Почему все порталы с персональными данными вне закона с 2008 года и как получилось, что всем плевать, в том числе ФСБ

    Доброго времени суток, Хабр! Сегодня мы поговорим о том, к чему приводят невыполнимые требования законодательства. Понятно, что глобально это приводит к невыполнению этих самых требований, но здесь мы рассмотрим конкретный пример.

    Речь пойдет о требовании ФСБ России шифровать любые персональные данные, передающиеся по сетям связи общего пользования (в народе – просто Интернет), только сертифицированными криптографическими средствами.

    Вы все врете, нет такого требования!

    Да, мы постоянно слышим возражения вроде «вообще-то в законе написано не шифровать, а защищать персональные данные при их передаче, а это разные вещи» и «да нет там требования использовать только сертифицированную криптографию, обычный SSL подойдет».

    Ну, хорошо, давайте внимательно изучим законодательство и разберемся.

    Самым высокоуровневым документом у нас здесь является Федеральный закон № 152-ФЗ «О персональных данных», статья 19 которого говорит:

    2. Обеспечение безопасности персональных данных достигается, в частности:

    2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

    4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

    Пока вроде ничего страшного. Нам говорят, что защита персональных данных достигается применением, в том числе, технических мер и, что перечень этих мер должны определить сначала на высоком уровне абстракции Правительство РФ (их постановление №1119 нам не особо интересно в рассмотрении данного вопроса) и затем уже более подробно – ФСБ России и ФСТЭК России.

    Во исполнение постановления Правительства РФ №1119 ФСБ издает приказ №378 от 10 июля 2014 года. Документ структурирован ужасно, поэтому чтобы разобраться что происходит, приходится прыгать между пунктами. Ниже для удобства приводим только интересующие нас пункты:

    5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 <1> (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

    г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

    Здесь пока тоже прямо нам не говорят, что нужно применять только сертифицированные средства защиты информации, мы же знаем, что «оценка соответствия» не равно «сертификация».

    9. Для выполнения требования, указанного в подпункте "г"  пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:

    в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.

    Здесь с нас тоже вроде как не требуют прямым текстом использовать только сертифицированные средства криптографической защиты информации (они же – СКЗИ), но проблема в том, что получить этот самый «класс КС1 и выше» можно только пройдя процесс сертификации СКЗИ в ФСБ России.

    Внимательный читатель скажет: «Но посмотри, там, в подпункте "г" пункта 5 написано "...в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз", может это все не имеет отношения к передаче персональных данных через Интернет?».

    К сожалению – имеет. В 2015 году ФСБ выпускает документ «Методические рекомендации по разработке нормативных актов, определяющих угрозы безопасности персональных данных, актуальны при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности». Сразу же после выхода этого документа, мы его, конечно же, внимательно изучили, приняли к сведению и положили на полочку, ведь это не обязательно, а всего лишь «методические рекомендации». Но как в итоге оказалось – нет ничего более обязательного, чем что-то рекомендуемое ФСБ России. В основном документ посвящен тому, как составлять отдельные разделы документа «Модель угроз», посвященные СКЗИ, но там есть и следующие положения:

    Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:

    - если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;

    - если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.

     К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:

    - передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);

    - хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.

    Итак, что по итогу всей рассмотренной выше нормативной базы имеем: перехват персональных данных, передаваемых по сети Интернет, является угрозой безопасности, которая может быть нейтрализована только с помощью сертифицированных ФСБ России СКЗИ класса КС1 и выше.

    Обратите внимание, что защищать при передаче по каналам связи нужно любые персональные данные. То есть любые порталы с личными кабинетами, где есть какие-либо персональные данные, попадают под эти требования. И неважно, что вы там при должном разграничении доступа и отсутствии различных уязвимостей можете увидеть только свои персональные данные. Ведь для того, чтобы они отобразились на вашем клиентском устройстве, сервер должен их отправить вам по сети, а значит, по действующему законодательству эти пакеты должны быть зашифрованы сертифицированной ФСБ криптографией. Таким образом, и самое большое публичное хранилище персональных данных граждан РФ – портал Госуслуг, и, например сайт любого университета с личным кабинетом попадают под эти требования.

    И да, почему же все-таки с 2008 года такие требования, а не с 2014-го? А потому что в старых приказах ФСБ было написано все еще проще и лаконичнее:

    7) Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства.

    А так как в соответствии со 152-ФЗ под обработкой персональных данных понимается и их передача по сетям связи, то имеем ту же самую ситуацию.

    Выполнение требования. Реалии

    Ладно, с нормативной базой разобрались, давайте посмотрим, что там на практике. А на практике получилось так:

    операторы персональных данных проигнорировали это требование =>

    так как нет спроса, разработчики средств защиты долгое время не представляли никаких решений =>

    регулятор все понимает и закрывает на это все глаза при проверках =>

    поскольку регулятор не «напрягает» операторы персональных данных игнорируют это требование – круг замкнулся.

    Все же следует уточнить категоричный тон заголовка – хорошо, может на начало 2021 года и не все порталы с персональными данными не выполняют требование сертифицировано шифровать персональные данные, а процентов 99.

