Прикольно, на сорм похоже новый стандарт по монтажу. Новые стойки с серьезными замками, камера снаружи, камера внутри

внутри стойки?

Как бы замки на шкаф и общее видеонаблюдение почти в любом ДЦ встречается. А вот подглядывать изнутри ?

а кто знает что эта блядская коробка делает пока она закрыта?!

Лампочками моргает во славу сотоны, конечно

Шокирующие новости: блядская коробка СОРМ убила ночного инженера, который пытался смотреть порно!

кстати, а почему для этой хуиты не было опубликовано не одного эксплойта?

или там такое дно что даже ломать/реверсить нечего?

там дно, но образа где-то валялись слитые

оно же умеет что-то там парсить и искать в этом трафике наверняка, значит и уязвимости есть

Может кто объяснить то, что российские госты требуют определенную реализацию шифрований. Но многие интернет-банкинги используют rsa/aes и т.д. как они обходят госты?

Я могу. ГОСТ коммерческим банкам ничего диктовать не может, если нет такого требования от регулятора. На эту минуту - такого нет.

Я могу. ГОСТ коммерческим банкам ничего диктовать не может, если нет такого требования от регулятора. На эту минуту - такого нет.

А защита перс данных? там же доступ к ФИО, финансовой информации в этом ЛК

И?

И?

и не могли бы вы защитить эти ПДн согласно невнятным законам, подзаборным актам и в согласии с фантазиями жадных вендоров и интеграторов?

и не могли бы вы защитить эти ПДн согласно невнятным законам, подзаборным актам и в согласии с фантазиями жадных вендоров и интеграторов?

Нет.

152 ФЗ регламентирует обязательство компании обеспечивать их конфеденциальность, при отсутствии другого указания от субъекта пд

1. Крипта не единственный способ обеспечить конфеденциальность

152 ФЗ регламентирует обязательство компании обеспечивать их конфеденциальность, при отсутствии другого указания от субъекта пд

таки передача через нешифрованное соединение не является обеспечением конфиденциальности, регуляторы только бумажки умеют, есть средство защиты? нет

2. Почитай договора на интернет банк. У многих в договорах указано, что персуха передается чистым текстом. А значит есть согласие субъекта и привет.

Вот ведь размышлизмы тут на тему ПДн

Уйти от использования СЗИ очень просто в отношении ПДн

Тем более от СКЗИ

2. Почитай договора на интернет банк. У многих в договорах указано, что персуха передается чистым текстом. А значит есть согласие субъекта и привет.

самое забавное, уже даже не договора, а просто странички в интернете, которые меняются по желанию владельца

Закон написан таковым образом, что там юридических уловок навалом

Закон написан таковым образом, что там юридических уловок навалом

о том и речь, пока нет команды сверху, все хорошо, всех устраивает, а надо будет ГОСТ, будет ГОСТ :)

Но это будет не связано с персухой)

хотя судя по всему, регуляторов по голове иногда бьют сверху

Сейчас и так только ГОСТ для защиты ПДн, но от него легко уйти на юридическом уровне

Сейчас и так только ГОСТ для защиты ПДн, но от него легко уйти на юридическом уровне

ну я выше на изначальный вопрос и писал, что моделью угроз уйти вполне легко

Да и модель угроз можно вообще не писать

Не требует этого закон

Да и модель угроз можно вообще не писать

ну это уже с годами упрощается процедура, с ростом количества проведенных проверок, что не может не радовать. То ли дело проекты по ПДн десятилетней давности

Стобр требует, емнип

Стобр требует, емнип

Но это опять же не имеет отношения к ПДн, только к защите БТ

Стобр требует, емнип

так оно не о подключении клиентов к личному кабинету как таковому, хотя не читал, не уверен

И вот в отношении БТ ГОСТ в крипте обязателен как раз

Но это опять же не имеет отношения к ПДн, только к защите БТ

Это да. Имеет отношение к банкам.

алло, 19 часов, бросайте вы это, начинайте пить!

И он до сих пор рекомендательный

И вот в отношении БТ ГОСТ в крипте обязателен как раз

Это где такое?

Прямо в СТОБР

Не помню такого. Надо перечитать

Для защиты информации должны использоваться СКЗИ. Если используются СКЗИ российского производства, то они должны быть сертифицированы

Для защиты информации должны использоваться СКЗИ. Если используются СКЗИ российского производства, то они должны быть сертифицированы

вот прям так и написано? обычно считалось, что все, что не сертифицировано, средством защиты как бы и не является, для того на циски и чекпоинты сертификаты делались

а у нас даже наклейки на винды 7 переклеивались, ибо она стала "сертифицированной"

вот прям так и написано? обычно считалось, что все, что не сертифицировано, средством защиты как бы и не является, для того на циски и чекпоинты сертификаты делались

Именно, классическая catch 22

как помню именно так там и написано

Для защиты информации должны использоваться СКЗИ. Если используются СКЗИ российского производства, то они должны быть сертифицированы

Это другое. Это сертификация на встраивание крипты

Вся фишка в понятии СКЗИ, если называете СКЗИ то решение сертифицировано

Это другое. Это сертификация на встраивание крипты

Нет сертификации на встраивание, есть лицензирование

Нет сертификации на встраивание, есть лицензирование

Согласен

Хотите - встраивайте, но имея лицензию и только сертифицированное решение

ну что за диалог такой, даже не посрались (

Я не готов сраться, тк не помню фактуру стобра дословно, а проверять лень)

Но чувствую что где-то наебали)

Я уже проверил

Фразу вообще написали тупо. Должны использоваться СКЗИ, они должны быть сертифицированы

Это если в двух словах

О.

