Вобще то - визначення достатності технічних заходів захисту це не зовсім компетенція Роскомнадзора.
Треба було подати заяву держпослуг на відкликання згоди на передачу по відкритих каналах зв'язку.
Почекати визначений термін, перевірити що особистий портал все ще доступний через інтернет
і після цього подати скаргу в Роскомнадзор.
У РКН я писав швидше з питанням чи правомірно з мене брати згоду на передачу моїх ПДН по відкритих каналах зв'язку.
"Відкликання згоди" серед держпослуг на сайті не значитися :). Та й подобається мені цей сайт. Час економить і в чергах можна не стояти.
Начебто наявність будь-якого згоди не звільняє від виконання вимог закону "про захист прав суб'єкта" в т.ч. заходів щодо захисту даних. Вони ж не визнають дані загальнодоступними, що могло б відвести під 4-й клас.
Сергій
TLS для клієнтів безкоштовний, що у випадку з КріптоПро, що Vipnet. Так що для організації шифрованого каналу TLS досить поставити повнофункціональний CSP на сервері і все, клієнти ні за що не платять.
А на ЕПГУ і дивитися нема чого. РТК і маленька комерційна контора непорівнянні за можливостями. У тому числі і в правовій сфері.
Якщо все так просто і безкоштовно, то залишається тільки дивуватися тому, що цим ніхто не користується (є приклади великих сайтів з ГОСТ SSL?).
Відповідь у другому абзаці - їм це не потрібно, оскільки на них не капає)
А якщо серйозно - є, я їх бачив. Але посилання буде давати некоректно =)
Ймовірно тому, що це вимагає все ж допрацьовувати сайт і мати ліцензію ФСБ на вбудовування, яку донедавна можна було отримати тільки в 8-м центрі, а потім ще й проводити процедуру коректності вбудовування в тому ж 8-м центрі. А що буде з цією коректністю вбудовування після змін на сайті - не ясно.
Роботи багато, а стимулів не надто - регулятори нечасто можуть розгледіти в таких випадках порушення, на зразок взагалі нікого ще за передачу без шифрування не покарали.
Сергій
Михайло, боюся запитати. А що, в разі використання безкоштовного (для клієнта) клієнта TLS на базі ГОСТу (Кріпто-ПРО, там або VIPNet) на клієнті вже нічого встановлювати не треба. Ну не платить клієнт грошей, але, все одно, він може працювати з сайтом тільки зі специфічного АРМа, обладнаного клієнтської криптографічного бібліотекою, що само по собі дуже часто не може бути реалізовано в принципі. Ну, хоча б в тих же самих інформаційних кіосках або на мобільних пристроях.
В умовах, коли Інтернет повний базами ПДН з різних держустанов і про їх походження ніхто поки компетентно громадськості не спромігся розповісти і ніхто не турбується про порушення такого масшатаба, то розглянуте питання - дрібниця.
А відповідь, даний Роскомнадзором, навіть в його частині, некомпетентний і покликаний формально замилити питання. Про згоду нічого не відповім.
При цьому РКН, будучи експлуататором даної системи, напевно володіє фахівцями, на яких в т.ч. виданий Атестат на К1. Тому це якраз в його компетенції - давати компетентні відповіді по конкретно цій системі. Чого не видно.
Один навіть факт того, що Атестат ВЖЕ є, а сертифікація ЩЕ виконується варто похвал! Це є прямим порушенням порядку, зазначеного в положенні по атестації.
З повагою.
Напевно, вкрай незручно наступати на граблі, які самі регулятори і пораскідалі.
В одній півкулі мозку держави Айпад, держпослуги і СМЕВ, в іншому - ПЕМВН, ГОСТ і сертифікація. Залишилося подружити їх між собою :)
п.1 Додатка до 58 наказом - Методи і способи захисту інформації від несанкціонованого доступу для забезпечення безпеки персональних даних в інформаційних системах 4 класу і доцільність їх застосування визначаються оператором (уповноваженою особою).
За МВ щодо даних систем ви цілком обгрунтовано для знеособлених і загальнодоступних даних можете визнати загрози конфіденційності та цілісності переданих даних по мережі Інтернет неактуальними, а значить відмовитися від використання ЗКЗІ
К4 захищається відповідно до "побажаннями" Оператора
Добридень!