    С 2017 года в одном из указанных выше звеньев произошел перелом – отечественные производители средств защиты информации начали выпускать сертифицированные TLS-решения, как раз для решения этой проблемы. Но и тут не обошлось без нюансов. Решения оказались совсем не дружелюбными при их внедрении и использовании. Особенно при использовании на клиентской части.

    Самый жесткий вариант состоял в том, что за клиентское решение нужно было платить. Самый безобидный – необходимость использования специализированных браузеров, например, Chromium-gost. Масса таких эксплуатационных проблем возникала при использовании десктопов, а что уж говорить о мобильных устройствах.

    В итоге, имеющиеся сейчас решения подходят только для кейсов, когда веб-портал используется для ограниченного круга лиц, например, внутренний портал администрации областного центра с какими-нибудь справочниками о сотрудниках этой самой администрации. В таком случае, дополнительные затраты на клиентское ПО или использование специализированного браузера можно организовать в принудительном порядке. Но такой подход совершенно не годится, например, для коммерческих целей. Представьте, что у вас есть интернет-магазин и вы сообщаете своему клиенту: «Чтобы сделать у нас заказ, вам нужно скачать специальный браузер, потом...». Уже на этом этапе клиент наверняка пойдет куда-нибудь еще.

    Проверив множество государственных веб-порталов мы выяснили, что лишь небольшая часть реализует криптографию в специализированных браузерах по алгоритму ГОСТ. Вот так, например, в таком браузере выглядит сертификат портала torgi.gov.ru:

    Правда, в Firefox уже вот такая картина:

    Старый добрый RSA, точно не сертифицированный, ведь ФСБ сертифицирует только ГОСТ-криптографию. Да и в целом возникает вопрос, какой в смысл в том, что ГОСТ-шифрование работает, но из специальных браузеров, а из обычных потребительских сайт тоже работает, но на RSA. Получается, что требование как бы выполняется, но для мизерного числа пользователей.

    Ну, хоть и на том спасибо, а вот Госуслуги решили не париться:

    Заключение

    Сейчас никто не удивляется, когда законодательство содержит в себе неконкретные формулировки, допускающие различные, несовместимые друг с другом трактовки. В этой статье мы показали, что есть и другая проблема – когда требование четкое и понятное, но по факту невыполнимое.

    Почти 10 лет рассматриваемое требование было невыполнимо для веб-сайтов с неограниченной аудиторией из-за банального отсутствия каких-либо подходящих технических решений. Когда же эти технические решения появились на стороне порталов, появились проблемы со стороны пользователей, которые хотят, чтобы им было быстро и удобно, а не устанавливать на свой компьютер какие-то дополнительные браузеры, плагины и тем более платное клиентское ПО.

    Сделать что-то с этой ситуацией может только ФСБ России, изменив свои требования. Путей тут может быть много. Можно конкретизировать требования для разных весовых категорий операторов персональных данных, для госструктур – одни, для крупных частных организаций – другие, для мелких частных организаций – третьи. Можно отложить введение требований до тех пор, пока ГОСТ-шифрование не начнет работать во всех браузерах из коробки. Можно много чего придумать, чтобы требования были своевременны, адекватны и выполнимы, но скорее всего всё останется как есть.

    Comments 92

      +25
      Вы же понимаете, что все эти требования о ГОСТовской криптографии — не чтобы защитить, а чтобы нагнуть, когда понадобится? Так что всё правильно, в полном соответствии с принципом «был бы человек, а статья найдётся».
        +4
        Все вы усложняете. Никому эти ваши алгоритмы не нужны если нет оснований недоверять. Нагнуть можно прямо сейчас. Это нужно чтобы не упустить недополученную прибыль.
          –26

          Требования вполне разумные. И даже в тех местах, где их сейчас реально технически сложно исполнить — полезные. Но исполнение (в комплексе) никуда не годится. Никто не хочет вкладываться в это в ущерб своим финансам, при том что конкуренты не вкладываются. В том числе и гос конторы. А если бы всё сделали строго "с такого-то дня проверяем и закрываем тех кто не успел, на отговорки и на степень аффилированности к государству плевать" — ну да, был бы некоторый кризис, но в итоге получили бы обратную связь ко всем регламентам, довели бы до хорошего вида и таки сделали бы все нужные инструменты (по-хорошему — опенсорсные и бесплатные).

            +22
            Вы можете аргументировать разумность, а тем более полезность таких требований?
            Больше всего в это не захотят вкладываться конечные пользователи, на кой чёрт им ставить «православные» браузеры и криптопровайдеры, жертвуя при этом своим комфортом за свои же деньги.
              +3
              своим комфортом за свои же деньги.

              В России деньги нужно нести не туда куда хочешь, а туда, куда надо
                –12
                Вы можете аргументировать разумность, а тем более полезность таких требований?

                Я попробую. Государство имеет обязанность защищать своих граждан от различных угроз, в т.ч. от кражи и неправомерного использования их ПДн. Отсюда следует необходимость проверки и сертификации средств защиты.

