Комментарии 96
Вы же понимаете, что все эти требования о ГОСТовской криптографии — не чтобы защитить, а чтобы нагнуть, когда понадобится? Так что всё правильно, в полном соответствии с принципом «был бы человек, а статья найдётся».
Все вы усложняете. Никому эти ваши алгоритмы не нужны если нет оснований недоверять. Нагнуть можно прямо сейчас. Это нужно чтобы не упустить недополученную прибыль.
Требования вполне разумные. И даже в тех местах, где их сейчас реально технически сложно исполнить — полезные. Но исполнение (в комплексе) никуда не годится. Никто не хочет вкладываться в это в ущерб своим финансам, при том что конкуренты не вкладываются. В том числе и гос конторы. А если бы всё сделали строго "с такого-то дня проверяем и закрываем тех кто не успел, на отговорки и на степень аффилированности к государству плевать" — ну да, был бы некоторый кризис, но в итоге получили бы обратную связь ко всем регламентам, довели бы до хорошего вида и таки сделали бы все нужные инструменты (по-хорошему — опенсорсные и бесплатные).
Вы можете аргументировать разумность, а тем более полезность таких требований?
Больше всего в это не захотят вкладываться конечные пользователи, на кой чёрт им ставить «православные» браузеры и криптопровайдеры, жертвуя при этом своим комфортом за свои же деньги.
Больше всего в это не захотят вкладываться конечные пользователи, на кой чёрт им ставить «православные» браузеры и криптопровайдеры, жертвуя при этом своим комфортом за свои же деньги.
своим комфортом за свои же деньги.
В России деньги нужно нести не туда куда хочешь, а туда, куда надо
Вы можете аргументировать разумность, а тем более полезность таких требований?
Я попробую. Государство имеет обязанность защищать своих граждан от различных угроз, в т.ч. от кражи и неправомерного использования их ПДн. Отсюда следует необходимость проверки и сертификации средств защиты.
А чем RSA плох? Защита — есть, но не православная, а та, которой пользуется весь остальной мир.
Государство имеет обязанность защищать своих граждан от кражи и неправомерного использования их ПДн
С чего Вы это взяли? Кому и что компенсирует государство, если не справляется с этой обязанностью?
Неожиданная версия… Можно ли пруф того где это написано? Вспомните, пожалуйста, какие обстоятельства вынудили наше правительство создать нормативную базу для ПДн. До того государство и не догадывалось о своем таком обязательстве. Да и сейчас оно не на стороне субъектов ПДн, дать согласие ты можешь и просто нажав кнопку «Далее» на сайте, а вот запрет на обработку ты должен прислать письменно, дабы мазня в законах не мешала зарабатывать.
Можно ли пруф того где это написано?
Например, в ст. 24 Конституции.
- Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Но вообще зашита граждан от любых угроз входит в обязанности любого государства, это часть общественного договора.
Реализация всего этого в РФ это конечно "совсем другая история".
Частная жизнь и ПДн вещи разные. С кем спишь и номер паспорта из разных опер.
Например, в ст. 24 Конституции.
Я спросил где взяли «обязанность защищать своих граждан от кражи и неправомерного использования их ПДн», а не про информацию о частной жизни. Если что, сбор, хранение, использование и распространение информации о ПД лица без его желания массово осуществляются самим государством сплошь и рядом — например, в ЕГРН.
Хотел длинно написать но думаю это лишнее.
1) полезность: выработка общей дисциплины касательно ответственного отношения к чужим данным; да, я понимаю что эти (из статьи) требования сами по себе ничего не дадут, данные всё так же будут терять/взламывать/красть/продавать, и я понимаю что государство не показывает инициатив к пресечению всего указанного (никого не посадили ни за какие утечки), но если вдруг они смогут начать хотя бы с этой стороны — всё равно хорошо, может потом, на фоне уже выработанной дисциплины, и остальное подтянут
2) "вкладываться" по моим оценкам, на конкретно эти требования надо что-то не больше 1 рубля разово с гражданина — это если правильно всё организовать и не распиливать финансирование — там всего то надо организовать включение уже много раз реализованных алгоритмов в основную ветку опенсорсных проектов (сейчас все браузеры опенсорс, топ популярные веб-сервера опенсорс, криптобиблиотеки большинство тоже опенсорс); думаю если всё аккуратно оформить, прислать куда надо патчи/пуллреквесты, документировать итд — причин не принимать данную поддержку у них не будет, и это не такие уж затраты
В ua пробовали и были посланы.
Никому оно не надо, что бы реализации алгоритмов стали open source.
