Что делать когда специалист из комплекта выйдет? Специалисто-зависимые бизнес-процессы да еще на производстве… могут привести к большой беде.
Сейчас бы взять и взломать программу на Коболе на неизвестном железе и на редчайшей ОС....=)
Если мы говорим про старые системы, FoxPro, Cobol и др. я бы не сказал что там хорошо с безопасностью. Взять тот же DOS, Win 3.11 и другой раритет содержит баги на уровне архитектуры, знать язык разработки конкретного софта там вовсе не обязательно.
Пример. В DOS нет нормального разделения памяти процессов, одна софтина может получить доступ к памяти отведенной для другого софта, что и привело к созданию тысяч резидентных вирусов.
Поэтому безопасность данной конкретной системы — вещь вопросительная. К сожалению в статье отсутствует информация о том, что делала эта железка.
В чем смысл использовать старый софт? Апдейтов к нему нет, он дырявый, разработчиков к нему нет, развивать его не получится. Сервер ради сервера, вернее ради аптайма.
Замысел статьи был показать «эволюцию» совершенствования мер защиты, где каждый новый вариант усиливает предыдущие, причем усиливает не просто так, а для защиты от конкретных угроз.
Все без исключения перечисленные варианты встречаются на практике. Даже «ненавистный» вариант 1.
Вариант 3 — по сути рекомендация Микрософт при публикации Exchange. Было бы здорово сегментировать и внутреннюю сеть (для защиты Back-End от АРМов сотрудников), но это на мой взгляд выходило за рамки данной статьи.
Вариант 4 — гайд для админов и работников ИБ при обосновании выбора защитных мер.
Разбиение сетей на подсети указано как принцип. Если публикуемых серверов много, выделите для них большего размера, например /16 (поскольку выход серверов Интернет в рассматриваемой статье базируется на DstNAT, сервера имеют внутренние адреса, вы можете по своему усмотрению управлять адресацией).
Вариант 5 — помимо прочих описанных в статье и комментариях случаев подходит для сетей компаний со сложной системой взаимоотношением владельцев, когда например инфраструктурой управляют люди лояльность которых вызывает сомнения, но на ситуацию повлиять нельзя.
Данный вариант показывает что можно построить безопасную сеть только с помощью серверов, без привлечения инфраструктурного оборудования. На back-end фильтруется (отбрасывается) все кроме целвых протоколов. Например, если back-end — СУБД, то оставляется только протокол взаимодействия с СУБД. Данный вариант был успешно внедрен на практике, для защиты платежных систем.
Стали бы вы советовать эти схемы заказчику с 30 офисами и 10 точками присутствия
Безусловно, все рассмотренные меры внедрялись и показали свою работоспособность.
По ходу работы я видел большое количество реальных сетей (в то числе федеральных с десятками офисов по всей географии страны) и честно сказать ситуация с безопасностью была там «не очень», что собственно и натолкнуло меня написать данный гайд.
А, вообще, огромное спасибо за анализ, любая конструктивная критика помогает совершенствоваться.
В общем случае квантовая криптография направлена на взлом криптографии с открытым ключом, но поскольку данная криптография распространена очень широко, то подвержены данному воздействию практически все ИТ-системы.
Но в тоже время не все криптоалгортимы подвержены взлому через квантовый компьютер. Пример устойчивого алгоритма — одноразовый блокнот. Поэтому если ИТ-системы используют устойчивые криптоалгоритмы, то они взломаны не будут.
Отвечая на вопрос про FB или VK, злоумышленик с квантовым компьютером с высокой вероятностью сможет рассшифровать ваш трафик, при работе с данными сетями, а следовательно от туда вытащить пароли.
ДСП — не гриф, это все знают :), это пометка конфиденциальности не имеющая под собой юридической силы.
На текущий момент есть грифы: коммерческая тайна, секретно, сов. секретно, особой важности.
Все это прописано в действующих Федеральных законах и Постановлениях Правительства.
Простой вопрос: зачем нужен антивирус. Ответ на него каждый делает сам.
Для меня как потребителя, антивирус является частью комплексной системы защиты от вредоносного кода.