                  +11
                  А чем RSA плох? Защита — есть, но не православная, а та, которой пользуется весь остальной мир.
                    +1

                    Совершенно верно. RSA хорош, но не православен. Чтобы он стал православным, его должен одобрить орган, которому государство доверяет.


                    Вас не удивляет, что "весь остальной мир" действует точно так же?

                      0

                      RSA обеспечивает защиту. Сертифицированные средства — нет, поскольку нет экономической целесообразности и возможности их внедрять.


                      А там где внедрено — пользователь проходит все круги ада, чтобы получить доступ.


                      Не проще сертифицировать RSA?

                    +11
                    Государство имеет обязанность защищать своих граждан от кражи и неправомерного использования их ПДн

                    С чего Вы это взяли? Кому и что компенсирует государство, если не справляется с этой обязанностью?
                      +9
                      Неожиданная версия… Можно ли пруф того где это написано? Вспомните, пожалуйста, какие обстоятельства вынудили наше правительство создать нормативную базу для ПДн. До того государство и не догадывалось о своем таком обязательстве. Да и сейчас оно не на стороне субъектов ПДн, дать согласие ты можешь и просто нажав кнопку «Далее» на сайте, а вот запрет на обработку ты должен прислать письменно, дабы мазня в законах не мешала зарабатывать.
                        0
                        Можно ли пруф того где это написано?

                        Например, в ст. 24 Конституции.


                        1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

                        Но вообще зашита граждан от любых угроз входит в обязанности любого государства, это часть общественного договора.


                        Реализация всего этого в РФ это конечно "совсем другая история".

                          0
                          Частная жизнь и ПДн вещи разные. С кем спишь и номер паспорта из разных опер.
                            0
                            Например, в ст. 24 Конституции.

                            Я спросил где взяли «обязанность защищать своих граждан от кражи и неправомерного использования их ПДн», а не про информацию о частной жизни. Если что, сбор, хранение, использование и распространение информации о ПД лица без его желания массово осуществляются самим государством сплошь и рядом — например, в ЕГРН.
                        –1

                        Хотел длинно написать но думаю это лишнее.
                        1) полезность: выработка общей дисциплины касательно ответственного отношения к чужим данным; да, я понимаю что эти (из статьи) требования сами по себе ничего не дадут, данные всё так же будут терять/взламывать/красть/продавать, и я понимаю что государство не показывает инициатив к пресечению всего указанного (никого не посадили ни за какие утечки), но если вдруг они смогут начать хотя бы с этой стороны — всё равно хорошо, может потом, на фоне уже выработанной дисциплины, и остальное подтянут
                        2) "вкладываться" по моим оценкам, на конкретно эти требования надо что-то не больше 1 рубля разово с гражданина — это если правильно всё организовать и не распиливать финансирование — там всего то надо организовать включение уже много раз реализованных алгоритмов в основную ветку опенсорсных проектов (сейчас все браузеры опенсорс, топ популярные веб-сервера опенсорс, криптобиблиотеки большинство тоже опенсорс); думаю если всё аккуратно оформить, прислать куда надо патчи/пуллреквесты, документировать итд — причин не принимать данную поддержку у них не будет, и это не такие уж затраты

                          +1

                          В ua пробовали и были посланы.
                          Никому оно не надо, что бы реализации алгоритмов стали open source.
                          Продавать заинтересованым депутатам станет нечего

                            +1

                            Они (алгоритмы гос шифрования) и так давно open source (и вобщем-то по самым пессимистическим оценкам на качественную и быструю реализацию именно алгоритма у компетентного программиста уйдёт никак не больше месяца, а скорее всего и меньше недели — считайте бюджет).


                            Осталось только интегрировать их в официальные версии open source клиентского и серверного софта. Это задача чуть посложнее (и не только программистам но и бюрократам), но тоже, в масштабах государства, копеечная. Проблема исключительно в том что сейчас эту задачу рассматривают не как что-то нужное стране, а как способ получить финансирование всяким мутным конторам.

                        +1
                        Ок. У меня интернет-магазин где пользователь оставляет телефон и ФИО. Значится что бы вы зашли и купили вам надо установить браузер. Вам это не уперлось? Хмм… То есть я вас теряю как клиента потому что выполняю закон… Дела…
                        +1
                        Мне кажется дело тут не в злом умысле, а в обычной безалаберности. Те самые отмененные документы 2008 года были один в один копипастой с документов с грифом «С», только автозаменой прошлись и заменили например «режимно-секретное помещение» на просто «режимное помещение». Думаю и в приказе 2014 года просто нафигачили что попало, лишь бы от них отстало правительство. Но конечно, раз документ утвержден, то может быть применен в любой момент и это печально.
                        +21
                        Путей тут может быть много.

                        Путь тут как раз один. Старая индейская поговорка: «Лошадь сдохла — слезь». Лошадь сдохла. Бесполезно обсуждать, что там у нее копыто дергается или газы выходят…
                          +2
                          У индейцев не было лошадей до открытия европейцами Америки.
                            +1
                            ну значит она не на столько старая))
                          +1

                          Это как размер железнодорожной колеи, форма сетевой вилки, ....

