Целесообразно отключать инспекцию TLS еще и для ряда относительно доверенных URL-ов, таких как цетры загрузки обновлений микрософтовских и других операционных систем, и т.д. Иначе ресурсы даже весьма жирного чекпоинта исчерпываются =)
Хабр — большой, и, следовательно, в некотором смысле является зеркалом общества =) Несомненно, попытки влезть в ваш TLS с помощью sslstrip, корпоративного брендмауэра, BDFProxy или великого китайского ( или не очень китайского =)) — являются реальностью. Полагаю, это нужно знать, уметь обнаруживать, использовать ну и вообще жить с этим %)
Тема очень интересная, конечно.
Но я вот хотел спросить — вы серьезно считаете, что у нас (ну у тех, кому это интересно) есть 40 минут на просмотр вашего видео?
Можно то можно, но дело это, ИМХО, мало осмысленное.
Попробую пояснить почему…
Чекпоинт стоит как военный истребитель.
Покупают его, соответственно, те, у кого перебои сервисов, которые он защищает, стоят еще дороже.
А значит — важна отказоустойчивость решения, наличие поддержки…
Поддержка реально важна — чекпоинт сложный, высокотехнологичный продукт, без глюков не обходится. С поддержкой их, в общем-то, исправляют =))) Без этого совсем грустно.
Второй фактор…
В даташите на аппаратные решения указана пропускная способность.
Раньше была одна цифра, потом…, теперь указывают 4.
https://www.checkpoint.com/downloads/product-related/comparison-chart/appliance-comparison-chart.pdf
на самом деле производительность зависит как от вида трафика, поданого на фаервол, так и от набора правил и количества задействованных функций( блейлдов).
Для вендорского железа есть какая-то статистика, есть база инсталляций. Покупаешь ты железку 61хх — тебе скажут, какой у нее в соседних внедрениях уровень загрузки, профиль трафика, можно довольно осознанно делать сайзинг. На левом железе всего этого нет.
Для поиграться — да, можно на виртуальной машине. Поучится правила писать, конфигурации потестировать.
Они тут тоже не первые =) У того же чекпоинта версия 5.5 называлась уже NG, а 6.5 — NGX =))
Но это по памяти. Помню, была еще 6.2, но кто была она — еще NG или уже NGX — не помню
Поскольку термин next generation firewall придумал гартнер, (в своей публикации Defining the
Next-Generation Firewall Gartner RAS Core Research Note G00171540, John Pescatore, Greg Young, 12 October 2009, R3210 04102010) то на его определение и нужно, наверное, ориентироваться
http://www.gartner.com/it-glossary/next-generation-firewalls-ngfws/
А потом уже в эту лодку попытались все заскочить =)
А интеграция с каталогом в _нормальных_ фаерволах была всю жизнь, а не с 2009 года =)
Обязанность иметь лицензию возникает при выполнении четко определенного перечня работ, и мнение клиента тут никак не учитывается.
Собственно именно по тому эта деятельность и лицензируется, (ну, по идее :) ), что государство не считает заказчиков в достаточной мере квалифицированными и требует наличия квалификации у исполнителя.
В гипотетическом примере про «Яндекс» имелся в виду именно инцидент с ПДн потребителей, т.е. пострадавшие — физ. лица.
СТР-к… Вы бы еще указания тайной экспедиции при сенате Россиийской Империи припомнили =)…
Трехглавый закон ( N 149-ФЗ) в ст.2 дает вполне широкую трактовку термина конфиденциальность.
Также читаем ПП N 79 от 3 февраля 2012: «Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации) (...)»
Выделение — мое. Персональные данные — информация, защищаемая в соответствии с законодательством РФ.
Своими персональными данными вы ( пока ;) ) действительно можете распоряжаться как хотите, и не защищать их.
А вот оказывать услуги по защите чужих персональных данных, даже если субъекту пофиг на них, вы можете только с лицензией. Мы то ведь говорим о случае, не когда вы купили антивирус и ставите его на ноут себе, а когда вы за деньги оказываете такую услугу другому физ. лицу.
Про не будет — поглядим…
238 — это конечно какой то особый случай должен быть, ну например «яндексу» продать и внедрить СЗИ без лицензии, да еще и криво, да еще и что б потом утечка была с последствиями…
Ок, попробую еще раз.