Курсы нормальные есть, надо просто понять что вам нужно.
Если нужны знания нормативки и методик: УЦ МАСКОМ, Информзащита, АИС, Сюретль — welcome получите корочки которые подойдут для регуляторов.
Если нужно качнуть практическую безопасность — PentestIT, кстати они есть на Хабре или буржуйские CEH и др.
Главное понимать что за один курс невозможно стать и специалистом по методикам и практическим безопасником.
По моей статистике 19 из 20 организаций не знают вообще о неизвестных угрозах и назначении антивируса
Очень хотелось бы работать в организации которая знает о неизвестных угрозах, пока что все живем в мире известного :)
но я лично не видел ни одной нормальной модели угроз в части вредоносных файлов.
И не уведите, так как предметом для моделей является вредоносный код, а не вредоносный файл. Для понимания разницы можно ознакомиться с описанием вируса slammer — это первое.
Второе, а что в этой модели вы хотите увидеть? Перечисление всех зловредов? Классификацию зловредов?
Это делать бесполезно — даказано историей. Все классификации вирусов, которые когда либо пытались сделать на практике рушатся, поскольку вирусмейкерам глубоко плевать, что их творение не вписываеться в те рамки, которые им придумали «умные дяди».
На практике, вредоносный код рассматривается как абстракция, которая имеет функционал нарушающий свойства безопасности информации (целостность, доступность и т.д.).
Детализироваться внутрь особого практического смысла не имеет, поскольку по сути нет разницы зашифрует ли ваши данные вирус, или же уничтожит или перешлет куда либо, главное что будут нарушены свойства безопасности информации, для поддержания которых и строится система защиты.
Современная практика обеспечения защиты от вредоносного кода базируются на борьбе с проникновением и выполнением вредоносного кода на защищаемом объекте, в вот это достигается уже большим числом способов. Начиная с антивирусов, организацией замкнутой программной среды, блокирование каналов проникновения вредоносного кода (Интернет, флешки) и др.
В заключение хочу ответить что модель угроз, сама в себе большого смысла не имеет, она нужна для формирования технического задания на построение системы защиты.
Это утопия:
— специалисты на местах не знают…
— на местах квалификация администраторов недостаточна ...
Это не утопия, это нормальная работа. Другое дело, что за квалификацию нужно платить. Специалисты на местах, администраторы должны имееть соответвующее образование. Просто админ не имеет права заниматься обеспечением ИБ (у госиков),
Возможно я что-то пропустил. Какие сертифицированные МЭ были для рабочих станций?
Как минимум VIPNET, Континент-АП
Сам пользовался http://www.securitycode.ru/products/security_studio_endpoint_protection/ но тут тру печаль, Outpost купил Яндекс, данный продукт походу свернули. На этот софт были самые лучшие сертификаты — как АВ, СОВ и МЭ
Я говорю про то, что необходимость иметь два сертифицированных продукта вместо одного — это рост размера бюджета
Остальные классы защиты описываются в документах с грифом ДСП и широкой публике недоступны.
МЭ 1-3 классы для защиты государевой тайны, а следовательно и не должны публиковать в открытом доступе, так как данные сведения в соответствии с законом о гос. тайне — должны являться гос. тайной.
Можно предсказать, что как в случае с антивирусами сертифицированных продуктов для классов защиты ниже четвертого не будет.
Далеко не факт. Различия между классами есть достаточно существенные, а с учетом что подавляющие большинство информационных систем персональных данных (ИСПДн) имеет 3-й уровень защищенности, то МЭ 6 класса вполне хватит для защиты перс. данных в общем случае.
Поэтому рассмотрим Профиль защиты для четвертого класса защиты. Нужно сказать, что требования для всех типов достаточно похожи, поэтому для примера требований возьмем Профиль типа В
Различия в требованиях есть и они довольно существенны, например в МЭ А4 требуется маскирование сетевых адресов, да и само описание требований, если читать имеет различия.
К сожалению в открытую часть не попали схемы, указывающие, где должен располагаться сертифицированный МЭ типа В.