                            +5
                            «Строгость российских законов смягчается необязательностью их исполнения»(с)Салтыков-Щедрин
                              +1
                              А необязательность исполнения произрастает из другого тезиса: «Был бы человек — статья найдется» И.В.Сталин (по легенде).
                              +1
                              Законы пишут юристы-литераторы. Даже скорее литераторы-юристы.
                                +7
                                Очень сомнительно, что такие нечитабельные словесные конструкции мог родить человек, хотя бы отдаленно имеющий хоть какое-то отношение к литературе.
                                  +1

                                  Это руский-чиновничий канцелярит. Самое страшное не летальное оружие на планете.
                                  Стоит прочитать 5-10 страниц на канцелярите, как мозг сразу выключается и рука с мышкой судорожно ищет картинки с котиками.

                                    0

                                    Говорят, на западе ещё хуже. Не зря там нормальный человек без адвоката даже и не пробует в это болото лезть.

                                      0

                                      Ну не совсем там хуже. Там же другая крайность. Из-за сильной витиеватости повествования связанного с желанием как можно более нейтрально описать, что нельзя самому себе пихать черенок лопаты больше чем на 25 см. Это образно конечно но в большинстве случаев не ясно что конкретно можно, а если можно то какие есть границы свобод.

                                  +2
                                  Сначала вместо «юристы» прочитал как «юмористы» и почему-то даже не удивился.
                                  +5
                                  нет ничего более обязательного, чем что-то рекомендуемое ФСБ России

                                  Чекизм как он есть. Прям, можно сказать, словарное определение.

                                    +3
                                    ИМХО корень проблемы в том, что эти самые персональные данные требуют у нас и переписывают все кому не лень, по поводу и без. Паспортные данные требуют вообще везде, например ксерят паспорт на ресепшене в каждой гостинице в командировках. Про номер телефона я уж вообще не говорю. Какое уж тут шифрование(((
                                    А потом по ксерокопии паспорта моего брата умудрились дорогой смартфон взять в кредит (продавец в доле был, очевидно) пришлось потом с коллекторами и банком вопросы решать, хорошо что видео из салона было.
                                      +2
                                      Своим — все. Врагам — закон!
                                        +2
                                        Своим — все. Врагам — закон!

                                        Своим — всё. Остальным — закон.
                                          0
                                          вот вот, а то водка и сигареты давно уже не враги.
                                            0
                                            Остальным — вражеский закон.
                                          +2
                                          Интересная ситуация со школами. Много лет назад сначала по госпрограмме им сделали доступ в интернет, такой, как у всех клиентов, но за доступ они не платили. После пары лет госконтракт закончился и школы стали обычными коммерческими клиентами. Потом пришлось завести по два подключения в школах, одно «просто интернет» например для бухгалтерии, второе для учебных классов с контент-фильтрацией (и тут все школы добровольно подключились к Ростелекому).
                                          А пару-тройку лет назад выплыл проект по СЗО (социально значимым объектам), и в школа стали «строить новый интернет», уже с использованием криптошлюзов (АПКШ «Континент»), мы еще удивлялись, зачем для выхода в интернет шифрование. В общем, какие-то телодвижения есть (подобное уже для госструктур внедрено/внедряется), денег вбухивают в подобные проекты немало.
                                            0

                                            А зачем там криптошлюз для выхода в интернет, действительно?

                                              +1
                                              У них это сразу и интернет и контент-фильтрация и ЕСПД для СЗО. Поскольку в этой сети и образование и медицина и росгвардия и еще куча всего — это они называют «универсальный узел связи», типа если завтра выборы, то просто переключат порты и доступы на другие и все, поэтому и криптошлюзы.
                                              Ну и внутриведомственные информационные системы в закрытом сегменте у школ
                                              0
                                              А есть другой прекрасный пример. Краснодарский край, где есть электронные дневники на краевом сервере, и вроде поначалу тоже была прекрасная инициатива разделить контуры на закрытый (с ПДн) и аттестовать компы, имеющие к нему доступ и открытый — для родителей (с обезличиванием). Но закончилось все аттестацией по одному компу на школу(садик) и та уже истекла.
                                              0
                                              ГОСТ в OpenSSL присутствует только в виде специальных пропатченных сборок?
                                                –1
                                                Присутствует в виде подключаемого engine, что является стандартным средством расширения функциональности для openssl. Так что сделать сборки браузеров с поддержкой ГОСТ — не проблема.

