How to become an author
Search
Write a publication
Pull to refresh

Comments 37

Строго говоря, в процитированном письме не написано, что данные надо отправлять по электронной почте. Просто даны контакты ответственного за сбор данных лица.

Total votes 3: ↑2 and ↓1+1

Там к письму идёт файл с примером для заполнения.

Total votes 2: ↑1 and ↓10

В отрывке письма не написано, что заполненную таблицу нужно отправлять по e-mail.

Total votes 2: ↑2 and ↓0+2

Там даны контакты РКН и электронная почта.

Total votes 3: ↑1 and ↓2-1

хммм, то есть можно заказным письмом посылать? /s

Total votes 4: ↑4 and ↓0+4

Конечно, файл надо распечатать и принести в окошечко

This comment wasn’t rated yet0

Никто не мешает записать файл на диск, поставить гриф и отправить спецсвязью. Возможно, что контактный мужик из письма это и советует делать.

Total votes 2: ↑1 and ↓10

Лучше записать на 5" дискету и отправить спецсвязью

Total votes 1: ↑1 and ↓0+1

Да и архивы с шифрованием пока никто не отменял.

Total votes 4: ↑3 and ↓1+2

И пароль открытым текстом этим же письмом :)

Total votes 2: ↑2 and ↓0+2

Вообще там всё на аппаратных ключах:)

Total votes 1: ↑1 and ↓0+1

Возможно, речь идёт о официальном деловом письме с запросом, которое отправляется на главную почту юрлица

В таком случае необходимо отвечать таким же официальным деловым письмом, также на электронную почту.

Обычно в таких письмах снизу ещё указывают инициатора запроса с номером и ФИО.

This comment wasn’t rated yet0

Во-первых, способ ответа, а уж тем более категорию его конфиденциальности, выбирает отправитель.

Во-вторых, официальное письмо в принципе не должно приходить на электронную почту. Такая практика полуофициально существует для юридически незначимых писем, но получатель всегда может отрицать их получение, поскольку электронная почта не гарантирует доставку и не выдаёт (как правило) подтверждений получения. Юридически значимым способом является бумажная почта с подтверждением получения, или факс на официальный номер с подтверждением получения (если есть), или корпоративная система гарантированного обмена сообщениями (если есть).

Я бы вообще на любой запрос от государственных органов рекомендовал отвечать только в бумажном виде под протокол (или, вроде, это как-то можно делать сервисом электронных заказных писем “Почты России”). Можно иногда для ускорения отправить вторую копию бумажного письма по электронной почте, но не более того. А то упадёт это электронное письмо в спам в министерстве, там потом скажут “мы не получали”, отключат VPN, и привет огромные штрафы от ЦБ за неработающий сервис.

А в данном случае вообще нечего думать. Если банки считают свою информацию конфиденциальной и не имеют при этом системы электронной доставки конфиденциальных сообщений адресату, то только ФГУП "Спецсвязь России". Оно специально для этого и существует. Приедут мужики с автоматом и обеспечат защищённый канал.

При этом, собственно, совершенно неважно, что подразумевали люди из министерства (если даже они подразумевали что-то другое, в чём я не уверен). Если обязан защищать информацию – защищай.

Total votes 1: ↑1 and ↓0+1

А то упадёт это электронное письмо в спам в министерстве

А они все ещё не в курсе, что можно написать фильтр в gmail, чтобы все письма шли не в спам?

This comment wasn’t rated yet0

Цирк с конями. Так и представил, как сбер подключается к впн через hidemyass

Total votes 2: ↑1 and ↓10

Да нет, это для ситуаций, когда филиалы связаны между собой через VPN. Чтобы, когда захочется погасить весь vpn по известным сигнатурам — банки не пострадали.

Total votes 9: ↑9 and ↓0+9

Кроме банков из филиалов состоят и другие организации, включая топливно-энергетический сектор. Он как-бы критичнее в этой ситуации. Но там исторически больше завязано на физические каналы. Может после сбора информации с банков, их тоже заставят стать ближе к физике.

Total votes 1: ↑1 and ↓0+1

Не верю что они смогут всё выборочно погасить, сейчас это не получается. Проще тогда вообще интернет внешний выключить. А есть ещё всякие Shadowsocks и v2ray, до них вообще не доберутся долго.