Підкажіть, наш сайт функціонує як освітній портал. Відвідувачем вводиться тільки ПІБ, а місто, школа, клас, успішність беруться з БД школи. Все це відображається в профілі користувача (типу соц.сети).
Ми хочемо купити Кріпто-про і сертифікат SSL від Кріпто-про для того, щоб передача ПДН від веб-сервера до браузера користувача і назад відповідала законодавству.
1. Чи правильно ми робимо? Чи варто?
2. Ми одні такі?)
З повагою, Анастасія.
Доповню - передбачається, що користувач повинен буде завантажити безкоштовний Кріпто-про клієнт перед використанням порталу.
Замініть ПІБ учня на номер шкільного квитка (або інший Унійних ідентифікатор) - зможете?
якщо так - то зі ЗКЗІ і ГОСТом Вам можна буде взагалі не зв'язуватися.
На жаль немає. ПІБ будуть присутні.
Анастасія, ось як раз варіант зі скачуванням клієнта викликає питання, тому що це недовірених метод отримання сертифікованого дистриб. Почитайте гілку форуму КріптоПро
Треба б не забути і сертифікат видавця, щоб побудувати ланцюжок сертифікації до сертифіката сайту, теж отримувати довіреною чином, він же не входить в root list за замовчуванням.
Добридень!
Є питання з приводу безкоштовної ліцензії КріпроПро на клієнтському місці. Наскільки я зрозумів з документації і спілкування з з ТП - це підійде тільки для односторонньої аутентифікації, як тільки мова заходить про повну - зі зверненням до особистого сертифікату (і контейнеру) клієнта - облом, потрібна версія за 1800, безкоштовна працювати не буде.
Чи потрібна повна аутентифікація для організації доступу до ПД через Internet - ось в чому питання. Однозначної відповіді я в законах не знайшов, але виходячи з існуючої практики (доступ до інфе в бюро кредитних історій, наприклад) - так, потрібна саме повна, з особистим сертифікатом клієнта і контейнером на токені. Хто що може сказати з цього приводу?
Та й якщо виходити з логіки роботи:
1) Є якийсь ІнфоРесурс на сервері, що містить ПД. 2) Є користувачі, які мають право на доступ до цього ресурсу.
Логічною буде в першу чергу аутентифікація користувачів (вони допустимо тільки проглядають ПД), а вже в другу чергу - сервера (підміна сервера в цьому сценарії великого сенсу не має, крім крадіжки паролів).
Шифрування згідно ГОСТ - тут все зрозуміло, і безкоштовна версія буде шифрувати.
п.2.7 і п.2.8 58 наказу цілком однозначно говорять про двосторонню аутентифікації.
Правда той же наказ дозволяє перевіряти справжність тільки за логіном і паролем ..
використання стійкою взаємної аутентифікації на сертифікатах цілком лягає в схему захисту ПДН, пропоновану регуляторами, але безпосередньо з неї, имхо, не виводиться.
вирішувати потрібно в кожному конкретному випадку виходячи з ефективності / вартості, а не наявності палиць з боку регуляторів.
Однак. А чи існує правове (близько правове :)) обгрунтування такої організації робіт з боку РКН? В тому сенсі, що їх приватний відповідь може відноситься тільки до конкретної ситуації з певною особою (фізичною або юридичною)? Наприклад, Іван Іванов запросив РКН про правомірність і достатності захисту його ПДН, при зверненні до сайту хххх.ru через акцептування згоди в веб-формі. РКН - відповів, що все ОК. Однак оператор ПДН, якому стала доступна така інформація, не може обгрунтовувати свій підхід до захисту ПДН даними відповіддю. Так виходить?
Питання, а якщо розмістити дистрибутив безкоштовний Кріпто-про клієнт у себе на ресурсі, і при необхідності входу в захищену область сайту давати лінк на скачку, по https, це буде достовірний спосіб отримання дистрибутива?
Ні. Сертифіковане засіб шифрування повинно мати паспорт-формуляр і дистрибутив з голографічним знаком.