                                                Насколько я помню, в остальной части мира есть недоверие в российским алгоритмам и нежелание включать их в общедоступное ПО. По-видимому, каждая сторона считает, что противник имеет возможность расшифровывать свои собственные алгоритмы.
                                                  0
                                                  OpenSSL только не сертифицирован ФСБ
                                                    0
                                                    сертифицирован в составе СКЗИ МагПро КриптоПакет
                                                    0
                                                    В остальном мире нет ничего, что не упомянуто в святцах RFC IETF и реестре IANA, и это правильно.
                                                      0
                                                      Думаю, что господин Сноуден показал, что это не совсем так.
                                                        +1
                                                        Мы вроде говорили про то, почему российских алгоритмов нет в общедоступном ПО, хотя есть — страшно сказать — китайские.
                                                      0
                                                      Вот только на практике — это проблема. Firefox… штука интересная. А Chrome надо заставить на этот OpenSSL переключится. Но решаемо.
                                                      Вообще — не очень понятно почему яндексбраузер не поддерживает ГОСТ везде где можно(включать надо, не везде заводится)? Опасаются что с ним как раз — на раз сделать MITM если вдруг окажется что в целях защиты рунета от угроз — надо читать https-трафик?

                                                      Вообще — есть чуть более детально описывающая ситуацию серия постов aveselov.ru/tls-req.
                                                      Клиентскую часть сейчас бесплатно скачать и использовать можно. Даже две разных.

                                                      Но вообще не очень понятно кому это надо, вот допустим я хочу поднять на nginx cервер который будет тем кто умеет в ГОСТ — отдавать все по нему а иначе по RSA. Ну чтобы более менее сделать хорошо. (желания сертифицировать все это — нет), ну вот допустим захотелось.
                                                      Не очень понятно
                                                      — как это сделать?( ладно — где брать патченый nginx и даже в исходниках — вроде понятно. хотя при поиске — будут предложения купить платно. задорого)
                                                      — где мне сертификат получить? для вражьей криптографии — ответ известен — Let's Encrypt либо любой вообщем то CA. Для ГОСТа — не понимаю (почему я не могу зайти на госуслуги со своим сертификатом физика/ИП/компании, попросить сертификат на домен xxx.ru, верифицировать владение как это обычно делают CA(через письмо или файл в корне) и получить сертификат, даже за денежку.
                                                      Почему с ChromiumGost (и стоящем криптопро с лицензией + сертификаты) для ЛК ФНС нужны еще какие то плагины?
                                                        0
                                                        Поднять nginx с поддержкой ГОСТ — не проблема, насколько я помню, надо попросить nginx загрузить GostEngine в конфиге и поставить шифры с ГОСТ алгоритмами в самое начало строки с разрешёнными шифрами. Если клиент и сервер оба поддерживают ГОСТ, они соединятся с его использованием, если клиент не поддерживает — будет fallback на обычные.

                                                        С сертификатами всё тоже самое, что и с обычными RSA сертификатами. Можете выписать себе самоподписанный, можете развернуть свой УЦ и выписывать сколько угодно своих ГОСТ сертификатов, надо только контрагентов попросить установить свой корневой серт. В своём узком кругу будет работать.

                                                        Почему нет аналога Let's Encrypt для ГОСТа? Сделайте первый шаг — создайте свою!
                                                          0
                                                          Поднять да — покопаться но понятно как решается.

                                                          Где инфраструктура ЦА чтобы к серверу могли обращаться клиенты со штатным набором сертификатов гостовых(без установки корневых сертов, кроме тех что и так ставятся с КриптоПРО/Випнетом,etc)?
                                                          Вот допустим я хочу чтобы это работало для всех клиентов а не в узком кругу.

                                                            0
                                                            Как убедить разработчиков ОС или браузеров поставлять ваш корневой сертификат вместе с сертификатами VeriSign, Thawte, Amazon, Apple, Microsoft, COMODO etc?
                                                            Это вопрос не технический, а организационный. Никакой волшебной кнопки или команды нет. Вы должны убедить их, что вам можно доверять.