Да, если нет данных, подлежащих защите по закону, лицензия ТЗКИ не нужна.
Просто это редкий случай, когда таких данных нет. Например, на всех компьютерах физлиц они есть. И вообще во всех организациях на компьютерах бухгалтерии и отдела кадров они есть, т.к. никто зарплату на счетах ни считает, и дела на печатных машинках не печатает.
Таким образом, что бы сформировать заказ на установку в организации антивируса, без необходимости наличия у исполнителя лицензии ТЗКИ, необходимо специально исключить из объема работ компьютеры бухгалтерии и отдела кадров. Если это не сделано — нужна лицензия.
Состав правонарушения, соответственно, тоже есть — 14.1 пункт 2 КОАП в лучшем случае, в худшем — 171 УК а то еще и 238 натянуть могут.
Продажа ( поставка) не лицензируется. Лицензируется — установка, монтаж, испытания, ремонт средств защиты информации(....)
Вы правы, когда говорите о поставке. Я же говорю о, к примеру, распространеннейшем случае — ИП оказывает услуги по ремонту/настройке компьютеров, установке софта, среди которого и антивирус. Опа, формально нужна лицензия! Тот факт, что заказчик ( физ.лицо) не ценит свои ПДн и не собирается их защищать роли не играет. Другое дело, что за это пока не дерут, но мы же все помним, как в этом разрезе развивалась тема с лицензионным софтом, как раньше легко ставили пиратский, а теперь за это реально сажают.
Или вторая достаточно распространенная ситуация — как правило муниципальный заказчик через запрос котировок покупает мелкие услуги автоматизации, с которыми в принципе неплохо справляются ИП, когда индивидуальные, когда с парой-тройкой сотрудников. Наличие в работах развертывания антивируса выносит их всех в пользу лицензиатов.
> И ИП без сотрудников получить лицензию может.
Перечитал ПП N 79 от 3 февраля 2012 г. — действительно, для ИП специальная оговорка сделана, вы правы =). Как то никогда не обращал на нее внимание, как оказывается государство то об ИП заботится…
Но аргумент, что на защищаемых компьютерах нет конфиденциальной информации ( а вернее информации, подлежащий защите в соответствии с законодательством РФ) — это очень скользкая дорожка. Во первых, потому что таких компьютеров скорее всего и нету в природе, а во вторых — потому, что это сильно ограничивает рынок. При любой конкурсной форме закупок услуг конкуренты постараются нажать на это больное место.
Вы упомянули лицензию ФСБ, но не упомянули лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Например — услуги по установке и поддержки антивируса =)
Гнездо у них тут: http://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii
ИМХО это ближе к телу ИП =)
Впрочем, и ту и другую лицензию ИП без сотрудников получить не сможет.
Но я вот хотел спросить — вы серьезно считаете, что у нас (ну у тех, кому это интересно) есть 40 минут на просмотр вашего видео?
Попробую пояснить почему…
Чекпоинт стоит как военный истребитель.
Покупают его, соответственно, те, у кого перебои сервисов, которые он защищает, стоят еще дороже.
А значит — важна отказоустойчивость решения, наличие поддержки…
Поддержка реально важна — чекпоинт сложный, высокотехнологичный продукт, без глюков не обходится. С поддержкой их, в общем-то, исправляют =))) Без этого совсем грустно.
Второй фактор…
В даташите на аппаратные решения указана пропускная способность.
Раньше была одна цифра, потом…, теперь указывают 4.
https://www.checkpoint.com/downloads/product-related/comparison-chart/appliance-comparison-chart.pdf
на самом деле производительность зависит как от вида трафика, поданого на фаервол, так и от набора правил и количества задействованных функций( блейлдов).
Для вендорского железа есть какая-то статистика, есть база инсталляций. Покупаешь ты железку 61хх — тебе скажут, какой у нее в соседних внедрениях уровень загрузки, профиль трафика, можно довольно осознанно делать сайзинг. На левом железе всего этого нет.
Для поиграться — да, можно на виртуальной машине. Поучится правила писать, конфигурации потестировать.
Вобщем это совсем не опенсорс, другие правила.