Продавать заинтересованым депутатам станет нечего
Они (алгоритмы гос шифрования) и так давно open source (и вобщем-то по самым пессимистическим оценкам на качественную и быструю реализацию именно алгоритма у компетентного программиста уйдёт никак не больше месяца, а скорее всего и меньше недели — считайте бюджет).
Осталось только интегрировать их в официальные версии open source клиентского и серверного софта. Это задача чуть посложнее (и не только программистам но и бюрократам), но тоже, в масштабах государства, копеечная. Проблема исключительно в том что сейчас эту задачу рассматривают не как что-то нужное стране, а как способ получить финансирование всяким мутным конторам.
Они (алгоритмы гос шифрования) и так давно open source (и вобщем-то по самым пессимистическим оценкам на качественную и быструю реализацию именно алгоритма у компетентного программиста уйдёт никак не больше месяца, а скорее всего и меньше недели — считайте бюджет).
И ещё 11 месяцев уйдёт на то чтобы всё это проестить, включая фаззинг и тестирование безопасности
Мне кажется дело тут не в злом умысле, а в обычной безалаберности. Те самые отмененные документы 2008 года были один в один копипастой с документов с грифом «С», только автозаменой прошлись и заменили например «режимно-секретное помещение» на просто «режимное помещение». Думаю и в приказе 2014 года просто нафигачили что попало, лишь бы от них отстало правительство. Но конечно, раз документ утвержден, то может быть применен в любой момент и это печально.
Путей тут может быть много.
Путь тут как раз один. Старая индейская поговорка: «Лошадь сдохла — слезь». Лошадь сдохла. Бесполезно обсуждать, что там у нее копыто дергается или газы выходят…
Это как размер железнодорожной колеи, форма сетевой вилки, ....
«Строгость российских законов смягчается необязательностью их исполнения»(с)Салтыков-Щедрин
Законы пишут юристы-литераторы. Даже скорее литераторы-юристы.
Очень сомнительно, что такие нечитабельные словесные конструкции мог родить человек, хотя бы отдаленно имеющий хоть какое-то отношение к литературе.
Это руский-чиновничий канцелярит. Самое страшное не летальное оружие на планете.
Стоит прочитать 5-10 страниц на канцелярите, как мозг сразу выключается и рука с мышкой судорожно ищет картинки с котиками.
Говорят, на западе ещё хуже. Не зря там нормальный человек без адвоката даже и не пробует в это болото лезть.
Ну не совсем там хуже. Там же другая крайность. Из-за сильной витиеватости повествования связанного с желанием как можно более нейтрально описать, что нельзя самому себе пихать черенок лопаты больше чем на 25 см. Это образно конечно но в большинстве случаев не ясно что конкретно можно, а если можно то какие есть границы свобод.
нет ничего более обязательного, чем что-то рекомендуемое ФСБ России
Чекизм как он есть. Прям, можно сказать, словарное определение.
ИМХО корень проблемы в том, что эти самые персональные данные требуют у нас и переписывают все кому не лень, по поводу и без. Паспортные данные требуют вообще везде, например ксерят паспорт на ресепшене в каждой гостинице в командировках. Про номер телефона я уж вообще не говорю. Какое уж тут шифрование(((
А потом по ксерокопии паспорта моего брата умудрились дорогой смартфон взять в кредит (продавец в доле был, очевидно) пришлось потом с коллекторами и банком вопросы решать, хорошо что видео из салона было.
А потом по ксерокопии паспорта моего брата умудрились дорогой смартфон взять в кредит (продавец в доле был, очевидно) пришлось потом с коллекторами и банком вопросы решать, хорошо что видео из салона было.
Своим — все. Врагам — закон!
Интересная ситуация со школами. Много лет назад сначала по госпрограмме им сделали доступ в интернет, такой, как у всех клиентов, но за доступ они не платили. После пары лет госконтракт закончился и школы стали обычными коммерческими клиентами. Потом пришлось завести по два подключения в школах, одно «просто интернет» например для бухгалтерии, второе для учебных классов с контент-фильтрацией (и тут все школы добровольно подключились к Ростелекому).
А пару-тройку лет назад выплыл проект по СЗО (социально значимым объектам), и в школа стали «строить новый интернет», уже с использованием криптошлюзов (АПКШ «Континент»), мы еще удивлялись, зачем для выхода в интернет шифрование. В общем, какие-то телодвижения есть (подобное уже для госструктур внедрено/внедряется), денег вбухивают в подобные проекты немало.
А пару-тройку лет назад выплыл проект по СЗО (социально значимым объектам), и в школа стали «строить новый интернет», уже с использованием криптошлюзов (АПКШ «Континент»), мы еще удивлялись, зачем для выхода в интернет шифрование. В общем, какие-то телодвижения есть (подобное уже для госструктур внедрено/внедряется), денег вбухивают в подобные проекты немало.