                                                            Вот Let's Encrypt договорилась с CA IdenTrust для кроссподписи своих промежуточных сертификатов. Вы попробуйте договориться с КриптоПро. Но вам придётся доказывать, что ваша инфраструктура хранения, выписки и отзыва сертификатов соответствует всем условиям безопасности.
                                                        0
                                                        По-видимому, каждая сторона считает, что противник имеет возможность расшифровывать свои собственные алгоритмы.
                                                        я бы перефразировал, спец служба каждого государства знает как рашифровать свое и имеет большие проблемы с расшифровкой чужого СКЗИ. именно по этому в США были (а может и сейчас есть ) ограничения на длину ключей «гражданских» версий DES, RSA
                                                        по поводу отечественных шифров при работе с ПД, думаю закон сыроват в силу бестолковости наших законописателей и использование их при работе с конечными пользователями излишне и трудно реализуемо, но при обмене базами ПД между организациями и их хранении считаю логичным и обязательным использование ГОСТовских алгоритмов (с оговорками на переходный период для планового внедрения )
                                                          +1
                                                          Ограничения на криптографию и у нас кошерные. Ключ 56 бит для симметричных систем и длинна множителя в ассиметричном ключе 512. Иными словами можно ввозить только то, что успешно поддается криптоанализу за время приготовления кофе.
                                                      +2
                                                      Если попытаться понять требования, то возникают вопросы. А зачем этот ГОСТ нужОн, если есть RSA? Чем по нему шифрование так плохо? Может быть я чего-то не понимаю, но что мешает ФСБ сертифицировать RSA? Вся боль статьи не в том, что ПД не шифруются, а в том, что их требуется шифровать ГОСТ-ом.
                                                        +2
                                                        вы предлагаете регулятору перестать регулировать, только потому что за него уже сделали всю работу. Вы плохо понимаете устройство государства. то же целые здания нужно освобождать.
                                                        А уж если вы про сертификацию импорта заговорите, зачем нужно проходить сертификацию лекарств, электроники, если они уже прошли сертификацию в ЕС… двойная работа, очень приятная в освоении бюджета вещь
                                                          +7
                                                          И не забудьте, что зашифрованные данные может понадобиться расшифровать. И если там RSA, то не понятно, что делать. А вот если сертифицированный алгоритм, то понятно в какой папочке лежит утилитка для дешифрования ранее перехваченного трафика. Помним же, что строятся дата-центры для исполнения закона о прослушивании всех и всегда с последующим хранением записей годами?
                                                            0
                                                            Откуда же мы это помним? Если вы о сормах, то там все совсем иначе…
                                                              +1
                                                              Я не о СОРМ'ах, а о законе Яровой по которому операторы должны сначала начать хранить метаданные за 3 года о том, кто, что, кому сообщил. А потом и сами данные за сколько-то лет. В 2016 году закон принимали.
                                                                0
                                                                «я не о фантиках, а о фантиках»))) Закон яровой обязал операторов хранить данные, это и стало тем самым СОРМ, железом с софтом которое пришлось провайдерам покупать и обслуживать на своих мощностях. Закон Яровой тем и циничен, им не только поставили крест на свободе рунета но и назначили тех, кто за это еще и будет платить. Это болезненное мероприятие убило порядочное количество мелких провайдеров, которые себе такие расходы позволить не могли. Ни каких датацентров ни кто для этого не строит, единственные подобные стройки, которые я знаю, в интересах налоговиков.
                                                              0
                                                              Если существует «утилитка для дешифрования ранее перехваченного трафика», то это означает, что в систему шифрования встроен бэкдор. А это, в свою очередь, означает, что рано или поздно эта утилитка (или даже ее более совершенный вариант) появится и у других заинтересованных в расшифровке сторон.
                                                              Как нельзя быть «немножко беременной», так и нельзя построить «немножко дырявую» криптографию.
                                                                +2
                                                                Так и я о том! Сначала исключительно ФСБ решает вопросы с неугодными, потом товарищ майор палки рубит при помощи утилитки, а так уже и братки со своими тюремными call-центрами будут не дорого покупать данные позволяющие быстрее и проще разводить немамонтов.
                                                                Не совсем понял тон Вашего комментария. Мне показалось, что Вы сомневаетесь в том, что в алгоритме могут быть закладки? Так опыт наших американских «партнеров» как бы тонко намекает на полезность для государства таких решений как «немножко беременная криптография».
                                                                Подробности 1
                                                                Подробности 2
                                                                  0
                                                                  Я не сомневаюсь, что в алгоритме могут быть дыры — как непреднамеренные ошибки, так и намеренно внесенные закладки. Я сомневаюсь в «полезности» таких закладок, пусть даже для государства, представители которого считают себя эксклюзивными их пользователями. Эта эксклюзивность — лишь временная иллюзия, а кратковременная «полезность» со временем обратится в серьезную проблему для всех. И для тех самых «эксклюзивных» в том числе.
                                                                  0

                                                                  Если быть настолько параноиком — а что тогда мешает под ГОСТом зашифровать ещё чем-то (тем же RSA). Достал свою утилитку, расшифровал — а там следующий слой. Надо теперь для него другую утилитку...

                                                                  0
                                                                  Зачем выбирать что-то одно? Можно зашифровать ГОСТом поверх RSA, это должно всех устроить :)
                                                              +2
                                                              А если расставить акценты иначе:
                                                              применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных

