Первая часть FAQ.Бесконтактное наблюдение. Есть что добавить/изменить?
3. Бесконтактное наблюдение
– Снятие информации с телефонных каналов связи
– Снятие информации с технических каналов связи (интернет)
– Сбор открытой информации(Google и т.д.) – датамайнинг
– Изучение мусора
3. Бесконтактное наблюдение:
Телефонная связь.
Я думаю ни для кого не секрет что телефонные разговоры можно прослушать в реальном времени, что они пишуться на несколько лет(может больше). Что телефон выдает Ваше местонахождение и маршрут. Микрофон телефона можно включить удаленно как впрочем и камеру. Номер телефона привязываеться к IMEI и еще бог знает сколько сюрпризов.
Рекомендации:
1. По телефону не вести никаких конфиденциальных бесед.
2. Не носить с собой телефон, туда куда вы ходите инкогнито.
3. Следить за исполнением этих правил партнерами.
Вывод: Мобильный телефон не может применяться как средство коммуникации. Только с Ленкой по***деть.
Интернет:
Ну что тут скажешь. СОРМ,Эшелон,ISP и сотрудничество почти всех обьектов интернета с органами и деньгами делает интернет крайне опасным для передачи чувствительной информации.Здесь стоит разделить интернет на серфинг, коммуникации, передачу данных. Это тема для отдельной книги...
Коммуникации:
Почта:
1. Использование доверенного бесплатного почтового провайдера.(gmail.com, riseup.net, safe-mail.net)
1.2 Использование своего почтового сервера с поддержкой ssl/tls.
2. Использование PGP шифрования для писем.
3. Использование TOR+VPN для анонимного использования.
IM
1. Использование своего сервера Jabber
1.2 Использование популярного сервера в нужной юрисдикции.
2. Использование OTR
VoIP
1.Применение VoIP не желательно при защите информации.
2.Использование своего/в нужной юрисдикции SIP-сервера или Gtalk с применением Zfone.
Передача данных
1. Использование FTPS+VPN
2. Использование Freenet
3. Использование шифрованных контейнеров
Серфинг
1.Использование цепочки VPN
1.2 Использование TOR
2.Использование сайтов только с https
Датамайнинг:
1.Не оставлять никакой информации о себе в сети.
2.Документировать всю оставленную.
3.Удалить всю информацию о себе из сети.
Изучение мусора:
1.Конфиденциальный мусор должен быть утилизирован соответствующим способом.
Вот это немного сомнительно. Если конечно не рассматривается телефон сделанный специально для слежки.
комментариев: 1060 документов: 16 редакций: 32
Из соседней темы:
Подбор этих сотрудников и профилактика утечек через них. А самой сложной задачей здесь будет именно заставить их всегда все эти процедуры соблюдать. Ну и вопросы отслеживания нарушений и наказания за них тоже непременно встанут.
комментариев: 11558 документов: 1036 редакций: 4118
Практически нереализуемо. Если информация лежит на Вашем собственном сайте — не факт, что она ещё не была проиндексирована роботами. Если это не Ваш сайт, но не факт, что имеется техническая возможность её удалить. Если информация размещена в каких-нибудь облачно-вебдванольно-SaaS-приложениях типа соцсетей, то далеко не факт, что Ваша попытка её удалить приведёт к реальному удалению, и её нельзя будет впоследствии достать через очередную дыру в этом приложении/сервисе (подобное уже не раз бывало).
Если какая-то информация открыто опубликована в Сети (на собственном сайте в публичном доступе или на стороннем сайте вне зависимости от ограничений доступа), исходите из того, что она уже доступна неограниченному кругу лиц.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 17 документов: 3 редакций: 2
пруфлинк -http://news.cnet.com/2100-1029-6140191.html
Думаю активация камеры не многим отличается от активации микрофона.
| Подбор этих сотрудников и профилактика утечек через них. А самой сложной задачей здесь будет именно заставить их всегда все эти процедуры соблюдать. Ну и вопросы отслеживания нарушений и наказания за них тоже непременно встанут.
