Обижали Родригеса или нет точно не известно… но как обычно во всем виноваты русские.
ФБР-ровцы при вербовки Родригеса представились русскими мафиозями, которые хотят такую же крутую систему шифрования, как у Эль Чапо. После чего Родригес понял, что попал в «высшую лигу»… и тут хлоп незадача, это были не русские, а американцы и которые к тому же пригрозили наябедничать Эль Чапо.
Короче говоря, обычная вербовка и оперативная игра.
Там сложнее. Родригес изначально был «стартапом» и по Нью-Йорк Таймсу он заключил пожизненный контракт именно как «стартап», то есть были не трудовые отношения, а хоз. договор между юр. лицами.
Вы в точку попали с тем, что 98% NDA — фикция. Но в то же время их подписание стимулирует контрагента хотя бы задуматься над тем что он делает.
По тексту:
а) В пп. 5 п. ст. 10 98-ФЗ, сказано, что гриф «Коммерческая тайна» может быть нанесен не только на материальные носители, но и включен в реквизиты документа. Как вариант колонтитул электронного документа.
б) NDA применяют не только для коммерческой тайны, но и для передачи персональных данных.
в) Передачу охраняемый сведений как в бумажном, так и электронном виде очень желательно подкреплять актами
Здесь, в данном исследовании, речь идет о защите безналичных переводов по банковским счетам. Карточки это немного не то, они используют безналичные платежи как «транспорт денег».
Разрешать или не разрешать списание денег по только по номеру карты — вопрос принятия рисков банком-эмитентом (тот что, выдал карту). В большинстве случаев подобные операции запрещены. Исключение иногда делают только для больших торговых площадок, например, Amazon.
При этом, если у вас украли деньги с карты вы всегда можете опротестовать платеж. По российскому законодательству пп. 11, 12 ст. 9 161-ФЗ банк обязан вам вернуть деньги.
Это криптосредства построенные организацией лицензиатом ФСБ России «по крипте» с использованием рекомендованных ФСБ криптоалгоритмов, считай ГОСТов и с учетом требований, которые к этим системам предъявляет ФСБ.
КИБ — инструмент, который с вашим слов удобен и понятен. Ок, не спорю.
Но как любой инструмент он является лишь помощником для достижения какой-либо цели.
Так вот, вопросы:
1. Какие задачи вы с его помощью решаете?
2. На сколько измениться доходная часть бюджета вашей организации (по вашим оценкам) если вы эти задачи решать:
а) другими инструментами (например, OpenDLP / My DLP);
б) перестанете решать полностью;
в) с удвоенной силой и использовать дополнительные решения?
3. Как происходит смена паролей от корпоративных систем, которые перехватил «Кейлоггер» в случае увольнения аналитика, который их видел?
4. Как организована безопасность самого DLP? Как вы проверяйте, что установка DLP агента не создает дополнительных каналов для атаки? Как защищаются данные, хранящиеся в DLP, ведь, по сути, если вы собираете инфу со многих работников, архив DLP становится лакомым кусочком для вражеских «киберразведчиков».
На том же основании, по которому видеоданные собирают управляющие компании.
Видеоданные — да. Правовым основанием сбора видеоданных является «обеспечение безопасности» (это исключение в законе 152-ФЗ) и это легко реализуется путем установки соответствующей таблички про которые вы сказали ранее.
Но голос — не видео. Правоохранительные органы к этому могут весьма щепетильно отнестись (были прецеденты) — УК РФ 137, а горячо «любимый» Хабром Роскомнадзор, посчитать, что это информация избыточная для заявленных целей обработки (видеонаблюдение для обеспечения безопасности), поскольку сотни тысяч организаций довольствуются только видео и все ок. Как следствие административка по ч. 2 ст. 13.11 КоАП РФ
Задаю данные вопросы, поскольку неоднократно был свидетелем ситуаций, при которых проекты, подобные описанному здесь, фейлились из-за нарушений законодательства. Поэтому очень интересно как вы это все узаконили.
Подскажите пожалуйста на основании каких правовых норм, осуществляется запись звука при общении продавец-покупатель, а также передача персональных данных покупателя (его видеоизображение) от автозаправки в вашу компанию.
Вы подняли очень интересную проблему. Правильно указали все уязвимости, но с путями решения не все так однозначно.