А зачем там криптошлюз для выхода в интернет, действительно?
У них это сразу и интернет и контент-фильтрация и ЕСПД для СЗО. Поскольку в этой сети и образование и медицина и росгвардия и еще куча всего — это они называют «универсальный узел связи», типа если завтра выборы, то просто переключат порты и доступы на другие и все, поэтому и криптошлюзы.
Ну и внутриведомственные информационные системы в закрытом сегменте у школ
Ну и внутриведомственные информационные системы в закрытом сегменте у школ
А есть другой прекрасный пример. Краснодарский край, где есть электронные дневники на краевом сервере, и вроде поначалу тоже была прекрасная инициатива разделить контуры на закрытый (с ПДн) и аттестовать компы, имеющие к нему доступ и открытый — для родителей (с обезличиванием). Но закончилось все аттестацией по одному компу на школу(садик) и та уже истекла.
ГОСТ в OpenSSL присутствует только в виде специальных пропатченных сборок?
Присутствует в виде подключаемого engine, что является стандартным средством расширения функциональности для openssl. Так что сделать сборки браузеров с поддержкой ГОСТ — не проблема.
Насколько я помню, в остальной части мира есть недоверие в российским алгоритмам и нежелание включать их в общедоступное ПО. По-видимому, каждая сторона считает, что противник имеет возможность расшифровывать свои собственные алгоритмы.
Насколько я помню, в остальной части мира есть недоверие в российским алгоритмам и нежелание включать их в общедоступное ПО. По-видимому, каждая сторона считает, что противник имеет возможность расшифровывать свои собственные алгоритмы.
OpenSSL только не сертифицирован ФСБ
В остальном мире нет ничего, что не упомянуто в святцах RFC IETF и реестре IANA, и это правильно.
Вот только на практике — это проблема. Firefox… штука интересная. А Chrome надо заставить на этот OpenSSL переключится. Но решаемо.
Вообще — не очень понятно почему яндексбраузер не поддерживает ГОСТ везде где можно(включать надо, не везде заводится)? Опасаются что с ним как раз — на раз сделать MITM если вдруг окажется что в целях защиты рунета от угроз — надо читать https-трафик?
Вообще — есть чуть более детально описывающая ситуацию серия постов aveselov.ru/tls-req.
Клиентскую часть сейчас бесплатно скачать и использовать можно. Даже две разных.
Но вообще не очень понятно кому это надо, вот допустим я хочу поднять на nginx cервер который будет тем кто умеет в ГОСТ — отдавать все по нему а иначе по RSA. Ну чтобы более менее сделать хорошо. (желания сертифицировать все это — нет), ну вот допустим захотелось.
Не очень понятно
— как это сделать?( ладно — где брать патченый nginx и даже в исходниках — вроде понятно. хотя при поиске — будут предложения купить платно. задорого)
— где мне сертификат получить? для вражьей криптографии — ответ известен — Let's Encrypt либо любой вообщем то CA. Для ГОСТа — не понимаю (почему я не могу зайти на госуслуги со своим сертификатом физика/ИП/компании, попросить сертификат на домен xxx.ru, верифицировать владение как это обычно делают CA(через письмо или файл в корне) и получить сертификат, даже за денежку.
Почему с ChromiumGost (и стоящем криптопро с лицензией + сертификаты) для ЛК ФНС нужны еще какие то плагины?
Вообще — не очень понятно почему яндексбраузер не поддерживает ГОСТ везде где можно(включать надо, не везде заводится)? Опасаются что с ним как раз — на раз сделать MITM если вдруг окажется что в целях защиты рунета от угроз — надо читать https-трафик?
Вообще — есть чуть более детально описывающая ситуацию серия постов aveselov.ru/tls-req.
Клиентскую часть сейчас бесплатно скачать и использовать можно. Даже две разных.
Но вообще не очень понятно кому это надо, вот допустим я хочу поднять на nginx cервер который будет тем кто умеет в ГОСТ — отдавать все по нему а иначе по RSA. Ну чтобы более менее сделать хорошо. (желания сертифицировать все это — нет), ну вот допустим захотелось.
Не очень понятно
— как это сделать?( ладно — где брать патченый nginx и даже в исходниках — вроде понятно. хотя при поиске — будут предложения купить платно. задорого)
— где мне сертификат получить? для вражьей криптографии — ответ известен — Let's Encrypt либо любой вообщем то CA. Для ГОСТа — не понимаю (почему я не могу зайти на госуслуги со своим сертификатом физика/ИП/компании, попросить сертификат на домен xxx.ru, верифицировать владение как это обычно делают CA(через письмо или файл в корне) и получить сертификат, даже за денежку.