Именно, классическая catch 22

и спасибо за наводку на вечерний фильмец :))

А фраза про которую говорил изначально - из 382-п, а вот он уде обязателен

В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа.

и спасибо за наводку на вечерний фильмец :))

Фильм кстати не смотрел, только книгу читал )

Фильм кстати не смотрел, только книгу читал )

на книгу времени нет, а 70 год в 1080 можно и глянуть :)

В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа.

Тут простое решение. Не применять скзи российского производителя)))

Тут простое решение. Не применять скзи российского производителя)))

@BelousovaAlisa откомменть-ка!)

Тут простое решение. Не применять скзи российского производителя)))

А если у тебя гос. участие и есть нормативка на импортозамещение? :(

Больше проблем при работе с гостайной. Вот тут от ГОСТа не уйти)

Правильное решение)))

Больше проблем при работе с гостайной. Вот тут от ГОСТа не уйти)

полностью отвратительный софт для такого...

полностью отвратительный софт для такого...

безопасность не бывает удобной!

ух, чатик про бумажную безопасность

ух, чатик про бумажную безопасность

зожыгай

безопасность не бывает удобной!

Это плохая позиция.

ух, чатик про бумажную безопасность

Не. Скорее про как выживать в условиях бумажной тирании)

Это плохая позиция.

это моё понимание термина (отсутствие риска/угрозы). А то вона на баннере как все просто, поставил ZoneAlarm на винду и безопасность! Так ли это?

Тут простое решение. Не применять скзи российского производителя)))

Нет такого поняти как СКЗИ не российского производителя, ибо СКЗИ не российского производителя не получит сертификат ФСБ по классу криптосредств поэтому СКЗИ не является по определению.

В том то и суть

Нет такого поняти как СКЗИ не российского производителя, ибо СКЗИ не российского производителя не получит сертификат ФСБ по классу криптосредств поэтому СКЗИ не является по определению.

http://www.cisco.com/c/dam/global/ru_ru/assets/downloads/broch/cisco_russian_crypto_ds_print.pdf

это моё понимание термина (отсутствие риска/угрозы). А то вона на баннере как все просто, поставил ZoneAlarm на винду и безопасность! Так ли это?

Неправильное понимание. Неудобная безопасность ей, в общем случае, не будет. Так ее будут избегать и обходить

Неправильное понимание. Неудобная безопасность ей, в общем случае, не будет. Так ее будут избегать и обходить

избегание, в случае понимания риска, это тоже управление рисками и вполне себе безопасность :)

http://www.cisco.com/c/dam/global/ru_ru/assets/downloads/broch/cisco_russian_crypto_ds_print.pdf

И эта статья только подтверждает мои слова

Ставьте плату крипто про

Нет такого поняти как СКЗИ не российского производителя, ибо СКЗИ не российского производителя не получит сертификат ФСБ по классу криптосредств поэтому СКЗИ не является по определению.

Ты что-то путаешь. А именно нет такого понятия как СКЗИ на буржуйских алгоритмах

Ставьте плату крипто про

Добавляй реализацию ГОСТ и сертифицируй.

Ставьте плату крипто про

Даже буржуйское средство

Ты что-то путаешь. А именно нет такого понятия как СКЗИ на буржуйских алгоритмах

Короче - если говорите СКЗИ - показывайте сертификат ФСБ на криптосредства, или это не СКЗИ

Короче - если говорите СКЗИ - показывайте сертификат ФСБ на криптосредства, или это не СКЗИ

ну да, но продукт может быть зарубежный, однако в чекпоинте тоже криптопрошное говно (

Короче - если говорите СКЗИ - показывайте сертификат ФСБ на криптосредства, или это не СКЗИ

С этим согласен

из-за вашей увлекательной беседы я даже фильм включить не могу

ух, чатик про бумажную безопасность

Я уже давно ушёл от бумажек в практику, но в бумажках разбираюсь

Нет, я канеш вино пью после водки, однако при просмотре HLS видео в хромиуме роутер порой блокирует меня, наконец дошли руки и оказывается, что 05/07/2017 23:38:34 ports scan UDP 192.168.1.8:48386 -> 192.168.0.100:51393 ATTACK (много строк подряд) И это только при просмотре фильмов в браузере. При этом фильмы работают, хотя кэширование там всего на пару минут максимум. И такой сети, которая сканируется, у меня нет. ?

Бгг, больше всего странных запросов dst в странные приватные адреса 192.* на аниме :D