Продолжение инженерного аудита мессенджера, интегрированного с Госуслугами. Ответ ведомства получен — но технические вопросы открыты.
В предыдущей публикации я описал результаты юридического аудита мессенджера MAX: микропредприятие с 2 сотрудниками, директор с признаками массового руководства, вопросы к использованию термина «национальный». Был направлен запрос в Генеральную прокуратуру
.
Прошёл месяц. Система отреагировала. Рассказываю, что произошло и какие вопросы теперь в фокусе.
1. Минцифры России — как регулятору отрасли
2. Прокуратура г. Москвы — по месту нахождения юрлица
Это важный результат. Вопрос вышел из «серой зоны» пользовательских соглашений в официальное правовое поле.
• ООО «Коммуникационная платформа» назначено оператором MAX в соответствии с 156-ФЗ и Распоряжением Правительства № 1880-р
• Использование мессенджера «полностью добровольное»
• Сервис соответствует «строгим требованиям безопасности»
Формальный контур замкнут. Юрисдикция определена. Де-юре вопросов нет.
Это разные уровни: General Purpose vs Mission Critical. Ни 156-ФЗ, ни распоряжение Правительства не освобождают от требований ФСТЭК к объектам КИИ.
Вопрос: проведена ли полная сертификация MAX по приказам ФСТЭК № 239 и № 235?
Вопрос: какие SLA (соглашения об уровне обслуживания) действуют для интеграции с Госуслугами? Как обеспечивается масштабирование при нагрузке?
Вопрос: проводился ли независимый аудит безопасности? Кем? Опубликованы ли результаты?
Вопросы: где физически хранятся данные? Какова схема резервирования? Какие сторонние SDK используются и куда передают информацию?
Человек, которого «рекомендовали» установить приложение на работе или в школе, учитывается как активный пользователь. Отчётность растёт. Показатели оправдывают инвестиции. Но органическое доверие и административный охват — разные вещи.
Доверие — это актив. Его потеря может быть необратимой.
Ваши права:
• Ст. 22 ТК РФ: работодатель обязан обеспечить оборудование для работы
• Ст. 188 ТК РФ: использование личного имущества требует письменного соглашения о компенсации
• Ст. 192 ТК РФ: взыскание возможно только за неисполнение обязанностей из трудового договора
Если нет письменного приказа со ссылкой на закон — это пожелание, а не требование.
• Статус сертификации по требованиям ФСТЭК (приказы № 239, № 235)
• Результаты независимого аудита безопасности
• Регламенты SLA для интеграции с госсервисами
• Перечень сторонних SDK и политика передачи данных
Цель — не "борьба" с MAXом. Цель — получить публичные ответы на вопросы, которые обязаны быть открытыми для любой системы, работающей с критической инфраструктурой.
Безопасность критической инфраструктуры определяется не декларациями, а протоколами. Пока протоколы не опубликованы — доверие остаётся вопросом веры.
Продолжаем работу в правовом поле. Буду держать в курсе.
Источник
В предыдущей публикации я описал результаты юридического аудита мессенджера MAX: микропредприятие с 2 сотрудниками, директор с признаками массового руководства, вопросы к использованию термина «национальный». Был направлен запрос в Генеральную прокуратуру
.
Прошёл месяц. Система отреагировала. Рассказываю, что произошло и какие вопросы теперь в фокусе.
Что произошло после запроса
Генеральная прокуратура перенаправила запрос в два ведомства:1. Минцифры России — как регулятору отрасли
2. Прокуратура г. Москвы — по месту нахождения юрлица
Это важный результат. Вопрос вышел из «серой зоны» пользовательских соглашений в официальное правовое поле.
Ответ Минцифры: что сказано
Минцифры подтвердило:• ООО «Коммуникационная платформа» назначено оператором MAX в соответствии с 156-ФЗ и Распоряжением Правительства № 1880-р
• Использование мессенджера «полностью добровольное»
• Сервис соответствует «строгим требованиям безопасности»
Формальный контур замкнут. Юрисдикция определена. Де-юре вопросов нет.
Ответ Минцифры: что не сказано
Ответ ведомства фиксирует правовой статус, но оставляет за скобками инженерные вопросы. А именно:1. Коллизия 156-ФЗ и 187-ФЗ
156-ФЗ регулирует гражданский слой — массовую цифровизацию, «удобство». Но когда MAX становится де-факто условием доступа к Госуслугам, включаются требования 187-ФЗ о безопасности критической информационной инфраструктуры (КИИ).Это разные уровни: General Purpose vs Mission Critical. Ни 156-ФЗ, ни распоряжение Правительства не освобождают от требований ФСТЭК к объектам КИИ.
Вопрос: проведена ли полная сертификация MAX по приказам ФСТЭК № 239 и № 235?
2. Операционная устойчивость
Оператор — микропредприятие с 2 сотрудниками. Директор руководит 10+ юрлицами одновременно.Вопрос: какие SLA (соглашения об уровне обслуживания) действуют для интеграции с Госуслугами? Как обеспечивается масштабирование при нагрузке?
3. Независимый аудит
«Строгие требования» — это декларация. В инженерной практике доверие строится на сертификатах и результатах аудита.Вопрос: проводился ли независимый аудит безопасности? Кем? Опубликованы ли результаты?
4. Архитектура данных
MAX интегрирован с ЕСИА. Это означает обработку данных федерального масштаба.Вопросы: где физически хранятся данные? Какова схема резервирования? Какие сторонние SDK используются и куда передают информацию?
Проблема метрик
В публичном пространстве озвучиваются цифры: 75 млн пользователей MAX. Но как считаются эти пользователи?Человек, которого «рекомендовали» установить приложение на работе или в школе, учитывается как активный пользователь. Отчётность растёт. Показатели оправдывают инвестиции. Но органическое доверие и административный охват — разные вещи.
Доверие — это актив. Его потеря может быть необратимой.
Напоминание: «рекомендация» — это не приказ
Минцифры официально подтвердило: использование MAX добровольное. Если на работе или в учебном заведении вам «настоятельно рекомендуют» установить приложение — это не требование.Ваши права:
• Ст. 22 ТК РФ: работодатель обязан обеспечить оборудование для работы
• Ст. 188 ТК РФ: использование личного имущества требует письменного соглашения о компенсации
• Ст. 192 ТК РФ: взыскание возможно только за неисполнение обязанностей из трудового договора
Если нет письменного приказа со ссылкой на закон — это пожелание, а не требование.
Следующие шаги
Формируется пакет запросов по техническим регламентам:• Статус сертификации по требованиям ФСТЭК (приказы № 239, № 235)
• Результаты независимого аудита безопасности
• Регламенты SLA для интеграции с госсервисами
• Перечень сторонних SDK и политика передачи данных
Цель — не "борьба" с MAXом. Цель — получить публичные ответы на вопросы, которые обязаны быть открытыми для любой системы, работающей с критической инфраструктурой.
Вывод
Ответ Минцифры закрыл вопрос де-юре статуса. Но перевёл дискуссию на следующий уровень: от «законно ли это?» к «устойчива ли система?».Безопасность критической инфраструктуры определяется не декларациями, а протоколами. Пока протоколы не опубликованы — доверие остаётся вопросом веры.
Продолжаем работу в правовом поле. Буду держать в курсе.
Источник