А как вы хотели чтоб они попали? У всех сети разные. Требования о наличии МЭ указаны в нормативных документах, например приказы ФСТЭК 17 и 21, во исполнении этих приказов разрабатывается Тех. задание на систему защиты, в котором и указывается размещение МЭ
Получается, что МЭ должен иметь средства защиты от DDoS?
Кроме DDoS разве нет атак на отказ в обслуживании? А TCP Syn flood?
Касательно настроек
Нет требований по режимам работы — все запрещено/разрешено/режим обучения. Предполагается настраивать каждое соединение по одному?;
Сертифицированные СЗИ настраиваются в соответствии с ТЗ, в котором прописаны все разрешенные информационные потоки. Предпроектная стадия в профилях защиты не рассматривается, да и в общем не должна рассматриваться для данного уровня доверия (ОУД3).
И тут потребителей ожидает засада. До выхода Профилей для защиты рабочих станций можно было использовать сертифицированный антивирус, в составе которого шел файрвол — как компонент антивируса тоже сертифицированный.
Такого не было и раньше. Если по вашему проекту защиты требовалось применение МЭ, то вы должны были использовать средство защиты информации (СЗИ), на которое есть формуляр в котором указан номер сертификата, в кортом в свою очередь указано что это сертифицированный МЭ. Хочу отметить что раньше были сертифицированные СЗИ имеющие сертификат как антивирус, как МЭ и как СОВ. Но это ни в коем случае не обозначает что можно использовать сертифицированный антивирус как МЭ
Пячаль в любых вариантах.
Странный вывод, Сертифицированные СЗИ могут использоваться до окончания сроков действия сертификатов, так есть и было всегда. Постулат об использование одного типа СЗИ как другого (антивирус как МЭ) вообще не выдерживает критики.
А вообще ФСТЭК молодцы. Да в документах есть баги, да и в общей системе классификации экранов тоже есть нюансы, например почему выделили МЭ типа «Г» для веб-серверов, но не сделали отдельный тип для SQL-серверов. Есть мнение что, планировалось описать МЭ уровня приложений, но по каким-то причинам сделать это не удалось. Но! Данные требования к МЭ являются существенным шагом вперед по сравнению с документами 1995 г.
Не совсем понятно почему при описании атаки указаны только 3DES и Blowfish.
Судя по описанию она будет справедлива для любых шифров с длиной блока 64 бит и режимом шифрования CBC.
Работодатель обрабатывает ПДн в объеме установленным законом, в ТК РФ есть четкий перечень — ст. 65.
Для всего остального нужны «согласия» и другие формы оправдания обработки.
Применительно к видеонаблюдению, если работник не актер и работатодатель не киностудия, то нужны согласия. Если работодатель предъявляет видеозапись третьим лицам, и эти лица не субъекты ОРД (МВД, ФСБ. ..) то нужно письменное согласие.
Интересная статья, но законность всех мероприятий вызывает большой вопрос.
«Так, слово за слово, мы поставили свою камеру на пункт пропусков в задней части магазина и начали смотреть на тех, кто заходит в здание.»
Вы используете видеонаблюдение для идентификации личности физических лиц, субъектов персональных данных, а значит, в соответствии с действующим законодательством вы обрабатываете биометрические персональные данные и как следствие у вас должно быть письменное согласие всех лиц, которые были зафиксированы у вас на записи (п. 1, ст. 11, 152-ФЗ)
Требование по необходимости согласия подтверждается постулатами ст. 152.1 ГК РФ, поскольку камера у вас стоит не в публичном помещении.
Под исключение об обеспечении безопасности ваши действия (судя по описанию) также не попадают, поскольку вы не являетесь субъектом ОРД.
В связи с подобной обработкой ПДн ваш клиент (магазин) должен стать на учет в Роскомнадзоре как оператор ПДн (описываемый вами способ обработки ПДн не подпадает под исключения описанные ст. 22 152-ФЗ). При этом если магазин не стал на учет, то это ст. 19.7 КоАП РФ
Если видеонаблюдением занимался сам заказчик, или привлек ЧОП, то при условии правильно оформления всех документов, тут можно обеспечить законность.
В другом случае по заявлению лиц, за которыми осуществлялось в отношении наблюдавших могут быть предприняты законодательные санкции предусмотренные ст. 13.11. КоАП РФ, 137 УК РФ.
