Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline lipkiyvolk  
#1 Оставлено : 29 августа 2019 г. 10:55:30(UTC)
lipkiyvolk

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.08.2019(UTC)
Сообщений: 1
Российская Федерация
Откуда: Москва

Добрый день!

Есть непонимание,
- какой продукт из КриптоПро использовать для шифрования персональных данных, передаваемых через открытые каналы данных
- как тот или иной продукт использовать для шифрования канала/данных

Схему работы постарался отобразить на прикрепленной схеме.
Shifrovanie.png (96kb) загружен 19 раз(а).

В моем понимании, возможны 2 варианта:
1) ставить железку, шифрующую сам канал у каждой компании
2) ставить софт аля КриптоПроCSP у каждой компании, который будет шифровать передаваемые данные с внешнего сайта до БД

Пожалуйста, дайте свои комментарии.

Возможно, это многим поможет, так как вопрос довольно актуальный.

Спасибо!
Offline Mayshev Vadim  
#2 Оставлено : 29 августа 2019 г. 12:05:18(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 142
Мужчина
Российская Федерация

Сказал «Спасибо»: 18 раз
Поблагодарили: 22 раз в 17 постах
Самое простое и самое безопасное — подписать+зашифровать данные в адрес Получателя в виде файла с помощью СКЗИ КриптоПро CSP+КриптоАРМ+Квалисерт. Передать этот файл Получателю любым незащищенным каналом связи http/ftp/smtp/и т.п. Получатель расшифрует+проверит подпись Отправителя.
Все остальное зависит от модели угроз, требуемого «удобства» работы с информацией и «компромисса» между ними. Для защиты канала связи (!не данных!) можно применять https/tls-ГОСТ (криптозащита будет от tls-ГОСТ-клиента/браузера только до www-сервера/tls-шлюза), а можно полноценный (любые сетевые протоколы внутри) vpn-ГОСТ (если vpn-шлюзы, то криптозащита будет аналогична tls-шлюзам, с vpn-клиентом защита будет до АРМ пользователя). В любом случае безопасность криптозащищенных данных будет больше зависеть от расположения и защищенности стоящих за криптошлюзами ИС/www-сервер/СУБД (кто и где их администрирует и имеет доступ к данным, в т.ч. в канале связи, в незашифрованном виде – только сотрудники организации или еще сотрудники ЦОД/облака) и защищенности АРМ пользователя (а вдруг там вообще мобильное устройство).
Если это персональные данные, то по закону их нужно защищать только сертифицированными средствами и без защиты в локальную сеть, не то, что в Интернет, выставлять нельзя.
Offline nikolkas_spb  
#3 Оставлено : 29 августа 2019 г. 14:21:08(UTC)
nikolkas_spb

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
Автор: lipkiyvolk Перейти к цитате
Схему работы постарался отобразить на прикрепленной схеме.


крайне странная схема.
защищать данные надо на всех этапах передачи данных. т.е. они д.б. защищены на АРМе сотрудника компании 1, сайте компании 2, в момент передачи в БД, в самой БД и на сайте компании 1.
проще передавать данные по любым каналам в зашифрованном виде из компании 1 сразу в БД, где расшифровывать и вгружать, минуя такую опасную вещь как внешний сайт, который вы замучаетесь защищать. обратно, встает вопрос разграничения доступа и межсетевых экранов.
можно использовать ПО КриптоАРМ для шифровки в компании 1 и расшифровки сотрудником компании 2. наиболее простой и дешевый вариант.
Цена свободы - вечная бдительность!
Offline two_oceans  
#4 Оставлено : 29 августа 2019 г. 14:45:33(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Соглашусь с ответами выше, защита должна быть комплексной. В этом плане сайт - уязвимая точка, так как его еще надо защищать от DDOS атак (в интернете много ботов которые сканируют страницы сайтов на наличие форм и забивают формы например рекламой). Поэтому придется еще ввести белый список адресов, с которых разрешен доступ к форме. Если операция не разовая, а массовая и с разными "компаниями 1", возможно стоит заморочиться SOAP сервисом с шифрованием, как, например, при передаче данных электронных больничных в ФСС. Относительно схемы выше, ФСС аналог компании 2. А больница или страхователь - аналог компании 1. В этом случае, компания 2 может разработать не только сервис, но и типовой АРМ для связи с сервисом, то есть сделать форму не на сайте, а в программе-клиенте на рабочем месте сотрудника компании 1 (в этом случае программа-клиент выполнит те же функции подписи/шифрования что и КриптоАрм плюс оформит данные формы в запрос к сервису). Если операция массовая, но с ограниченным количеством "компаний 1" можно подумать в сторону железного шифрования VPN, однако только для передачи данных это будет немного черезмерно (в том смысле что VPN создает отдельный айпи-адрес с полным набором портов, мне кажется нерациональным использовать только 1 порт и перекрывать все остальные).

Отредактировано пользователем 29 августа 2019 г. 14:50:58(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.