Почему с ChromiumGost (и стоящем криптопро с лицензией + сертификаты) для ЛК ФНС нужны еще какие то плагины?
Поднять nginx с поддержкой ГОСТ — не проблема, насколько я помню, надо попросить nginx загрузить GostEngine в конфиге и поставить шифры с ГОСТ алгоритмами в самое начало строки с разрешёнными шифрами. Если клиент и сервер оба поддерживают ГОСТ, они соединятся с его использованием, если клиент не поддерживает — будет fallback на обычные.
С сертификатами всё тоже самое, что и с обычными RSA сертификатами. Можете выписать себе самоподписанный, можете развернуть свой УЦ и выписывать сколько угодно своих ГОСТ сертификатов, надо только контрагентов попросить установить свой корневой серт. В своём узком кругу будет работать.
Почему нет аналога Let's Encrypt для ГОСТа? Сделайте первый шаг — создайте свою!
С сертификатами всё тоже самое, что и с обычными RSA сертификатами. Можете выписать себе самоподписанный, можете развернуть свой УЦ и выписывать сколько угодно своих ГОСТ сертификатов, надо только контрагентов попросить установить свой корневой серт. В своём узком кругу будет работать.
Почему нет аналога Let's Encrypt для ГОСТа? Сделайте первый шаг — создайте свою!
Поднять да — покопаться но понятно как решается.
Где инфраструктура ЦА чтобы к серверу могли обращаться клиенты со штатным набором сертификатов гостовых(без установки корневых сертов, кроме тех что и так ставятся с КриптоПРО/Випнетом,etc)?
Вот допустим я хочу чтобы это работало для всех клиентов а не в узком кругу.
Где инфраструктура ЦА чтобы к серверу могли обращаться клиенты со штатным набором сертификатов гостовых(без установки корневых сертов, кроме тех что и так ставятся с КриптоПРО/Випнетом,etc)?
Вот допустим я хочу чтобы это работало для всех клиентов а не в узком кругу.
Как убедить разработчиков ОС или браузеров поставлять ваш корневой сертификат вместе с сертификатами VeriSign, Thawte, Amazon, Apple, Microsoft, COMODO etc?
Это вопрос не технический, а организационный. Никакой волшебной кнопки или команды нет. Вы должны убедить их, что вам можно доверять.
Вот Let's Encrypt договорилась с CA IdenTrust для кроссподписи своих промежуточных сертификатов. Вы попробуйте договориться с КриптоПро. Но вам придётся доказывать, что ваша инфраструктура хранения, выписки и отзыва сертификатов соответствует всем условиям безопасности.
Это вопрос не технический, а организационный. Никакой волшебной кнопки или команды нет. Вы должны убедить их, что вам можно доверять.
Вот Let's Encrypt договорилась с CA IdenTrust для кроссподписи своих промежуточных сертификатов. Вы попробуйте договориться с КриптоПро. Но вам придётся доказывать, что ваша инфраструктура хранения, выписки и отзыва сертификатов соответствует всем условиям безопасности.
По-видимому, каждая сторона считает, что противник имеет возможность расшифровывать свои собственные алгоритмы.
я бы перефразировал, спец служба каждого государства знает как рашифровать свое и имеет большие проблемы с расшифровкой чужого СКЗИ. именно по этому в США были (а может и сейчас есть ) ограничения на длину ключей «гражданских» версий DES, RSA
по поводу отечественных шифров при работе с ПД, думаю закон сыроват в силу бестолковости наших законописателей и использование их при работе с конечными пользователями излишне и трудно реализуемо, но при обмене базами ПД между организациями и их хранении считаю логичным и обязательным использование ГОСТовских алгоритмов (с оговорками на переходный период для планового внедрения )
я бы перефразировал, спец служба каждого государства знает как рашифровать свое и имеет большие проблемы с расшифровкой чужого СКЗИ. именно по этому в США были (а может и сейчас есть ) ограничения на длину ключей «гражданских» версий DES, RSA
по поводу отечественных шифров при работе с ПД, думаю закон сыроват в силу бестолковости наших законописателей и использование их при работе с конечными пользователями излишне и трудно реализуемо, но при обмене базами ПД между организациями и их хранении считаю логичным и обязательным использование ГОСТовских алгоритмов (с оговорками на переходный период для планового внедрения )
Если попытаться понять требования, то возникают вопросы. А зачем этот ГОСТ нужОн, если есть RSA? Чем по нему шифрование так плохо? Может быть я чего-то не понимаю, но что мешает ФСБ сертифицировать RSA? Вся боль статьи не в том, что ПД не шифруются, а в том, что их требуется шифровать ГОСТ-ом.