P.S. Я никого не обвиняю, и требую наказать. Скорее всего у такой большой компании как ваша юристы предусмотрели все эти нюансы. Это скорее больше предостережение тем, кто хочет тоже понаблюдать за людьми в служебных помещениях.
Удивило отсутствие
упоминания ESP при описании IPSec,
упоминания классических связок GRE/IPSec,
раскрытия особенностей наложенного туннелирования (туннель в туннеле),
раскрытия применение SSH для туннелирования,
упоминания отечественных протоколов и СКЗИ для VPN,
использования технологий NAT и Proxy совместно с криптотунелями.
Тема VPN, не смотря на то, что ей 100 лет в обед имеет в себе много интересных особенностей. Ждем следующих серий
Автор немного перепутал две задачи:
1. использовать Токен как флешку для хранения файлов с ключевой информацией и сертификата открытого ключа;
2. использовать Токен как смарткарту для формирования неизвлекаемого закрытого ключа.
Автор не путал :), он хотел как раз это и объяснить. Путают продавцы.
Токен в особенности с неизвлекаемым ключом — это ПАК. В Сертификате на JaCarta ГОСТ есть фараза:
"… Действие сертификата соответствия ФСБ России № СФ/111-2750 распространяется на совместное использование СКЗИ «Криптотокен» в составе электронных ключей JaCarta ГОСТ (eToken ГОСТ) и программных библиотек «Криптотокен ЭП», поставляемых в электронной форме… "
А вы серьезно думайте, что компания с таким корр. счетом в Банке, будет сидеть в одноэтажном здании в помещении со стенами из картона и отсутствием как минимум СБ в структуре?
Видел такие организации :) Количество этажей роли не играет, равно как размещение СБ в здании. Поскольку знаю только одну организцию (гос. структура) в которой, в центральном офисе был развернут пост радиоконтроля.
И что злоумышленник пойдет с оборудованием подобного класса только для того, чтобы снять наводки с электронного ключа!
Злоумышлик пойдет не наводки снимать, а ключ извлекать, это немного другая постановка вопроса.
Вы сами то в это верите?
Тут сложнее.
Если мы говорим про практическую оценку актуальности угроз ПЭМИН, то я подхожу к этому со следующих позиций:
1. Извлечь ключ по ПЭМИН возможно.
— На расстоянии непосредственного контакта — условно до 10 метров (клиентская зона) устройства подобного класса будут стоит
менее 100 тыс. рублей.
— На дальних дистанциях (без зоны прямой видимости) — это прерогатива спец. служб или устойчивых преступных групп. Нужно дорогое оборудование.
2. Для реализации подобного класса угроз у злоумышлеников должна быть очень хорошая подготовка и знания.
3. Для защиты от ПЭМИН нужно реализовать целый комплекс мер, которые для обычной коммерческой организации практически не реализуемы:
— организация режима доступа в помещение.
— документирование и контроль трасс прохождения каналов связи и силовых линий и т. д.
Таким образом, ПЭМИН угроза не эфемерная
.
Спасает то, что специалистов по ней нет и стоимость взлома по ПЭМИН превышает стоимость взлома через классические каналы НСД. А факт, того что для защита от данного вида угроз необходимо реализовывать довольно дорогостоящий комплекс мер, переводит этот риск в разряд рисков с которым приходится жить.
Лично мне как специалисту было бы намного интересно посмотреть на конкретные примеры извлечения подобных «не экспортируемых» ключей из токена, а не то, что вы описали механизм копирования в КрпитоПРО
Это предмет отдельной статьи. В этой статье я хотел показать о типовом разводе, который можно проверить просто элементарными способами.
Что делать когда специалист из комплекта выйдет? Специалисто-зависимые бизнес-процессы да еще на производстве… могут привести к большой беде.
Если мы говорим про старые системы, FoxPro, Cobol и др. я бы не сказал что там хорошо с безопасностью. Взять тот же DOS, Win 3.11 и другой раритет содержит баги на уровне архитектуры, знать язык разработки конкретного софта там вовсе не обязательно.
