Автор: Pavlik | 65689 | 19.09.2016 10:25 |
Есть такая задача:
У организации есть веб-сервер. Нужно с использованием сертифицированных ФСБ средств шифровать персональные данные, передаваемые между клиентом и сервером. Ну и конечно же, требуется обеспечить, что бы клиенту при этом ничего покупать было не нужно. Как я понимаю, для этого необходимо или шифровать канал, или сам "отчет". Можно ли реализовать какой-нибудь из способов программными средствами VipNet (VipNet CSP, VipNet CryptoFile)? |
Автор: WORM, MK | 65692 | 19.09.2016 10:32 |
Можно, так и делают.
Но правильнее сначала составить модель нарушителя, чтобы определить подойдет ли вам СКЗИ данного класса. Потом определить уровень защищенности. Потом выполнить Приказ ФСБ 378. И уже тогда передавать ПДн :) |
Автор: Pavlik | 65699 | 19.09.2016 12:01 |
Получается, что на VipNet CryptoFile сертификат ФСБ не нужен? Ведь условием его работы наличие установленного VipNet CSP (или иного), на который он имеется.
|
Автор: WORM, MK | 65700 | 19.09.2016 12:06 |
Нужно читать сертификат и формуляр на VipNet CSP.
Если там прописаны условия применения CryptoFile - то не нужен. Если нет, то его нельзя считать сертифицированным СКЗИ. |
Автор: oko | 65707 | 19.09.2016 13:58 |
Любопытно, как связаны "ViPNet Client (CSP)" и "что бы клиенту при этом ничего покупать было не нужно"? :)
|
Автор: Pavlik | 65804 | 23.09.2016 08:42 |
Речь идет не об использовании VipNet Client, а отдельного продукта VipNet CSP(криптопровайдер), на сайте ИнфоТеКС его можно скачать в разделе бесплатные продукты.
Но в процессе освоения механизма обмена информации через защищенное соединение TLS/SSL, возник вопрос - Можно ли в таком случае использовать свой (корпоративный, неаккредитованный), но сертифицировнный Удостоверяющий центр, входящий в состав продукта VipNet Administrator, для получения сертификата для сервера, для веб-клиента; сертификаты издателя и список аннулированных сертификатов? |
Автор: oko | 65850 | 23.09.2016 11:39 |
Если квалифицированная ЭП, то нужен аккредитованный УЦ. Если не квалифицированная или совсем без ЭП - можно и своими силами.
А вообще, судя по описанию ViPNet CSP, всякого рода связки IIS + IE или Outlook + Office - от лукавого. А под другой софт уже понадобится проводить оценку влияния (корректность встраивания) CSP, что само по себе геморрой еще тот... Просьба к тем, кто использует данное CSP поправить меня, если ошибаюсь. |
Автор: Pavlik | 65852 | 23.09.2016 15:38 |
Так в этом то и суть. Не могу разобраться в законах и найти точный ответ, нужна в этом случае квалифицированная или можно обойтись неквалифицированной (с написанием нормативных правовых актов и соглашений между участниками электронного взаимодействия).
И да, клиент в данном случае будет пользоваться связкой (бесплатной) VipNet CSP + IE |
Автор: oko | 65854 | 24.09.2016 01:23 |
А вам ЭП вообще зачем? Вам шифрование трафика необходимо обеспечить, а квалифицированная ЭП - это уже для юр.значимого электронного документооборота. Так что не используйте ЭП (или не используйте квалифицированную) и не будет проблем.
Другой вопрос, что я, лично, принципиально не верю в безпроблемную и бесплатную интеграцию сертифицированного СКЗИ в существующие системы. И, кстати, (меня сейчас опять могут другие участники форума упрекнуть в излишнем беспокойстве на пустом месте) при использовании IE (тем более в связке с Win7 и WinXP) я бы в обязательном порядке рассматривал актуальность угроз НДВ 2 типа при классификации ИСПДн. Что автоматически тянет за собой КВ-класс СКЗИ и, следовательно, невозможность использования ViPNet CSP (ибо там максимум КС3). |
Автор: Dfg | 65872 | 27.09.2016 03:24 |
Oko
В модели угроз от ФСБ нет ндв, посыл там такой, кому нужны ваши несчастные ПДн, зашифровались хоть чем то с сертификатом и ладно ) |
Просмотров темы: 5696