Имеется клиент-серверное приложение сертифицированное для использования в ГИС 1-го класса. Взаимодействие между клиентом и сервером осуществляется по протоколу HTTPS, при этом канал связи проходит за пределами контролируемой зоны. Аутентификация клиента на сервере осуществляется по логину и паролю (по каналу связи передается хэш пароля). Канал связи служит для передачи управляющих сигналов (команд) и аутентификационной информации. Для защиты канала связи используется сертифицированное СКЗИ.
1) В каких случаях, управляющие сигналы (команды) являются конфиденциальной информацией требующей защиты в соответствии с законодательством РФ?
2) Обязательно ли в данном случае применение сертифицированного СКЗИ для защиты канала связи?
to Pavel
1. Зависит от того, что написано в перечне сведений, составляющих коммерческую/служебную/иную тайну (за исключением гос.тайны) или конф.инф....
2. Зависит от того, что написано в сертификате и ТУ/ЗБ на это странное приложение, в выводах результирующей Модели угроз, а также в акте классификации целевой инф.системы...
ЗЫ хэш пароля, при его передаче по каналу связи, аналогичен паролю в чистом виде. Потому что перехват хэша также позволяет аутентифицироваться на удаленном сервере (сличать-то будут хэш-хэш). Вот использовать алгоритмы с "третьей стороной" или каскад криптографических преобразований по схеме "запрос-ответ" - это другое дело. И хранить эту информацию на сервере в хэш-виде, чтобы никто не уволок, ага...