Пример. В DOS нет нормального разделения памяти процессов, одна софтина может получить доступ к памяти отведенной для другого софта, что и привело к созданию тысяч резидентных вирусов.
Поэтому безопасность данной конкретной системы — вещь вопросительная. К сожалению в статье отсутствует информация о том, что делала эта железка.
Все без исключения перечисленные варианты встречаются на практике. Даже «ненавистный» вариант 1.
Вариант 3 — по сути рекомендация Микрософт при публикации Exchange. Было бы здорово сегментировать и внутреннюю сеть (для защиты Back-End от АРМов сотрудников), но это на мой взгляд выходило за рамки данной статьи.
Вариант 4 — гайд для админов и работников ИБ при обосновании выбора защитных мер.
Разбиение сетей на подсети указано как принцип. Если публикуемых серверов много, выделите для них большего размера, например /16 (поскольку выход серверов Интернет в рассматриваемой статье базируется на DstNAT, сервера имеют внутренние адреса, вы можете по своему усмотрению управлять адресацией).
Вариант 5 — помимо прочих описанных в статье и комментариях случаев подходит для сетей компаний со сложной системой взаимоотношением владельцев, когда например инфраструктурой управляют люди лояльность которых вызывает сомнения, но на ситуацию повлиять нельзя.
Данный вариант показывает что можно построить безопасную сеть только с помощью серверов, без привлечения инфраструктурного оборудования. На back-end фильтруется (отбрасывается) все кроме целвых протоколов. Например, если back-end — СУБД, то оставляется только протокол взаимодействия с СУБД. Данный вариант был успешно внедрен на практике, для защиты платежных систем.
Безусловно, все рассмотренные меры внедрялись и показали свою работоспособность.
По ходу работы я видел большое количество реальных сетей (в то числе федеральных с десятками офисов по всей географии страны) и честно сказать ситуация с безопасностью была там «не очень», что собственно и натолкнуло меня написать данный гайд.
А, вообще, огромное спасибо за анализ, любая конструктивная критика помогает совершенствоваться.
Но в тоже время не все криптоалгортимы подвержены взлому через квантовый компьютер. Пример устойчивого алгоритма — одноразовый блокнот. Поэтому если ИТ-системы используют устойчивые криптоалгоритмы, то они взломаны не будут.
Отвечая на вопрос про FB или VK, злоумышленик с квантовым компьютером с высокой вероятностью сможет рассшифровать ваш трафик, при работе с данными сетями, а следовательно от туда вытащить пароли.
Вот такой неоднозначный ответ на простой вопрос.
На текущий момент есть грифы: коммерческая тайна, секретно, сов. секретно, особой важности.
Все это прописано в действующих Федеральных законах и Постановлениях Правительства.
Для меня как потребителя, антивирус является частью комплексной системы защиты от вредоносного кода.
Антивирусная защита не является темой статьи.
Если нужны знания нормативки и методик: УЦ МАСКОМ, Информзащита, АИС, Сюретль — welcome получите корочки которые подойдут для регуляторов.
Если нужно качнуть практическую безопасность — PentestIT, кстати они есть на Хабре или буржуйские CEH и др.
Главное понимать что за один курс невозможно стать и специалистом по методикам и практическим безопасником.
Очень хотелось бы работать в организации которая знает о неизвестных угрозах, пока что все живем в мире известного :)
И не уведите, так как предметом для моделей является вредоносный код, а не вредоносный файл. Для понимания разницы можно ознакомиться с описанием вируса slammer — это первое.
Второе, а что в этой модели вы хотите увидеть? Перечисление всех зловредов? Классификацию зловредов?
Это делать бесполезно — даказано историей. Все классификации вирусов, которые когда либо пытались сделать на практике рушатся, поскольку вирусмейкерам глубоко плевать, что их творение не вписываеться в те рамки, которые им придумали «умные дяди».
На практике, вредоносный код рассматривается как абстракция, которая имеет функционал нарушающий свойства безопасности информации (целостность, доступность и т.д.).
