Подготовка помещения

Начнем с вопроса: что и от кого будем защищать? Как обрабатывается информация, каковы требования к безопасности, нужна ли сертификация на обработку ПДН, и.т.д. Сложно что-то посоветовать не зная что вам нужно.

Стандарт: съемная квартира и офис. Административные требования соответствующие: в офисе проходной двор и проверка может придти, у квартиры есть реальные хозяева и в любой момент "сантехники, жил.контора, менты просто так" могут пожаловать. Деятельность: бизнес не криминальный среднего уровня, гос.секретностей нет, шпионажа нет, подрывной оппозиционной деятельности нет. Нужно предотвратить канал утечки посредством устройств и методов среднего уровня (перечислять все не буду, но врядли будут со спутника снимать электромагнитный фон, а вот китайские жучки/камеры и пр., "случайные" соседи могут быть) Интересует, какие места/помещения (в каком состоянии) лучше выбирать (типы районов, домов, год постройки, какой лучше этаж, внутреннее состояние помещений: отсутствие всего чего можно или...? и т.д.) и какими средствами (технические, для проверки, для защиты) пользоваться для обеспечения вышеназванных требований безопасности.

Обычно начинают со строго пропускного режима, красных кнопок и "герметичной" сетки Фарадея. Если офис — проходной двор, то не спасёт и это.

Соседи могут подслушивать через стенку стетоскопом, конкуренты могут поставить жучки, но исходя из моего опыта, для бизнеса среднего уровня главную опасность представляют бывшие сотрудники. Уволившийся или уволенный сотрудник обычно захватывает с собой всю информацию к которой имеет доступ (программисты крадут исходники, менеджеры крадут базу клиентов) и пользуется ей работая у конкурентов. Поэтому если у вас есть что скрывать от конкурентов, то в первую очередь защищайтесь от своих. Вам потребуется строгий пропускной режим, запрет на внос/вынос любой электроники, проверка на входе металлоискателем и нелинейным локатором. И попросите юристов сделать грамотный договор обязующий сотрудников сохранять вашу коммерческую тайну и накладывающий все возможные санкции за нарушение. От жучков вам хватит простого детектора поля, коим нужно иногда проверять помещение (и перепроверять после визитов всяких подозрительных личностей). Особая подготовка помещения не требуется, максимум можете установить виброизлучатели в стены и на окна если боитесь прослушки соседями. Также классическими каналами утечки являются домофон, проводной телефон и проводное радио.

Еще добавлю: хорошей практикой будет неожиданное увольнение. Уволенный сотрудник приходит на работу и обнаруживает что его пропуск не работает а охрана выдает ему пакет с личными вещами с рабочего места. Это значительно снижает риск умышленного слива информации и саботажа.

Люди будут работать в жёстких условиях, только если бизнес прямо противоположен определению

не криминальный среднего уровня, гос.секретностей нет, шпионажа нет, подрывной оппозиционной деятельности нет.

И даже в экстремальных случаях внедрять меры безопасности вероятно крайне сложно. В большинстве случаев обычному бизнесу проще совсем от них отказаться и покрыть возможные убытки страховкой.

В противном случае, меры безопасности скорее всего будут быстро превращаться в "театр безопасности". И будут или тихо саботироваться, или выполняться без особого энтузиазма несмотря на все принуждения как работниками, так и самой службой безопасности. Даже у руководства быстро угаснет интерес к расходам сил и средств в этом направлении и дальше сотрясения воздуха и ритуально-театрально-имитационных мер безопасности дело не пойдёт.

Скоро даже в проектировании самолётов и ядерных реакторов будет важнее быстро отработать прибыль вперёд конкурентов, чем честно соблюдать меры безопасности :(