вы предлагаете регулятору перестать регулировать, только потому что за него уже сделали всю работу. Вы плохо понимаете устройство государства. то же целые здания нужно освобождать.
А уж если вы про сертификацию импорта заговорите, зачем нужно проходить сертификацию лекарств, электроники, если они уже прошли сертификацию в ЕС… двойная работа, очень приятная в освоении бюджета вещь
А уж если вы про сертификацию импорта заговорите, зачем нужно проходить сертификацию лекарств, электроники, если они уже прошли сертификацию в ЕС… двойная работа, очень приятная в освоении бюджета вещь
И не забудьте, что зашифрованные данные может понадобиться расшифровать. И если там RSA, то не понятно, что делать. А вот если сертифицированный алгоритм, то понятно в какой папочке лежит утилитка для дешифрования ранее перехваченного трафика. Помним же, что строятся дата-центры для исполнения закона о прослушивании всех и всегда с последующим хранением записей годами?
Откуда же мы это помним? Если вы о сормах, то там все совсем иначе…
Я не о СОРМ'ах, а о законе Яровой по которому операторы должны сначала начать хранить метаданные за 3 года о том, кто, что, кому сообщил. А потом и сами данные за сколько-то лет. В 2016 году закон принимали.
«я не о фантиках, а о фантиках»))) Закон яровой обязал операторов хранить данные, это и стало тем самым СОРМ, железом с софтом которое пришлось провайдерам покупать и обслуживать на своих мощностях. Закон Яровой тем и циничен, им не только поставили крест на свободе рунета но и назначили тех, кто за это еще и будет платить. Это болезненное мероприятие убило порядочное количество мелких провайдеров, которые себе такие расходы позволить не могли. Ни каких датацентров ни кто для этого не строит, единственные подобные стройки, которые я знаю, в интересах налоговиков.
Если существует «утилитка для дешифрования ранее перехваченного трафика», то это означает, что в систему шифрования встроен бэкдор. А это, в свою очередь, означает, что рано или поздно эта утилитка (или даже ее более совершенный вариант) появится и у других заинтересованных в расшифровке сторон.
Как нельзя быть «немножко беременной», так и нельзя построить «немножко дырявую» криптографию.
Как нельзя быть «немножко беременной», так и нельзя построить «немножко дырявую» криптографию.
Так и я о том! Сначала исключительно ФСБ решает вопросы с неугодными, потом товарищ майор палки рубит при помощи утилитки, а так уже и братки со своими тюремными call-центрами будут не дорого покупать данные позволяющие быстрее и проще разводить немамонтов.
Не совсем понял тон Вашего комментария. Мне показалось, что Вы сомневаетесь в том, что в алгоритме могут быть закладки? Так опыт наших американских «партнеров» как бы тонко намекает на полезность для государства таких решений как «немножко беременная криптография».
Подробности 1
Подробности 2
Не совсем понял тон Вашего комментария. Мне показалось, что Вы сомневаетесь в том, что в алгоритме могут быть закладки? Так опыт наших американских «партнеров» как бы тонко намекает на полезность для государства таких решений как «немножко беременная криптография».
Подробности 1
Подробности 2
Я не сомневаюсь, что в алгоритме могут быть дыры — как непреднамеренные ошибки, так и намеренно внесенные закладки. Я сомневаюсь в «полезности» таких закладок, пусть даже для государства, представители которого считают себя эксклюзивными их пользователями. Эта эксклюзивность — лишь временная иллюзия, а кратковременная «полезность» со временем обратится в серьезную проблему для всех. И для тех самых «эксклюзивных» в том числе.
Если быть настолько параноиком — а что тогда мешает под ГОСТом зашифровать ещё чем-то (тем же RSA). Достал свою утилитку, расшифровал — а там следующий слой. Надо теперь для него другую утилитку...
Зачем выбирать что-то одно? Можно зашифровать ГОСТом поверх RSA, это должно всех устроить :)
А если расставить акценты иначе:
Оператор самостоятельно определяет границы ИСПДн.
И, если передача ПДн производится за ее границы (например, на монитор ПК пользователя портала), то оператор вправе определить, что этот ПК не входит в состав ИСПДн. И, следовательно, ПДн при такой передаче не должны защищаться в соответствии с требованиями ФСБ России.
Подтверждение возможности такого варианта в презентации Алексея Лукацкого:
youtu.be/SdgP6drfdNY?t=3568
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных
Оператор самостоятельно определяет границы ИСПДн.
И, если передача ПДн производится за ее границы (например, на монитор ПК пользователя портала), то оператор вправе определить, что этот ПК не входит в состав ИСПДн. И, следовательно, ПДн при такой передаче не должны защищаться в соответствии с требованиями ФСБ России.