                                                              Оператор самостоятельно определяет границы ИСПДн.
                                                              И, если передача ПДн производится за ее границы (например, на монитор ПК пользователя портала), то оператор вправе определить, что этот ПК не входит в состав ИСПДн. И, следовательно, ПДн при такой передаче не должны защищаться в соответствии с требованиями ФСБ России.
                                                              Подтверждение возможности такого варианта в презентации Алексея Лукацкого:
                                                              youtu.be/SdgP6drfdNY?t=3568
                                                                0
                                                                Звучит душераздирающе, но фундаментально-нового ни чего. Кто не слышал о том, что «Суровость Российских законов с лихвой компенсируется не обязательностью их выполнения»? Если такие есть, с новостью вас!..
                                                                Начну издалека. Наши регуляторы в области ТЗИ — ФСТЭК и ФСБ (третьего умолчим, для нас он не важен) и они оба используют единый подход к решению задач безопасности как от организованной иностранной разведки, так и от Васи с биноклем. С той же криптографией, когда мы говорим о гос.тайне, разумно не доверять «вражеским» алгоритмам (aes, des и т.д.), а иметь свой и рассматривать его как стандарт, но когда речь о Васе, мне его жалко. ФСТЭК тоже свою нормативку пишет так, что страшно становится, но основная мысль того же формата «теоретически возможно — закрывай или бери на себя ответственность». При этом за гос.тайну родина готова платить, а персональные данные должен оплачивать кто-то…
                                                                На выходе имеем то, что имеем. Шаблон с излишним набором мер проецируют на общество в целом, тупиковость ситуации на определенном уровне понимается, но ни кто не торопится что-то менять. Мне вот не очень понятно, почему для полноценного пользования государственными слугами (я не только о портале госуслуги, но и о порталах для юр.лиц, там это существеннее) я должен покупать конкретный софт, функционал которого не дает мне преимуществ перед бесплатными аналогами. При этом регуляторы, опираясь на теоретические выкладки, требуют от производителя софта работать на уровне драйверов, а то и с ядром играть. О качественной работе и юзабилити такого ПО можно забыть. Кто знаком с сертифицированным випнетом, синий экран видит более чем часто.
                                                                И как итог, когда речь идет о ресурсе с массовым использованием, выставление требований в наличии коммерческого софта для его использования — серьёзный гвоздь в крышку гроба проекта. Нет адекватной реалиям нормативной базы от того и порядка нет, да и не предвидится в ближайшее время.
                                                                  +2
                                                                  Вроде в законах нигде не описано, что цель — чтобы было лучше. Цель — иметь рычаг.
                                                                    0
                                                                    Едва ли. А рычаг в отношении кого и в чьих руках? Смысл его создавать если не пользоваться?
                                                                    Проще все, гостайна есть давно, с ней что-то наработали, наизобретали, а тут ПДн… новый велосипед нужен. Зачем его изобретать? оставляем только передние тормоза и отрываем одну педаль — говорим сделали новый.
                                                                      +3
                                                                      Рычаг в отношении компаний и частных лиц, кто занимается обработкой ПД в руках чиновников. Смысл — если компания или частное лицо становятся неугодными, их можно привлечь к ответственности за несоблюдение законов (мысли вслух).
                                                                        0
                                                                        ПДн это слишком узко, не эффективно для тех, кто законы пишет. В нашей демократической стране не обязательно нарушать чтобы пришлось доказывать, что не олень. Я вижу только раздолбайство со всех сторон в этом вопросе.
                                                                          +2
                                                                          Здесь нет никакого раздолбайства. Суть закона о персональных данных была в требовании к иностранным компаниям перенести свои серверы на территорию РФ, после чего компании становились гораздо более внимательными и сговорчивыми к рекомендациям правоохранительных органов. Однако написать открытым текстом «перенесите серверы, а то заблокируем» тогда ещё стеснялись, поэтому это всё назвали защитой персональных данных. Разумеется, на сами персональные данные всем глубоко поср… ээээ, без разницы, что подтверждается тем, что ни разу никого не привлекли за какие-либо утечки ПД, коих в общем-то было миллион.
                                                                  0
                                                                  Спасибо за разъяснение, на это всем наплевать ровно до того, пока это не станет выгодным
                                                                    –7
                                                                    Подскажите, а возможно протащить ГОСТовское шифрование в распространенные операционные системы, чтобы сертификаты с ним работали в обычных браузерах?
                                                                    Если да, то пожалуй ФСБ, или кто там за СКЗИ занимается, стоит заняться этим, ведь это реально защитит рядовых граждан и обеспечит им «безопасный» канал связи из удобного браузера.
                                                                    –1

                                                                    То есть если сайт спрашивает из персональных данных например только ФИО, все равно надо Криптографию юзать? Это какой-то бред же

                                                                      0
                                                                      Есть подозрение, что даже email является персональными данными.
                                                                      0
                                                                      Как писал классик «чрезмерная строгость законов компенсируется необязательностью из исполнения». Короче, это у нас карма такая…
                                                                        –1
                                                                        Ну если говорить про torgi.gov.ru, то там и ПДн особо нет, и в любом случае RSA это только на сам портал, а в личный кабинет уже шифрование по ГОСТ
                                                                          0
                                                                          Для каждого человека есть абсурдная статья, которая как бы и не применяется или применяется, но в другой формулировке, но если очень надо, то можно вас и посадить. Для каждого бизнеса — есть закон или другой нормативный документ, формулировки в котором настолько размыты, что только ваш личный ФСБшник или налоговый инспектор может разобраться, если вы конечно дружите с ними и не обижаете.
                                                                            –2

                                                                            А запросить ответ от самого регулятора по данному вопросу и получить оф ответ, на который можно опираться, не? К чему эти домыслы пилить