Спасибо за ответы, все-таки больше волнует юридический аспект причем именно в отношениях с арендодателем и с законниками. Как технически создать бункер впринципе понятно, если это частный бункер, но бункер перестает им быть, когда ты обязан по первому требованию показать ВСЕ пришедшему "сотруднику" (приехавшему из деревни и устроившемуся вчера в органы)
Фраза "И попросите юристов сделать грамотный договор обязующий сотрудников" имеет отношение к сотрудниками и тут все просто и понятно, но вот то что касается законодательства (официальная охрана обязана стучать и сливать инфу куда следует, иначе по закону это уже не СБ, а преступная группировка) и прав пользователя помещения ничего не ясно.
Так же на практике арендатор скорее найдет другого съемщика (как юрика, так и на жилое помещение), чем будет позволять модифицировать свой объект или цена аренды подскочет в несколько(!) раз притом все-равно не будет никаких гарантий. Поэтому повторю первый вопрос: Интересуют практические советы тех, кто реально успешно решал данные вопросы при аренде, как жилых, так и нежилых помещений, какие места/помещения лучше выбирать (типы районов городов: центр, окраина; бизнесцентры или наоборот внешне "неделовые" помещения – все это важно как при сканировании эфира шпионами, так и при "официальных" акциях по отношению к защищающемуся, типы зданий, год постройки здания, какой этаж лучше всего может быть приспособлен для этого: последний, первый, цокольный..., внутреннее состояние помещений: отсутствие любой мебели и ремонта или...? и т.д.)
То что касается отношений с сотрудниками, это вопрос даже не второй, а десятый и все это впринципе решается при нормальной законодательной базе.
Что вы подразумеваете под "слубжбой безопасности"? Официальной или "как у всех"? Если официальной, то она не имеет право делать ровным счетом ничего, а если она с более расширенными полномочиями это уже будет официально "уборщики-айтишники" или "друзья ГБшники устроились ко мне на работу", но никак не security.
Так же то, что касается административно-юридического момента, ОЧЕНЬ интересуют юр. ходы не только при снятии помещения под офис, но в случае с частным жильем в многоквартирном доме (где прав даже у собственника не так много, что уж говорить про арендатора)

все-таки больше волнует юридический аспект причем именно в отношениях с арендодателем и с законниками.

С этим вам к юристам, а не на этот форум, и нужны более конкретные вопросы.

когда ты обязан по первому требованию показать ВСЕ пришедшему "сотруднику" (приехавшему из деревни и устроившемуся вчера в органы)

А чего вы хотите? Живете в этой стране – будьте готовы выполнять ее законы. Или если занимаетесь нелегалом то так и скажите, вам посоветуют нелегальные схемы защиты вашей деятельности от органов. Мой вам совет, если хотите делать бизнес – с органами надо дружить, а не враждовать. Бизнес поднявшийся выше определенного уровня должен иметь подвязки во всех значимых для него органах. Вместо того чтобы враждовать с органами лучше выходите на нужных людей и предусмотрите в своем бюджете соответствующие затраты, и тогда никто вас не обидит.

и прав пользователя помещения ничего не ясно

Я так и не понял что вам нужно от помещения. Физическая безопасность, установка защиты от прослушки, или что? Все эти вопросы решаются договором с арендодателем и я не вижу здесь никаких проблем.

ОЧЕНЬ интересуют юр. ходы не только при снятии помещения под офис, но в случае с частным жильем в многоквартирном доме (где прав даже у собственника не так много, что уж говорить про арендатора)

А что вам надо такого экстраординарного, что не хватает даже прав собственника? Установить хорошую железную дверь – любой собственник рад, если за ваш счет и ему она после вас останется. Установить генераторы шума на окнах и вкрутить по шурупу для виброизлучателей в стены – дело нехитрое и особых разрешений не требующее. Эксплуатация портативных металлоискателей и прочих приборов вообще никак к помещению не относится и ничем не запрещена. Ставьте все это в любой квартире ради бога, никто вам плохого слова не скажет.

Да почти любая организация — это проходной двор. Особенно т.н. "бизнес-центры" С уборщицами из агентства, появляющимися неизвестно откуда электриками, установщиками кондиционеров. Попыткам проверить их нелинейным сканером и вытрясти из карманов мобилы и флэшки они активно сопротивляться не будут, но это малореально всё. На это забивают даже в организациях, где безопасность критически важна. Читайте заметки Шнайера из аэропортов и его упоминание о службе по контракту в АНБ.

По поводу технической стороны, рекомендую почитать http://www.tscm.com/, особенно не рекламу той фирмы (и совершенно неактуальное криптооборудование двадцатилетней давности, но лучшего как-то не продают), а советы непрофессионалам и их рассылку. Это лучшее сообщество по теме. Кое какие простые советы выполнимы, но погружение в тему вызывает уныние.