Total votes 1: ↑1 and ↓0+1

Какая разница, во что вы верите. Речь про белые списки айпишников, которые блочить не надо. Например, протокол QUIC (http/3) в целом блокируется, но до избранных сайтов типа вкашечки работает.

Total votes 8: ↑8 and ↓0+8

Они же поставили китайские DPI всюду, в чем проблема гасить по сигнатурам? У Китая вполне выходит, и даже shadowsocks с v2ray надо еще правильно настроить, чтобы он работал нормально, а не прибивался через 10 минут на сутки.

Total votes 1: ↑1 and ↓0+1

Сбер VPN не использует внешний Интернет, не факт, что они вообще Интернет, а не Интранет используют.

This comment wasn’t rated yet0

А как быть что вполне может быть ситуация когда человек имеет доступ к банковскому VPN(для работы на банк, с домашнего компа) но при этом также имеет и вовсе даже не банковский VPN (например для случая если опять заблокируют github).
Это вообще учитывается?
А если при этом еще и не собрали адреса таких пользователей или адрес динамический?

This comment wasn’t rated yet0
UFO just landed and posted this here

человек имеет доступ к банковскому VPN (для работы на банк, с домашнего компа) 

А это вообще законно? Разве банк не обязан иметь охраняемый периметр? Я просто не в курсе.

This comment wasn’t rated yet0

Ну как то согласовали ж.
Ну и разумеется через такую VPN сразу к продовому контуру с данными реальнов клиентов доступ не получишь даже если имеешь права на доступ к нему.

This comment wasn’t rated yet0

Если это, конечно, не один красный банк, который даже учетки уволившихся сотрудников-подрядчиков не банит даже спустя месяц =)

This comment wasn’t rated yet0

Незаконно не иметь VPN. Алгоритмы шифрования там самые лучшие, лучше чем в ssh и https TLS 1.3.

This comment wasn’t rated yet0

Центральный филиал подключается к допофисам через VPN. Виртуальную частную сеть.

This comment wasn’t rated yet0

Интересно там есть требование подписывать эти письма ЭЦП банка? Их кто-нибудь проверят? А то вдруг можно свои ВПНы под шумок в белый списочек пропихнуть.

Total votes 3: ↑3 and ↓0+3

Банки правы. Передача информации о сетевой инфраструктуре третьим лицам по незащищенным каналам - это прямое нарушение требований пункта "1.4.5 The disclosure of internal IP addresses and routing information is limited to only authorized parties" PCI DSS v4.0.

This comment wasn’t rated yet0

В эту игру можно играть вдвоём -- кто сказал, что IPшники VPN серверов должны быть внутренними? Тут ровно наоборот, нужны внешние IP, чтобы их включить в белый список.

Total votes 1: ↑1 and ↓0+1

В данном случае нарушением является передача информации не об IP-адресах, а о маршрутизации.

This comment wasn’t rated yet0

ну от PCI DSS любой версии российским банкам уже год как ни холодно, ни жарко

Total votes 2: ↑1 and ↓10

Вот это напрягает:

Минцифры и РКН ежеквартально запрашивает от ряда госкомпаний, госкорпораций и крупных банков отчёт об использовании VPN-сервисов. Это необходимо для того, чтобы в случае текущего процесса блокировки гражданских VPN-сервисов случайно не заблокировать банковские системы связи.

Иначе говоря выпиливание гражданских VPN поставлено на поток.

Total votes 6: ↑4 and ↓2+2

видимо, готовится запрет вообще vpn, и не хотят взять и обрушить этим бизнес, где vpn таки нужен и не для доступа к запрещенному

Total votes 3: ↑3 and ↓0+3

Согласен. Скоро нормальный интернет будем "слушать" как Голос Америки в советское время.

This comment wasn’t rated yet0
Иначе говоря выпиливание гражданских VPN поставлено на поток.

Наши люди VPN`ами не пользуются в булочную на такси не ездят!/s

Total votes 1: ↑1 and ↓0+1
Sign up to leave a comment.

Other news

Your account

Sections

Information

Services

Support
© 2006–2024, Habr