                                                                              0
                                                                              Как раз в том году у нас была комиссия с аудитом по безопасности инф систем, похвалили что не сливаем все из личного кабинета в яндекс метрику или гугл аналитику, но сказали, что просто передача перс. данных с SSL сертификатом недостаточно. Даже VPN недостаточно, в идеале нужен прям отдельный физически канал данных, и сертифицированное от них оборудование для шифрования. Получается каждая интеграция с партнером требующая передачи перс. данных будет влетать в копеечку.
                                                                                +1
                                                                                Подключался к ГИСЖКХ. Нужно было подключиться к их API и лить туда кучу инфы. На тот момент из стабильно работающего и доступного было только ПО от КриптоПро, позже опенсёрсное появилось. Помимо ВПН с шифрованием, нужно было еще все сообщения шифровать — двойное шифрование одним и тем же ключом правда. Нужно было еще ЭЦП купить да непростую а повышенной надежности, что тоже сертификационный центр только со второго раза смог сделать.
                                                                                Зато когда заходишь на сайт ГИСЖКХ через браузер заморачиваться не стали и обычный SSL прикрутили, правда повешали уведомление «Работа через незащищенный канал» и кнопка «согласен». Так как на тот момент чтобы бразуер запустить по гостовскому TLS нужно было купить ПО от КриптоПро и без вариантов.
                                                                                  +2
                                                                                  Ах да еще делал личный кабинет в конторе с госучастием, где безопасники пытались требовать — Сделай с ГОСТовским шифрованием.
                                                                                  Бюрократия была там на высоком уровне и требование мне поступило в виде служебной записки. Я им на согласование выслал ТЗ на доработку, где приложением была инструкция пользователя: купи ПО, настрой, потом сможешь в ЛК заходить. Так и запустили с обычным SSL.
                                                                                    0

                                                                                    Надо взять на вооружение.

                                                                                    +2
                                                                                    Самым эффективным на сегодня было бы:
                                                                                    1 Оператор перс данных передает на госуслуги инфу чьи персданные, какие и с какой целью использует.
                                                                                    2 Каждый в своем ЛК госуслуг видит эту инфу и может нажать кнопочку — «Удалит мои песданные у этого оператора».
                                                                                    3 Оператор обязан удалить если нет причин оставить (еще не выплатили кредит и т.п.)
                                                                                    4 Звонит вам стоматология, если нет инфы что вы ей разрешаете обрабатывать свои перс данные — значит можно смело на нее жалобу в надзор.
                                                                                    Это бы лучше всех остальных мер защитило перс данные. А то сейчас согласие все берут и хранят вечно, а кого твои данные уже и не знаешь.
                                                                                      0
                                                                                      Идея неплохая, но если сделать сейчас так и заставить операторов ПДн регистрировать все данные им согласия в Госуслугах, то получится бардак, многие забьют на внесение информации, но продолжат обрабатывать ПДн и тогда образуется серая зона. Тогда уже надо отменять силу всех ранее данных согласий и попросить чтобы субъект ПДн, там где ему нужно снова дал согласие с авторизацией через ЕСИА.
                                                                                        0

                                                                                        Не знаю как в РФ, в UA для гос органов сделали исключение, что можно не удалять, по требованию.
                                                                                        Для остальных — тоже, но в рамках "необходимости хранения бухучета"

                                                                                          +1
                                                                                          Если бы, да кабы… Нужно понимать, что любая партия и ЕР в том числе, это лишь представители своей группы «элит», бизнесов. Соответственно, эти самые элиты окупают свои расходы за счет лоббирования интересов своей группы. Когда такие группы уравновешены, это несет адекватный результат, когда как у нас… К этой «элите» относятся люди имеющие интересы в банковском секторе, в страховании, в прочих, где холодное задалбливание окружающих основное направление маркетинга. Зачем им геморрои с персональными данными? С какого вдруг кто-то решит свои перс данные удалить из его базы? Пусть письменно об этом придет и напишет, а если письмо пришлет, то скажем, что с чистым листом письмо было, и наплевать заказное или нет, не видели.
                                                                                          Из личного опыта, «подаешь документы в налоговую о регистрации юридического лица, у налоговой 3 дня!!! на принятие решения о регистрации, но из сбера вам позвонят уже на следующий день с предложением открыть РС для юр.лица». Позитивненькое взаимодействие налоговой и сбера, не правда ли?
                                                                                          Если интересуетесь тем, что последние годы генерят наши нормотворцы… в начале каждой бумажки можно добавить «Бояре решили, что челядь теперь должна:», смысл становится более понятным. И тема ПДн твоих мало кому интересна, ибо какие на… ПДн у челяди?
                                                                                          0
                                                                                          Но как в итоге оказалось – нет ничего более обязательного, чем что-то рекомендуемое ФСБ России.

                                                                                          Какие и от кого будут санкции, если не будете следовать методическим рекомендациям от ФСБ? Вся смысловая цепочка статьи замыкается на тот, что эти методические рекомендации всё-таки обязатыельны к применению. Но вот почему они обязательны, явно не указано.
                                                                                            +1
                                                                                            Тем временем www.fsb.ru и kremlin.ru недоступны по https
                                                                                            Информация почему перестали использовать RSA отсутствует, сроки внедрения ГОСТа тоже

                                                                                            Only users with full accounts can post comments. Log in, please.