Детализироваться внутрь особого практического смысла не имеет, поскольку по сути нет разницы зашифрует ли ваши данные вирус, или же уничтожит или перешлет куда либо, главное что будут нарушены свойства безопасности информации, для поддержания которых и строится система защиты.
Современная практика обеспечения защиты от вредоносного кода базируются на борьбе с проникновением и выполнением вредоносного кода на защищаемом объекте, в вот это достигается уже большим числом способов. Начиная с антивирусов, организацией замкнутой программной среды, блокирование каналов проникновения вредоносного кода (Интернет, флешки) и др.
В заключение хочу ответить что модель угроз, сама в себе большого смысла не имеет, она нужна для формирования технического задания на построение системы защиты.
Это не утопия, это нормальная работа. Другое дело, что за квалификацию нужно платить. Специалисты на местах, администраторы должны имееть соответвующее образование. Просто админ не имеет права заниматься обеспечением ИБ (у госиков),
Как минимум VIPNET, Континент-АП
Сам пользовался http://www.securitycode.ru/products/security_studio_endpoint_protection/ но тут тру печаль, Outpost купил Яндекс, данный продукт походу свернули. На этот софт были самые лучшие сертификаты — как АВ, СОВ и МЭ
,
Еще раз повторюсь, так было всегда.
МЭ 1-3 классы для защиты государевой тайны, а следовательно и не должны публиковать в открытом доступе, так как данные сведения в соответствии с законом о гос. тайне — должны являться гос. тайной.
Далеко не факт. Различия между классами есть достаточно существенные, а с учетом что подавляющие большинство информационных систем персональных данных (ИСПДн) имеет 3-й уровень защищенности, то МЭ 6 класса вполне хватит для защиты перс. данных в общем случае.
Различия в требованиях есть и они довольно существенны, например в МЭ А4 требуется маскирование сетевых адресов, да и само описание требований, если читать имеет различия.
А как вы хотели чтоб они попали? У всех сети разные. Требования о наличии МЭ указаны в нормативных документах, например приказы ФСТЭК 17 и 21, во исполнении этих приказов разрабатывается Тех. задание на систему защиты, в котором и указывается размещение МЭ
Кроме DDoS разве нет атак на отказ в обслуживании? А TCP Syn flood?
Касательно настроек
Сертифицированные СЗИ настраиваются в соответствии с ТЗ, в котором прописаны все разрешенные информационные потоки. Предпроектная стадия в профилях защиты не рассматривается, да и в общем не должна рассматриваться для данного уровня доверия (ОУД3).
Такого не было и раньше. Если по вашему проекту защиты требовалось применение МЭ, то вы должны были использовать средство защиты информации (СЗИ), на которое есть формуляр в котором указан номер сертификата, в кортом в свою очередь указано что это сертифицированный МЭ. Хочу отметить что раньше были сертифицированные СЗИ имеющие сертификат как антивирус, как МЭ и как СОВ. Но это ни в коем случае не обозначает что можно использовать сертифицированный антивирус как МЭ
Странный вывод, Сертифицированные СЗИ могут использоваться до окончания сроков действия сертификатов, так есть и было всегда. Постулат об использование одного типа СЗИ как другого (антивирус как МЭ) вообще не выдерживает критики.
А вообще ФСТЭК молодцы. Да в документах есть баги, да и в общей системе классификации экранов тоже есть нюансы, например почему выделили МЭ типа «Г» для веб-серверов, но не сделали отдельный тип для SQL-серверов. Есть мнение что, планировалось описать МЭ уровня приложений, но по каким-то причинам сделать это не удалось. Но! Данные требования к МЭ являются существенным шагом вперед по сравнению с документами 1995 г.
Судя по описанию она будет справедлива для любых шифров с длиной блока 64 бит и режимом шифрования CBC.
ГОСТ 28147-89 aka ГОСТ 34.12-2015 «Магма» (длина блока 64 бит) — похачен?
Для всего остального нужны «согласия» и другие формы оправдания обработки.
Применительно к видеонаблюдению, если работник не актер и работатодатель не киностудия, то нужны согласия. Если работодатель предъявляет видеозапись третьим лицам, и эти лица не субъекты ОРД (МВД, ФСБ. ..) то нужно письменное согласие.
