Нужна помощь! Передача ПДн по открытым каналам связи - Форум по вопросам информационной безопасности

Есть такая задача:
У организации есть веб-сервер. Нужно с использованием сертифицированных ФСБ средств шифровать персональные данные, передаваемые между клиентом и сервером. Ну и конечно же, требуется обеспечить, что бы клиенту при этом ничего покупать было не нужно.
Как я понимаю, для этого необходимо или шифровать канал, или сам "отчет".
Можно ли реализовать какой-нибудь из способов программными средствами VipNet (VipNet CSP, VipNet CryptoFile)?

Можно, так и делают.
Но правильнее сначала составить модель нарушителя, чтобы определить подойдет ли вам СКЗИ данного класса. Потом определить уровень защищенности. Потом выполнить Приказ ФСБ 378.
И уже тогда передавать ПДн :)

Получается, что на VipNet CryptoFile сертификат ФСБ не нужен? Ведь условием его работы наличие установленного VipNet CSP (или иного), на который он имеется.

Нужно читать сертификат и формуляр на VipNet CSP.
Если там прописаны условия применения CryptoFile - то не нужен. Если нет, то его нельзя считать сертифицированным СКЗИ.

Любопытно, как связаны "ViPNet Client (CSP)" и "что бы клиенту при этом ничего покупать было не нужно"? :)

Речь идет не об использовании VipNet Client, а отдельного продукта VipNet CSP(криптопровайдер), на сайте ИнфоТеКС его можно скачать в разделе бесплатные продукты.
Но в процессе освоения механизма обмена информации через защищенное соединение TLS/SSL, возник вопрос - Можно ли в таком случае использовать свой (корпоративный, неаккредитованный), но сертифицировнный Удостоверяющий центр, входящий в состав продукта VipNet Administrator, для получения сертификата для сервера, для веб-клиента; сертификаты издателя и список аннулированных сертификатов?

Если квалифицированная ЭП, то нужен аккредитованный УЦ. Если не квалифицированная или совсем без ЭП - можно и своими силами.
А вообще, судя по описанию ViPNet CSP, всякого рода связки IIS + IE или Outlook + Office - от лукавого. А под другой софт уже понадобится проводить оценку влияния (корректность встраивания) CSP, что само по себе геморрой еще тот...
Просьба к тем, кто использует данное CSP поправить меня, если ошибаюсь.

Так в этом то и суть. Не могу разобраться в законах и найти точный ответ, нужна в этом случае квалифицированная или можно обойтись неквалифицированной (с написанием нормативных правовых актов и соглашений между участниками электронного взаимодействия).
И да, клиент в данном случае будет пользоваться связкой (бесплатной) VipNet CSP + IE

А вам ЭП вообще зачем? Вам шифрование трафика необходимо обеспечить, а квалифицированная ЭП - это уже для юр.значимого электронного документооборота. Так что не используйте ЭП (или не используйте квалифицированную) и не будет проблем.
Другой вопрос, что я, лично, принципиально не верю в безпроблемную и бесплатную интеграцию сертифицированного СКЗИ в существующие системы. И, кстати, (меня сейчас опять могут другие участники форума упрекнуть в излишнем беспокойстве на пустом месте) при использовании IE (тем более в связке с Win7 и WinXP) я бы в обязательном порядке рассматривал актуальность угроз НДВ 2 типа при классификации ИСПДн. Что автоматически тянет за собой КВ-класс СКЗИ и, следовательно, невозможность использования ViPNet CSP (ибо там максимум КС3).

Oko
В модели угроз от ФСБ нет ндв, посыл там такой, кому нужны ваши несчастные ПДн, зашифровались хоть чем то с сертификатом и ладно )