Подтверждение возможности такого варианта в презентации Алексея Лукацкого:
youtu.be/SdgP6drfdNY?t=3568
Звучит душераздирающе, но фундаментально-нового ни чего. Кто не слышал о том, что «Суровость Российских законов с лихвой компенсируется не обязательностью их выполнения»? Если такие есть, с новостью вас!..
Начну издалека. Наши регуляторы в области ТЗИ — ФСТЭК и ФСБ (третьего умолчим, для нас он не важен) и они оба используют единый подход к решению задач безопасности как от организованной иностранной разведки, так и от Васи с биноклем. С той же криптографией, когда мы говорим о гос.тайне, разумно не доверять «вражеским» алгоритмам (aes, des и т.д.), а иметь свой и рассматривать его как стандарт, но когда речь о Васе, мне его жалко. ФСТЭК тоже свою нормативку пишет так, что страшно становится, но основная мысль того же формата «теоретически возможно — закрывай или бери на себя ответственность». При этом за гос.тайну родина готова платить, а персональные данные должен оплачивать кто-то…
На выходе имеем то, что имеем. Шаблон с излишним набором мер проецируют на общество в целом, тупиковость ситуации на определенном уровне понимается, но ни кто не торопится что-то менять. Мне вот не очень понятно, почему для полноценного пользования государственными слугами (я не только о портале госуслуги, но и о порталах для юр.лиц, там это существеннее) я должен покупать конкретный софт, функционал которого не дает мне преимуществ перед бесплатными аналогами. При этом регуляторы, опираясь на теоретические выкладки, требуют от производителя софта работать на уровне драйверов, а то и с ядром играть. О качественной работе и юзабилити такого ПО можно забыть. Кто знаком с сертифицированным випнетом, синий экран видит более чем часто.
И как итог, когда речь идет о ресурсе с массовым использованием, выставление требований в наличии коммерческого софта для его использования — серьёзный гвоздь в крышку гроба проекта. Нет адекватной реалиям нормативной базы от того и порядка нет, да и не предвидится в ближайшее время.
Начну издалека. Наши регуляторы в области ТЗИ — ФСТЭК и ФСБ (третьего умолчим, для нас он не важен) и они оба используют единый подход к решению задач безопасности как от организованной иностранной разведки, так и от Васи с биноклем. С той же криптографией, когда мы говорим о гос.тайне, разумно не доверять «вражеским» алгоритмам (aes, des и т.д.), а иметь свой и рассматривать его как стандарт, но когда речь о Васе, мне его жалко. ФСТЭК тоже свою нормативку пишет так, что страшно становится, но основная мысль того же формата «теоретически возможно — закрывай или бери на себя ответственность». При этом за гос.тайну родина готова платить, а персональные данные должен оплачивать кто-то…
На выходе имеем то, что имеем. Шаблон с излишним набором мер проецируют на общество в целом, тупиковость ситуации на определенном уровне понимается, но ни кто не торопится что-то менять. Мне вот не очень понятно, почему для полноценного пользования государственными слугами (я не только о портале госуслуги, но и о порталах для юр.лиц, там это существеннее) я должен покупать конкретный софт, функционал которого не дает мне преимуществ перед бесплатными аналогами. При этом регуляторы, опираясь на теоретические выкладки, требуют от производителя софта работать на уровне драйверов, а то и с ядром играть. О качественной работе и юзабилити такого ПО можно забыть. Кто знаком с сертифицированным випнетом, синий экран видит более чем часто.
И как итог, когда речь идет о ресурсе с массовым использованием, выставление требований в наличии коммерческого софта для его использования — серьёзный гвоздь в крышку гроба проекта. Нет адекватной реалиям нормативной базы от того и порядка нет, да и не предвидится в ближайшее время.
Вроде в законах нигде не описано, что цель — чтобы было лучше. Цель — иметь рычаг.
Едва ли. А рычаг в отношении кого и в чьих руках? Смысл его создавать если не пользоваться?
Проще все, гостайна есть давно, с ней что-то наработали, наизобретали, а тут ПДн… новый велосипед нужен. Зачем его изобретать? оставляем только передние тормоза и отрываем одну педаль — говорим сделали новый.
Проще все, гостайна есть давно, с ней что-то наработали, наизобретали, а тут ПДн… новый велосипед нужен. Зачем его изобретать? оставляем только передние тормоза и отрываем одну педаль — говорим сделали новый.
Рычаг в отношении компаний и частных лиц, кто занимается обработкой ПД в руках чиновников. Смысл — если компания или частное лицо становятся неугодными, их можно привлечь к ответственности за несоблюдение законов (мысли вслух).