«Так, слово за слово, мы поставили свою камеру на пункт пропусков в задней части магазина и начали смотреть на тех, кто заходит в здание.»
Вы используете видеонаблюдение для идентификации личности физических лиц, субъектов персональных данных, а значит, в соответствии с действующим законодательством вы обрабатываете биометрические персональные данные и как следствие у вас должно быть письменное согласие всех лиц, которые были зафиксированы у вас на записи (п. 1, ст. 11, 152-ФЗ)
Требование по необходимости согласия подтверждается постулатами ст. 152.1 ГК РФ, поскольку камера у вас стоит не в публичном помещении.
Под исключение об обеспечении безопасности ваши действия (судя по описанию) также не попадают, поскольку вы не являетесь субъектом ОРД.
В связи с подобной обработкой ПДн ваш клиент (магазин) должен стать на учет в Роскомнадзоре как оператор ПДн (описываемый вами способ обработки ПДн не подпадает под исключения описанные ст. 22 152-ФЗ). При этом если магазин не стал на учет, то это ст. 19.7 КоАП РФ
Если видеонаблюдением занимался сам заказчик, или привлек ЧОП, то при условии правильно оформления всех документов, тут можно обеспечить законность.
В другом случае по заявлению лиц, за которыми осуществлялось в отношении наблюдавших могут быть предприняты законодательные санкции предусмотренные ст. 13.11. КоАП РФ, 137 УК РФ.
P.S. Я никого не обвиняю, и требую наказать. Скорее всего у такой большой компании как ваша юристы предусмотрели все эти нюансы. Это скорее больше предостережение тем, кто хочет тоже понаблюдать за людьми в служебных помещениях.
упоминания ESP при описании IPSec,
упоминания классических связок GRE/IPSec,
раскрытия особенностей наложенного туннелирования (туннель в туннеле),
раскрытия применение SSH для туннелирования,
упоминания отечественных протоколов и СКЗИ для VPN,
использования технологий NAT и Proxy совместно с криптотунелями.
Тема VPN, не смотря на то, что ей 100 лет в обед имеет в себе много интересных особенностей. Ждем следующих серий
Автор не путал :), он хотел как раз это и объяснить. Путают продавцы.
"… Действие сертификата соответствия ФСБ России № СФ/111-2750 распространяется на совместное использование СКЗИ «Криптотокен» в составе электронных ключей JaCarta ГОСТ (eToken ГОСТ) и программных библиотек «Криптотокен ЭП», поставляемых в электронной форме… "
Видел такие организации :) Количество этажей роли не играет, равно как размещение СБ в здании. Поскольку знаю только одну организцию (гос. структура) в которой, в центральном офисе был развернут пост радиоконтроля.
Злоумышлик пойдет не наводки снимать, а ключ извлекать, это немного другая постановка вопроса.
Тут сложнее.
Если мы говорим про практическую оценку актуальности угроз ПЭМИН, то я подхожу к этому со следующих позиций:
1. Извлечь ключ по ПЭМИН возможно.
— На расстоянии непосредственного контакта — условно до 10 метров (клиентская зона) устройства подобного класса будут стоит
менее 100 тыс. рублей.
— На дальних дистанциях (без зоны прямой видимости) — это прерогатива спец. служб или устойчивых преступных групп. Нужно дорогое оборудование.
2. Для реализации подобного класса угроз у злоумышлеников должна быть очень хорошая подготовка и знания.
3. Для защиты от ПЭМИН нужно реализовать целый комплекс мер, которые для обычной коммерческой организации практически не реализуемы:
— организация режима доступа в помещение.
— документирование и контроль трасс прохождения каналов связи и силовых линий и т. д.
Таким образом, ПЭМИН угроза не эфемерная
.
Спасает то, что специалистов по ней нет и стоимость взлома по ПЭМИН превышает стоимость взлома через классические каналы НСД. А факт, того что для защита от данного вида угроз необходимо реализовывать довольно дорогостоящий комплекс мер, переводит этот риск в разряд рисков с которым приходится жить.
Это предмет отдельной статьи. В этой статье я хотел показать о типовом разводе, который можно проверить просто элементарными способами.