Рассмотрим ваши предложения:
Адрес должен содержать структурированные данные
Адрес и сейчас структурирован. Город, улица, дом…
Адрес должен быть цифровым
Цифровой адрес гораздо тяжелее запомнить. Посудите сами, что проще habr.com или 178.248.237.68? Банковский счет в РФ имеет структурированный цифровой формат, например
407 03 810 801810000009 — что (грубо) означает счет физ лица в валюте РФ и номер счет в банке. Насколько это удобно? Для компа — супер, а для людей которые его вводят (или пишут рукой) в платежки это АД.
Текстовый адрес имеет существенно культурологическое значение. Историки проклянут момент когда вместо г. Владимир, будет 0100003004005, а к примеру г. Ковров 1212488487.
Адрес должен присваиваться пользователем
1. DNS имена — адреса придуманные пользователем. К чему это приводит? Например, вы интересный стартап, адрес у вас naviaddress.com, но вы не нравитесь дяде Коле. Он регистрирует адрес naviaddres.com и часть ваших пользователей уже у него. А он то им уже расскажет насколько вы «плохие».
2. Как по адресу придуманным пользователем искать человека, который взял деньги и не отдает?
3. Как быть с адрес-квотерами?
В итоге придем к тому, что процесс выдачи адреса все равно будет регулироваться.
User friendly address. Пользователю должно быть легко создавать и передавать адрес, переезжать со старым адресом на новое место и т.д.
Нужно определиться что мы адресуем. Физическое место положение или пользователя
Безопасность хранения данных.
Blockchain вещь хорошая, но не исключает полностью возможность махинации с адресами (например, проблема контроля 51% нод для bitcoin).
Что касается новой проблемы с MikroTik, то в этом случае используется сниффер, основанный на протоколе TZSP. Он в состоянии отправлять пакеты на удаленные системы при помощи Wireshark или его аналогов.
TZSP — протокол, используемый Mikrotik'ом при реализации функционала CALEA.
Wireshark — ПО, способное принять и понять (деинкапсулировать) трафик передаваемый Mikrotik'ом в формате TZSP.
Автоматизация производства приводит к возникновению угроз информационной безопасности.
Можете поделится вашими наработками в этом вопросе? Например, как ваша система (АИС Диспетчер) уживается с требованиями закона 187-ФЗ. Есть ли типовое решение учитывающее эти требования, какие средства защиты вы рекомендуете ставить и куда.
С русскими хакерами не так все просто. Если посмотреть их работу по банкам (тут и тут), то оказывается что многие русские хакреы вовсе не россияне, а украинцы, белорусы или жители других xUSSR стран.
Статья содержит материал, который может быть интересен большому количеству людей занимающихся схожими проблемами. Хоть я и не занимаюсь этой темой, но материал мне понравился. Прямой рекламы в статье нет, хоть и написана она корпоративном блоге, который ведется на хабре как раз для рекламы.
Неприязнь к кредитам, микрокредитам и прочим адским инструментам не повод хаить труд автора, который пишет то про SEO.
ФБР-ровцы при вербовки Родригеса представились русскими мафиозями, которые хотят такую же крутую систему шифрования, как у Эль Чапо. После чего Родригес понял, что попал в «высшую лигу»… и тут хлоп незадача, это были не русские, а американцы и которые к тому же пригрозили наябедничать Эль Чапо.
Короче говоря, обычная вербовка и оперативная игра.
P.S. Но даже с лицензией наркопритоны организовывать не получиться. Все только во имя науки или медицины.
А что рекомендуете при дальнозоркости?
По тексту:
а) В пп. 5 п. ст. 10 98-ФЗ, сказано, что гриф «Коммерческая тайна» может быть нанесен не только на материальные носители, но и включен в реквизиты документа. Как вариант колонтитул электронного документа.
б) NDA применяют не только для коммерческой тайны, но и для передачи персональных данных.
в) Передачу охраняемый сведений как в бумажном, так и электронном виде очень желательно подкреплять актами
Здесь, в данном исследовании, речь идет о защите безналичных переводов по банковским счетам. Карточки это немного не то, они используют безналичные платежи как «транспорт денег».
Разрешать или не разрешать списание денег по только по номеру карты — вопрос принятия рисков банком-эмитентом (тот что, выдал карту). В большинстве случаев подобные операции запрещены. Исключение иногда делают только для больших торговых площадок, например, Amazon.
При этом, если у вас украли деньги с карты вы всегда можете опротестовать платеж. По российскому законодательству пп. 11, 12 ст. 9 161-ФЗ банк обязан вам вернуть деньги.