Но это по памяти. Помню, была еще 6.2, но кто была она — еще NG или уже NGX — не помню
Next-Generation Firewall Gartner RAS Core Research Note G00171540, John Pescatore, Greg Young, 12 October 2009, R3210 04102010) то на его определение и нужно, наверное, ориентироваться
http://www.gartner.com/it-glossary/next-generation-firewalls-ngfws/
А потом уже в эту лодку попытались все заскочить =)
А интеграция с каталогом в _нормальных_ фаерволах была всю жизнь, а не с 2009 года =)
Собственно именно по тому эта деятельность и лицензируется, (ну, по идее :) ), что государство не считает заказчиков в достаточной мере квалифицированными и требует наличия квалификации у исполнителя.
В гипотетическом примере про «Яндекс» имелся в виду именно инцидент с ПДн потребителей, т.е. пострадавшие — физ. лица.
Трехглавый закон ( N 149-ФЗ) в ст.2 дает вполне широкую трактовку термина конфиденциальность.
Также читаем ПП N 79 от 3 февраля 2012: «Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации) (...)»
Выделение — мое. Персональные данные — информация, защищаемая в соответствии с законодательством РФ.
Своими персональными данными вы ( пока ;) ) действительно можете распоряжаться как хотите, и не защищать их.
А вот оказывать услуги по защите чужих персональных данных, даже если субъекту пофиг на них, вы можете только с лицензией. Мы то ведь говорим о случае, не когда вы купили антивирус и ставите его на ноут себе, а когда вы за деньги оказываете такую услугу другому физ. лицу.
Про не будет — поглядим…
238 — это конечно какой то особый случай должен быть, ну например «яндексу» продать и внедрить СЗИ без лицензии, да еще и криво, да еще и что б потом утечка была с последствиями…
Да, если нет данных, подлежащих защите по закону, лицензия ТЗКИ не нужна.
Просто это редкий случай, когда таких данных нет. Например, на всех компьютерах физлиц они есть. И вообще во всех организациях на компьютерах бухгалтерии и отдела кадров они есть, т.к. никто зарплату на счетах ни считает, и дела на печатных машинках не печатает.
Таким образом, что бы сформировать заказ на установку в организации антивируса, без необходимости наличия у исполнителя лицензии ТЗКИ, необходимо специально исключить из объема работ компьютеры бухгалтерии и отдела кадров. Если это не сделано — нужна лицензия.
Состав правонарушения, соответственно, тоже есть — 14.1 пункт 2 КОАП в лучшем случае, в худшем — 171 УК а то еще и 238 натянуть могут.
Вы правы, когда говорите о поставке. Я же говорю о, к примеру, распространеннейшем случае — ИП оказывает услуги по ремонту/настройке компьютеров, установке софта, среди которого и антивирус. Опа, формально нужна лицензия! Тот факт, что заказчик ( физ.лицо) не ценит свои ПДн и не собирается их защищать роли не играет. Другое дело, что за это пока не дерут, но мы же все помним, как в этом разрезе развивалась тема с лицензионным софтом, как раньше легко ставили пиратский, а теперь за это реально сажают.
Или вторая достаточно распространенная ситуация — как правило муниципальный заказчик через запрос котировок покупает мелкие услуги автоматизации, с которыми в принципе неплохо справляются ИП, когда индивидуальные, когда с парой-тройкой сотрудников. Наличие в работах развертывания антивируса выносит их всех в пользу лицензиатов.
Перечитал ПП N 79 от 3 февраля 2012 г. — действительно, для ИП специальная оговорка сделана, вы правы =). Как то никогда не обращал на нее внимание, как оказывается государство то об ИП заботится…
Но аргумент, что на защищаемых компьютерах нет конфиденциальной информации ( а вернее информации, подлежащий защите в соответствии с законодательством РФ) — это очень скользкая дорожка. Во первых, потому что таких компьютеров скорее всего и нету в природе, а во вторых — потому, что это сильно ограничивает рынок. При любой конкурсной форме закупок услуг конкуренты постараются нажать на это больное место.
Гнездо у них тут: http://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii
ИМХО это ближе к телу ИП =)
Впрочем, и ту и другую лицензию ИП без сотрудников получить не сможет.