то и напоролись?

Собираем и храним личные данные?

А:

- В соответствующей инстанции зарегистрированы?

- Разрешение от владельцев данных получено?

- Безопасное хранение данных организовано?

- Учёт доступа к данным ведётся?

- Имеющие доступ к данным о порядке работы с ними предупреждены под роспись?

- Мероприятия по исключению утечки данных выполняются?

 

(Это сходу. Можно и ещё добавить.)

[KaYot 3 605]

А где вы там личные данные увидели? Сугубо системные логи, не содержащие как-либо информации об абоненте, тем более предоставленной самим абонентом. Так что, где что и как хранить - личное дело оператора.

[straus 82]

А где вы там личные данные увидели? Сугубо системные логи, не содержащие как-либо информации об абоненте, тем более предоставленной самим абонентом. Так что, где что и как хранить - личное дело оператора.

Системные логи СБУшников не интересуют. Им нужны конкретные абоненты, ходившие на конкретные сайты.

 

Так-с, смотрим ЗАКОН УКРАЇНИ "Про захист персональних даних":

----

обробка персональних даних - будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;

 

персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

----

 

Сведения о том, когда и куда лазил в интернете абонент - несомненно персональные данные.

 

(Кстати, на минуточку - в нормальных странах в библиотеках даже запрещено вести учёт, кто какую литературу берёт.)

[straus 82]

Кстати, есть ещё один интереснейший момент:

----

Стаття 14. Поширення персональних даних

 

1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних.

 

2. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

----

 

Интересно то, что "уголовные" причины здесь не упоминаются (уголовные преступления не относятся к национальной безопасности). То есть, согласно этому закону, передача персональных данных про физлицо без его согласия по "уголовным" причинам (например уголовное дело) не допускается.

Вот такой казус.

Есть, правда, такое:

----

Стаття 25. Обмеження дії окремих статей цього Закону

 

1. Обмеження прав, передбачених статтями 8, 11 і 17 цього Закону, здійснюється лише в інтересах:

 

1) національної безпеки, економічного добробуту та прав людини;

 

2) захисту прав і свобод фізичних осіб, персональні дані яких обробляються, чи прав інших суб'єктів відносин, пов'язаних із персональними даними, а також з метою боротьби із злочинністю;

----

но указанная выше статья 14 здесь не упоминается.

[elephant 3]

Теж приходило. Взяли netflow (3 місяці тримаємо), порівняли з табличкою calls з білінгу, отримали login.

Що далі боси вирішили - відповідати, що відповідати - не знаю.

У мене відчуття що це honeypot , до того ж двосторонній: - на підставний сайт ловлять придурків і перевіряють готовність операторів.

[genway 44]

Теж приходило. Взяли netflow (3 місяці тримаємо), порівняли з табличкою calls з білінгу, отримали login.

Що далі боси вирішили - відповідати, що відповідати - не знаю.

У мене відчуття що це honeypot , до того ж двосторонній: - на підставний сайт ловлять придурків і перевіряють готовність операторів.

Кстати нельзя исключать такой вариант и придурка споймали и прова нагнули за незнание законов

[genway 44]

А где вы там личные данные увидели? Сугубо системные логи, не содержащие как-либо информации об абоненте, тем более предоставленной самим абонентом. Так что, где что и как хранить - личное дело оператора.

Системные логи СБУшников не интересуют. Им нужны конкретные абоненты, ходившие на конкретные сайты.

 

Так-с, смотрим ЗАКОН УКРАЇНИ "Про захист персональних даних":

----

обробка персональних даних - будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;

 

персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

----

 

Сведения о том, когда и куда лазил в интернете абонент - несомненно персональные данные.

 

(Кстати, на минуточку - в нормальных странах в библиотеках даже запрещено вести учёт, кто какую литературу берёт.)

+

Хоть кто то разжевал что такие писульки еще и без печатей нарушают основные конституционные права человека

Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

для предоставления персональных данных у УСБ должны быть веские основания подкрепленные документальными материалами, на основании которых вам и будут делать запрос, а не с потолка лепить какую то абра кадабру

[natiss 16]

 

Системные логи СБУшников не интересуют. Им нужны конкретные абоненты, ходившие на конкретные сайты.

Таких данных нет и быть не может! Требуется только хранить информацию о соединениях? Ок,! Вот, пожалуйста, дамп нетфлоу за последние 5 минут. Никакой привязки Ip к абоненту нет, поскольку это не требуется законом. Какие действия?

[natiss 16]

в законе про ТК говориться о сохранении инфы по соединениям абонента, статистику нетфлоу можно расценивать как соединения абонента с такими-то айпи

 

а там пусть органы сами разбираются.

Что значит "можно расценивать"?

А посещение сайта "повзрываювсех.ру" можно расценивать, как доказательство причастности ко всем взрывами в стране за последние 10 лет?

Нет такого понятия "соединение абонента". Или четко сформулированные требования (хотя бы версия протокола нетфлоу, необходимые поля и период хранения) или всё это бред.

[natiss 16]

для предоставления персональных данных у УСБ должны быть веские основания подкрепленные документальными материалами, на основании которых вам и будут делать запрос, а не с потолка лепить какую то абра кадабру

 

Не цепляйтесь к форме. Ну пришлют вам тот же самый бред про годзззззилу на сайте гитлер.де по всем канонам с печатями, материалами дела на 100500 листах, вам полегчает? Думаете от этого изложение вопроса станет корректнее?

[Гайджин 574]

Воот, а то вцепились в печать... Ну допустим все оформлено по феншую - толку то?

[genway 44]

для предоставления персональных данных у УСБ должны быть веские основания подкрепленные документальными материалами, на основании которых вам и будут делать запрос, а не с потолка лепить какую то абра кадабру

 

Не цепляйтесь к форме. Ну пришлют вам тот же самый бред про годзззззилу на сайте гитлер.де по всем канонам с печатями, материалами дела на 100500 листах, вам полегчает? Думаете от этого изложение вопроса станет корректнее?

Однозначно полегчает потому как тут сразу будет понятно что надо сотрудничать, а не филькины грамоты людям присылать. По феншую печать нужна для документа.

[Гайджин 574]

Хорошо, усложняем задачу топикстартера - печать на сканяже была, но ее стерли. И?

[genway 44]

Хорошо, усложняем задачу топикстартера - печать на сканяже была, но ее стерли. И?

дык он как раз сам и говорил что печати небыло....

[morfey 82]

Написали ответ, мол нет тех возможности.

[ESP 7]

Эти домены висят на виртуальном хостинге, где кроме них по 10-30 сайтов ещё дополнительно.

Поскольку netflow протокол не расчитан на логирование доменного имени, а только айпи-адреса, Вы потенциально можете оклеветать рядового пользователя.

ИМХО, запрос составлен крайне неграмотно, user-agent со стороны хостера (hetzner) стоит запрашивать, а ключи фильтрации таковы - что результат выборки можна обрабатывать годами в масштабах Украины.

[genway 44]

Написали ответ, мол нет тех возможности.

Ну и правильно Никто же не обязывал вас иметь такие возможности...

[KabaH 31]

Гдето два года назад меня тоже вызывали в СБУ, правда в отдел по борьбе с наркотиками. Один из юзеров заказал себе через Интернет за бугром какойто медпрепарат для лечения, там он продается без рецепта а у нас приравнен к наркоте. Непонятно зачем попросили копию абонентского договора и логи соединений юзера. Логи я не выдал по причине того что они не велись. В объяснении написал что нет технической возможности снимать и хранить. На этом все и закончилось.