О это да и поэтому чем меньше их будет тем лучше :)
| Практически не реализуемо. Если информация лежит на Вашем собственном сайте — не факт, что она ещё не была проиндексирована роботами. Если это не Ваш сайт, но не факт, что имеется техническая возможность её удалить. Если информация размещена в каких-нибудь облачно-вебдванольно-SaaS-приложениях типа соцсетей, то далеко не факт, что Ваша попытка её удалить приведёт к реальному удалению, и её нельзя будет впоследствии достать через очередную дыру в этом приложении/сервисе (подобное уже не раз бывало).
Если какая-то информация открыто опубликована в Сети (на собственном сайте в публичном доступе или на стороннем сайте вне зависимости от ограничений доступа), исходите из того, что она уже доступна неограниченному кругу лиц.
Согласен полностью, но свести ее к минимуму отсылая запросы на удалению необходимая мера.
комментариев: 17 документов: 3 редакций: 2
Спасибо большое! Как я его не нашел? То что нужно!
комментариев: 11558 документов: 1036 редакций: 4118
См. здесь и здесь, как правильно выделять цитаты.
[/offtopic]
комментариев: 17 документов: 3 редакций: 2
комментариев: 17 документов: 3 редакций: 2
Спасибо!
комментариев: 9796 документов: 488 редакций: 5664
Это изначально перевод не до конца проработанного документа, который и в оригинале с того момента особенно не развивался. Главное, что там хорошо описаны общие принципы.
С моделью угрозы со стороны сил правопорядка это например согласуется плохо. Одно дело личная приватность, где и закон больше на стороне человека или общественная организация "активистов за идею". А что насчёт коммерческой организации? В случае обысков и расследований сотрудник раскроет любую информацию (пароли, ключи) или будет выгораживать начальство?
Насколько всевозможные ограничения и наказания нарушений с целью сохранения коммерческой тайны согласуются с трудовым законодательством?
Чаще всё заканчивается имитацией бурной деятельности, когда спец по безопасности поймёт, что нет смысла тратить нервы на убеждения начальства, что самому начальству и менеджерам нужно соблюдать какие-то сложные процедуры и не пользоваться всевозможными удобными программами и сервисами, тем же скайпом и пр. В коммерческой организации всегда есть спешка над выполнением контрактов вперёд конкурентов, стремление выглядеть в лучшем виде перед заказчиком ("клиент всегда прав") и пр. На мерах по информационной безопасности всегда будут экономить впервую очередь.
Поэтому сообщение о всяких инциндентах в банках (утечки данных о клиентах, о интернет-покупках), крупных провайдерах (утечки текстов смс-сообщений или поисковых запросов) и пр. — обыденность. И на их бизнесе это, кстати никак особо не сказывается. Никому из клиентов никакого существенного возмещения ущерба через суд добиться не удаётся, поэтому и убыток таким фирмам от всех этих инциндентов невелик.
комментариев: 17 документов: 3 редакций: 2
Если будет реальное расследование по реальному преступлению, то я сам выдам дозированную информацию. Но если это будет рейдерство, то сотрудники с большей долей вероятности останутся лояльны к фирме. Да и все это на будущее – прибыльность фирмы в данное время не заинтересует никого.
gmail – вы шутите?
Вас похоже никогда не прессовали менты. Меня прессовали, скажу по своему опыту – даже прессинг без физического воздействия можно выдержать лишь имея к этому серьезную мотивацию. Если на вас пойдут рейдеры, все ваши сотрудники мигом расколятся, менты поговорят с ними по душам и они всё расскажут без всякого рукоприкладства. Менты умеют так объяснить расклад, что в глазах сотрудника возможные неприятности перевесят потерю работы.
Я бы взялся выгораживать работодателя за как минимум 200% надбавку к зарплате, иначе нет смысла добавлять себе проблем, проще найти другую работу.
комментариев: 9796 документов: 488 редакций: 5664