ПДн это слишком узко, не эффективно для тех, кто законы пишет. В нашей демократической стране не обязательно нарушать чтобы пришлось доказывать, что не олень. Я вижу только раздолбайство со всех сторон в этом вопросе.
Здесь нет никакого раздолбайства. Суть закона о персональных данных была в требовании к иностранным компаниям перенести свои серверы на территорию РФ, после чего компании становились гораздо более внимательными и сговорчивыми к рекомендациям правоохранительных органов. Однако написать открытым текстом «перенесите серверы, а то заблокируем» тогда ещё стеснялись, поэтому это всё назвали защитой персональных данных. Разумеется, на сами персональные данные всем глубоко поср… ээээ, без разницы, что подтверждается тем, что ни разу никого не привлекли за какие-либо утечки ПД, коих в общем-то было миллион.
Спасибо за разъяснение, на это всем наплевать ровно до того, пока это не станет выгодным
Подскажите, а возможно протащить ГОСТовское шифрование в распространенные операционные системы, чтобы сертификаты с ним работали в обычных браузерах?
Если да, то пожалуй ФСБ, или кто там за СКЗИ занимается, стоит заняться этим, ведь это реально защитит рядовых граждан и обеспечит им «безопасный» канал связи из удобного браузера.
Если да, то пожалуй ФСБ, или кто там за СКЗИ занимается, стоит заняться этим, ведь это реально защитит рядовых граждан и обеспечит им «безопасный» канал связи из удобного браузера.
Я лишь предполагаю, но возможно проблема в некоторых странностях ГОСТовых алгоритмов.
Добавлять в операционки — верный путь. Но сейчас это не сделано даже для условно российских ОС типо AltLinux, Astra и т.п.
Как писал классик «чрезмерная строгость законов компенсируется необязательностью из исполнения». Короче, это у нас карма такая…
Ну если говорить про torgi.gov.ru, то там и ПДн особо нет, и в любом случае RSA это только на сам портал, а в личный кабинет уже шифрование по ГОСТ
Для каждого человека есть абсурдная статья, которая как бы и не применяется или применяется, но в другой формулировке, но если очень надо, то можно вас и посадить. Для каждого бизнеса — есть закон или другой нормативный документ, формулировки в котором настолько размыты, что только ваш личный ФСБшник или налоговый инспектор может разобраться, если вы конечно дружите с ними и не обижаете.
А запросить ответ от самого регулятора по данному вопросу и получить оф ответ, на который можно опираться, не? К чему эти домыслы пилить
Как раз в том году у нас была комиссия с аудитом по безопасности инф систем, похвалили что не сливаем все из личного кабинета в яндекс метрику или гугл аналитику, но сказали, что просто передача перс. данных с SSL сертификатом недостаточно. Даже VPN недостаточно, в идеале нужен прям отдельный физически канал данных, и сертифицированное от них оборудование для шифрования. Получается каждая интеграция с партнером требующая передачи перс. данных будет влетать в копеечку.
Подключался к ГИСЖКХ. Нужно было подключиться к их API и лить туда кучу инфы. На тот момент из стабильно работающего и доступного было только ПО от КриптоПро, позже опенсёрсное появилось. Помимо ВПН с шифрованием, нужно было еще все сообщения шифровать — двойное шифрование одним и тем же ключом правда. Нужно было еще ЭЦП купить да непростую а повышенной надежности, что тоже сертификационный центр только со второго раза смог сделать.
Зато когда заходишь на сайт ГИСЖКХ через браузер заморачиваться не стали и обычный SSL прикрутили, правда повешали уведомление «Работа через незащищенный канал» и кнопка «согласен». Так как на тот момент чтобы бразуер запустить по гостовскому TLS нужно было купить ПО от КриптоПро и без вариантов.
Зато когда заходишь на сайт ГИСЖКХ через браузер заморачиваться не стали и обычный SSL прикрутили, правда повешали уведомление «Работа через незащищенный канал» и кнопка «согласен». Так как на тот момент чтобы бразуер запустить по гостовскому TLS нужно было купить ПО от КриптоПро и без вариантов.
Ах да еще делал личный кабинет в конторе с госучастием, где безопасники пытались требовать — Сделай с ГОСТовским шифрованием.
Бюрократия была там на высоком уровне и требование мне поступило в виде служебной записки. Я им на согласование выслал ТЗ на доработку, где приложением была инструкция пользователя: купи ПО, настрой, потом сможешь в ЛК заходить. Так и запустили с обычным SSL.
