Ульрих

Просто в том же port forward вы указываете внутренний IP, который присвоен виртуальной машине

По крупному:

Приказ ФСТЭК России от 11.02.2013 N 17
"Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

Приказ ФСТЭК России от 18.02.2013 N 21
"Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Постановление Правительства РФ от 06.07.2015 N 676
"О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"

Разработка ПО для госзаказчиков должна производится на основании ТЗ, а приниматься ПО должно на основании ПМИ. Требования, непрописанные в ТЗ являются необоснованными и на них логично "забивать")

По своему опыту ещё требуют поддержку ГОСТовых алгоритмов шифрования взамен забугорных

Вот примерный перечень внутренних документов, который у вас должен быть:
Положение, в котором вы определяете состав информации, которая является конфиденциальной для вашей организации;
Положение о сохранении конфиденциальной информации;
Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
Положение о специальном делопроизводстве и документообороте;
Положение о работе с иностранными клиентами и их представителями;
Обязательство сотрудника о сохранении конфиденциальной информации;
Памятка сотруднику о сохранении коммерческой тайны.

Также я бы на вашем месте прописывала в договоре с контрагентами пункт о сохранении конфиденциальной информации (Например, прописываются санкционные меры при реализации угрозы конфиденциальной информации).
Вообще к построению системы защиты информации от инсайда разумно подходить с точки зрения права, организационных мер и программно-технических решений.

Вот хороший, учебник по ИБ, он хоть и 2004 года, но основные моменты прописаны хорошо lc.kubagro.ru/zi.pdf

P.S. Вы говорите об инсайде, но не задумываетесь о том, что может происходить непреднамеренная утечка информации (хотя, если верить исследованиям, именно на неё приходится основная доля потерь конфиденциальной информации).

1. Запрет на использование на рабочем месте ЛЮБЫХ электронных устройств, принесённых извне (ноут, планшет, мобильник и т.д.).
2. Запрет запись/триггинг входящих/исходящих звонков
3. Мониторинг экранов ПК.
4. Видео-контроль за всем рабочим помещением и за рабочим местом сотрудников
5. Работа с сетью через цифровые сертификаты, весь не сертифицируемый трафик - блокируется, сертифицируемый - мониторится и логируется.
6. Подписывание соглашения о неразглашении информации и мерой ответственности в случае его несоблюдения.
7. Всё, что распечатывается (включая физ.место установки принтера) - должно мониториться и логироваться.

И на заметку: чтобы вынести много - нужно мало: режим ДНК
Достаточно базовых ориентиров, чтобы восстановить всё по-памяти выйдя из офиса.
Говоря про карту: координаты?! а зачем?!))
мне лишь нужно знать название ближайшего населённого пункта, вектор направления (по часам: 12,1,2,...,11 или градус: -180/180) и длину такого вектора.
Если нужен точный контур (или 3D-модель грунта) - пишем в виде списка векторов движения с заданной точностью прям с экрана монитора на бумагу.
Неточный контур - пишем экстремумы по секторам (от центра объекта).

А лучше - подумайте: что в Вашей компании является конкурентным преимуществом?

%ALLUSERSPROFILE% - Open the All User's Profile
%UserProfile% - Opens your User's Profile

Бюджет: 0 рублей

Как защититься от инсайдеров?

Во имя справедливости я бы вынес из этой конторы все до последнего *.doc и предложил бы любому конкуренту, кто готов вложить в защиту от инсайдеров чуть больше чем ноль рублей.

В /etc/ssh/sshd_config поменять:
PasswordAuthentication no
на:
PasswordAuthentication yes

Спасибо всем за советы, они подтолкнули меня к правильному решению.
Собственно решение.
Все решается путем редактированием файла /etc/ssh/sshd_config

1. Разрешим доступ только пользователю user и пусть заходит откуда хочет.
   AllowUsers user
   
2. Создадим директиву разрешающую пользователю user только SFTP и определим ему директорию (у меня это уже было)
   Match User user
   ChrootDirectory /ftp/user/
   ForceCommand internal-sftp
   
3. Создадим директиву разрешающую доступ по SSH пользователю admin только если ip адрес клиента входит в диапазон локальных адресов
   Match Address 192.168.0.0/24
   AllowUsers admin
   

Может кому пригодиться.

7Ач/0.007А = 1000ч ≈ 41день.
Надо ещё учесть ток саморазряда аккумулятора, свинцово-кислотные теряют ~5% заряда за месяц, значит максимум 38 дней, если не будет других потерь.

PrintScreen.