Это криптосредства построенные организацией лицензиатом ФСБ России «по крипте» с использованием рекомендованных ФСБ криптоалгоритмов, считай ГОСТов и с учетом требований, которые к этим системам предъявляет ФСБ.
Но как любой инструмент он является лишь помощником для достижения какой-либо цели.
Так вот, вопросы:
1. Какие задачи вы с его помощью решаете?
2. На сколько измениться доходная часть бюджета вашей организации (по вашим оценкам) если вы эти задачи решать:
а) другими инструментами (например, OpenDLP / My DLP);
б) перестанете решать полностью;
в) с удвоенной силой и использовать дополнительные решения?
3. Как происходит смена паролей от корпоративных систем, которые перехватил «Кейлоггер» в случае увольнения аналитика, который их видел?
4. Как организована безопасность самого DLP? Как вы проверяйте, что установка DLP агента не создает дополнительных каналов для атаки? Как защищаются данные, хранящиеся в DLP, ведь, по сути, если вы собираете инфу со многих работников, архив DLP становится лакомым кусочком для вражеских «киберразведчиков».
Видеоданные — да. Правовым основанием сбора видеоданных является «обеспечение безопасности» (это исключение в законе 152-ФЗ) и это легко реализуется путем установки соответствующей таблички про которые вы сказали ранее.
Но голос — не видео. Правоохранительные органы к этому могут весьма щепетильно отнестись (были прецеденты) — УК РФ 137, а горячо «любимый» Хабром Роскомнадзор, посчитать, что это информация избыточная для заявленных целей обработки (видеонаблюдение для обеспечения безопасности), поскольку сотни тысяч организаций довольствуются только видео и все ок. Как следствие административка по ч. 2 ст. 13.11 КоАП РФ
Задаю данные вопросы, поскольку неоднократно был свидетелем ситуаций, при которых проекты, подобные описанному здесь, фейлились из-за нарушений законодательства. Поэтому очень интересно как вы это все узаконили.
Подскажите пожалуйста на основании каких правовых норм, осуществляется запись звука при общении продавец-покупатель, а также передача персональных данных покупателя (его видеоизображение) от автозаправки в вашу компанию.
Рассмотрим ваши предложения:
Адрес и сейчас структурирован. Город, улица, дом…
Цифровой адрес гораздо тяжелее запомнить. Посудите сами, что проще habr.com или 178.248.237.68? Банковский счет в РФ имеет структурированный цифровой формат, например
407 03 810 801810000009 — что (грубо) означает счет физ лица в валюте РФ и номер счет в банке. Насколько это удобно? Для компа — супер, а для людей которые его вводят (или пишут рукой) в платежки это АД.
Текстовый адрес имеет существенно культурологическое значение. Историки проклянут момент когда вместо г. Владимир, будет 0100003004005, а к примеру г. Ковров 1212488487.
1. DNS имена — адреса придуманные пользователем. К чему это приводит? Например, вы интересный стартап, адрес у вас naviaddress.com, но вы не нравитесь дяде Коле. Он регистрирует адрес naviaddres.com и часть ваших пользователей уже у него. А он то им уже расскажет насколько вы «плохие».
2. Как по адресу придуманным пользователем искать человека, который взял деньги и не отдает?
3. Как быть с адрес-квотерами?
В итоге придем к тому, что процесс выдачи адреса все равно будет регулироваться.
Нужно определиться что мы адресуем. Физическое место положение или пользователя
Blockchain вещь хорошая, но не исключает полностью возможность махинации с адресами (например, проблема контроля 51% нод для bitcoin).
TZSP — протокол, используемый Mikrotik'ом при реализации функционала CALEA.
Wireshark — ПО, способное принять и понять (деинкапсулировать) трафик передаваемый Mikrotik'ом в формате TZSP.
Можете поделится вашими наработками в этом вопросе? Например, как ваша система (АИС Диспетчер) уживается с требованиями закона 187-ФЗ. Есть ли типовое решение учитывающее эти требования, какие средства защиты вы рекомендуете ставить и куда.
Если это не прикол, то интересно почему спирт, да и еще разбавленный.
Статья содержит материал, который может быть интересен большому количеству людей занимающихся схожими проблемами. Хоть я и не занимаюсь этой темой, но материал мне понравился. Прямой рекламы в статье нет, хоть и написана она корпоративном блоге, который ведется на хабре как раз для рекламы.
Неприязнь к кредитам, микрокредитам и прочим адским инструментам не повод хаить труд автора, который пишет то про SEO.