Бюрократия была там на высоком уровне и требование мне поступило в виде служебной записки. Я им на согласование выслал ТЗ на доработку, где приложением была инструкция пользователя: купи ПО, настрой, потом сможешь в ЛК заходить. Так и запустили с обычным SSL.
Самым эффективным на сегодня было бы:
1 Оператор перс данных передает на госуслуги инфу чьи персданные, какие и с какой целью использует.
2 Каждый в своем ЛК госуслуг видит эту инфу и может нажать кнопочку — «Удалит мои песданные у этого оператора».
3 Оператор обязан удалить если нет причин оставить (еще не выплатили кредит и т.п.)
4 Звонит вам стоматология, если нет инфы что вы ей разрешаете обрабатывать свои перс данные — значит можно смело на нее жалобу в надзор.
Это бы лучше всех остальных мер защитило перс данные. А то сейчас согласие все берут и хранят вечно, а кого твои данные уже и не знаешь.
1 Оператор перс данных передает на госуслуги инфу чьи персданные, какие и с какой целью использует.
2 Каждый в своем ЛК госуслуг видит эту инфу и может нажать кнопочку — «Удалит мои песданные у этого оператора».
3 Оператор обязан удалить если нет причин оставить (еще не выплатили кредит и т.п.)
4 Звонит вам стоматология, если нет инфы что вы ей разрешаете обрабатывать свои перс данные — значит можно смело на нее жалобу в надзор.
Это бы лучше всех остальных мер защитило перс данные. А то сейчас согласие все берут и хранят вечно, а кого твои данные уже и не знаешь.
Идея неплохая, но если сделать сейчас так и заставить операторов ПДн регистрировать все данные им согласия в Госуслугах, то получится бардак, многие забьют на внесение информации, но продолжат обрабатывать ПДн и тогда образуется серая зона. Тогда уже надо отменять силу всех ранее данных согласий и попросить чтобы субъект ПДн, там где ему нужно снова дал согласие с авторизацией через ЕСИА.
Не знаю как в РФ, в UA для гос органов сделали исключение, что можно не удалять, по требованию.
Для остальных — тоже, но в рамках "необходимости хранения бухучета"
Если бы, да кабы… Нужно понимать, что любая партия и ЕР в том числе, это лишь представители своей группы «элит», бизнесов. Соответственно, эти самые элиты окупают свои расходы за счет лоббирования интересов своей группы. Когда такие группы уравновешены, это несет адекватный результат, когда как у нас… К этой «элите» относятся люди имеющие интересы в банковском секторе, в страховании, в прочих, где холодное задалбливание окружающих основное направление маркетинга. Зачем им геморрои с персональными данными? С какого вдруг кто-то решит свои перс данные удалить из его базы? Пусть письменно об этом придет и напишет, а если письмо пришлет, то скажем, что с чистым листом письмо было, и наплевать заказное или нет, не видели.
Из личного опыта, «подаешь документы в налоговую о регистрации юридического лица, у налоговой 3 дня!!! на принятие решения о регистрации, но из сбера вам позвонят уже на следующий день с предложением открыть РС для юр.лица». Позитивненькое взаимодействие налоговой и сбера, не правда ли?
Если интересуетесь тем, что последние годы генерят наши нормотворцы… в начале каждой бумажки можно добавить «Бояре решили, что челядь теперь должна:», смысл становится более понятным. И тема ПДн твоих мало кому интересна, ибо какие на… ПДн у челяди?
Из личного опыта, «подаешь документы в налоговую о регистрации юридического лица, у налоговой 3 дня!!! на принятие решения о регистрации, но из сбера вам позвонят уже на следующий день с предложением открыть РС для юр.лица». Позитивненькое взаимодействие налоговой и сбера, не правда ли?
Если интересуетесь тем, что последние годы генерят наши нормотворцы… в начале каждой бумажки можно добавить «Бояре решили, что челядь теперь должна:», смысл становится более понятным. И тема ПДн твоих мало кому интересна, ибо какие на… ПДн у челяди?
Но как в итоге оказалось – нет ничего более обязательного, чем что-то рекомендуемое ФСБ России.
Какие и от кого будут санкции, если не будете следовать методическим рекомендациям от ФСБ? Вся смысловая цепочка статьи замыкается на тот, что эти методические рекомендации всё-таки обязатыельны к применению. Но вот почему они обязательны, явно не указано.
Тем временем www.fsb.ru и kremlin.ru недоступны по https
Информация почему перестали использовать RSA отсутствует, сроки внедрения ГОСТа тоже
Информация почему перестали использовать RSA отсутствует, сроки внедрения ГОСТа тоже
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Почему все порталы с персональными данными вне закона с 2008 года и как получилось, что всем плевать, в том числе ФСБ