По поводу безопасности личного компьютера, небольшой сети — можно дать пользователю советы по выбору программ, основы методов защиты информации и т.д., но давать рекомендации по вычислению слежки, обнаружению следов искусственной пыли на месте установке закладок — это надо или сразу в психушку или отправлять к специалистам высокого уровня.

Даже истратив очень большие суммы на спецоборудование, трудно найти специалистов, которых считанные единицы на страну. Все специалисты такого уровня (как Джеймс Аткинсон например, в США), фактически находятся под контролем государства или в вялотекущем конфликте с ним, так как их бизнес непредсказуемым образом может помешать интересам госслужб.

но давать рекомендации по вычислению слежки, обнаружению следов искусственной пыли на месте установке закладок — это надо или сразу в психушку или отправлять к специалистам высокого уровня.

Всему можно самому научиться: главное — это желание и время :)

Всему можно самому научиться: главное — это желание и время :)

Главное не увлекаться, а то окружающие сдадут вас в психушку.

С сайта http://www.tscm.com/, порадовало:

"Gentlemen do not read each other's mail"
– Secretary of State Henry L. Simpson, August 1929,
Shutdown and dismantled the "American Black Chamber"

"Henry Simpson is a naive fool"
– Herbert Yardley, October 1930, Head of the MI-8 Cipher Bureau,
Father of the NSA, Modern Eavesdropping, and Cipher Analysis.

"Not only do gentlemen read each other's mail, but wise gentlemen study and practice it as an art form."
– William "Wild Bill" Donovan, April 1942, Strategic Services (OSS),
Father of the Modern Central Intelligence Agency (CIA).

Всему можно самому научиться: главное — это желание и время :)

Главное не увлекаться, а то окружающие сдадут вас в психушку.

Предлагаю оценить самим, насколько это реально, по переводам пары статей Аткинсона (они не совсем актуальны, в этой сфере техника шагнула вперёд, но всё равно занимательны):
Типичная последовательность действий, которой придерживается Granite Island Group при проведении инспекций TSCM и Как заказать TSCM инспекцию.

Всему можно самому научиться: главное — это желание и время :)

Предлагаю оценить самим, насколько это реально

Так там и указано:

Есть семь школ, признанных легитимными в данной отрасли индустрии (три из них являются государственными школами).

Т.е. обычное ремесло, хоть и очень редкое, которому можно при желании даже где-то обучиться (а есть такие вещи, по которым нет школ, и приходится самому перелопачивать горы литературы и интернеты). Интереснее было бы взглянуть не на TSCM'щиков, а на тех, кто разрабатывает сами приоборы/методы, вспоследствии используемые TSCM'щиками. Грубо говоря, лётчик — это, конечно, очень стильно, но генеральный конструктор самолёта как бы покруче будет, но про это почему-то всегда забывают.

TSCM'щики как раз и занимаются практическими советами.

Интереснее было бы взглянуть не на TSCM'щиков, а на тех, кто разрабатывает сами приоборы/методы, вспоследствии используемые TSCM'щиками.

"Рядовому пользователю" глубокая теория не нужна. Ну проводятся какие-то научные исследования и появляются публикации по распространению радиоволн в специфических условиях, по типам модуляции и т.д., электронщики это затем воплощают в железе. Кто-то делает из этого готовый продукт. Но не сможет сам им воспользоваться в реальной (не лабораторно-стендовой) ситуации.

Зато TSCM'щик — практик, умеющий находить язык с рядовым клиентом, такой "мастер на все руки", знающий и как электронные замки и пожарные датчики устроены и вентиляцию с канализацией не гнушающийся проверить.

http://www.tscm.com/goldlist.html

Ближе всего к теоретикам:

Professor – Heavy academic experience, but fairly light on actual field experience. This type is very hazardous to your sweep, as they can often talk about technical subjects exhaustively, and may own a smattering of equipment, but they usually (but not always) lack actual experience out in the field. They can talks for days about antenna factors, signal propagation, and “what can be done” but when it actually comes down to putting their knowledge to work things start falling apart.

Разработчики оборудования в этом полуюмористическом списке "типажей" почти никак не фигурируют. Написано, что TCSM'щики могут иногда в этом участвовать и иметь научные публикации, но клиентов это не касается.