Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 37
Строго говоря, в процитированном письме не написано, что данные надо отправлять по электронной почте. Просто даны контакты ответственного за сбор данных лица.
Там к письму идёт файл с примером для заполнения.
Да и архивы с шифрованием пока никто не отменял.
Возможно, речь идёт о официальном деловом письме с запросом, которое отправляется на главную почту юрлица
В таком случае необходимо отвечать таким же официальным деловым письмом, также на электронную почту.
Обычно в таких письмах снизу ещё указывают инициатора запроса с номером и ФИО.
Во-первых, способ ответа, а уж тем более категорию его конфиденциальности, выбирает отправитель.
Во-вторых, официальное письмо в принципе не должно приходить на электронную почту. Такая практика полуофициально существует для юридически незначимых писем, но получатель всегда может отрицать их получение, поскольку электронная почта не гарантирует доставку и не выдаёт (как правило) подтверждений получения. Юридически значимым способом является бумажная почта с подтверждением получения, или факс на официальный номер с подтверждением получения (если есть), или корпоративная система гарантированного обмена сообщениями (если есть).
Я бы вообще на любой запрос от государственных органов рекомендовал отвечать только в бумажном виде под протокол (или, вроде, это как-то можно делать сервисом электронных заказных писем “Почты России”). Можно иногда для ускорения отправить вторую копию бумажного письма по электронной почте, но не более того. А то упадёт это электронное письмо в спам в министерстве, там потом скажут “мы не получали”, отключат VPN, и привет огромные штрафы от ЦБ за неработающий сервис.
А в данном случае вообще нечего думать. Если банки считают свою информацию конфиденциальной и не имеют при этом системы электронной доставки конфиденциальных сообщений адресату, то только ФГУП "Спецсвязь России". Оно специально для этого и существует. Приедут мужики с автоматом и обеспечат защищённый канал.
При этом, собственно, совершенно неважно, что подразумевали люди из министерства (если даже они подразумевали что-то другое, в чём я не уверен). Если обязан защищать информацию – защищай.
Цирк с конями. Так и представил, как сбер подключается к впн через hidemyass
Да нет, это для ситуаций, когда филиалы связаны между собой через VPN. Чтобы, когда захочется погасить весь vpn по известным сигнатурам — банки не пострадали.
Кроме банков из филиалов состоят и другие организации, включая топливно-энергетический сектор. Он как-бы критичнее в этой ситуации. Но там исторически больше завязано на физические каналы. Может после сбора информации с банков, их тоже заставят стать ближе к физике.
Не верю что они смогут всё выборочно погасить, сейчас это не получается. Проще тогда вообще интернет внешний выключить. А есть ещё всякие Shadowsocks и v2ray, до них вообще не доберутся долго.
Какая разница, во что вы верите. Речь про белые списки айпишников, которые блочить не надо. Например, протокол QUIC (http/3) в целом блокируется, но до избранных сайтов типа вкашечки работает.
Они же поставили китайские DPI всюду, в чем проблема гасить по сигнатурам? У Китая вполне выходит, и даже shadowsocks с v2ray надо еще правильно настроить, чтобы он работал нормально, а не прибивался через 10 минут на сутки.
Сбер VPN не использует внешний Интернет, не факт, что они вообще Интернет, а не Интранет используют.
А как быть что вполне может быть ситуация когда человек имеет доступ к банковскому VPN(для работы на банк, с домашнего компа) но при этом также имеет и вовсе даже не банковский VPN (например для случая если опять заблокируют github).
Это вообще учитывается?
А если при этом еще и не собрали адреса таких пользователей или адрес динамический?
человек имеет доступ к банковскому VPN (для работы на банк, с домашнего компа)
А это вообще законно? Разве банк не обязан иметь охраняемый периметр? Я просто не в курсе.
Центральный филиал подключается к допофисам через VPN. Виртуальную частную сеть.
Интересно там есть требование подписывать эти письма ЭЦП банка? Их кто-нибудь проверят? А то вдруг можно свои ВПНы под шумок в белый списочек пропихнуть.
Банки правы. Передача информации о сетевой инфраструктуре третьим лицам по незащищенным каналам - это прямое нарушение требований пункта "1.4.5 The disclosure of internal IP addresses and routing information is limited to only authorized parties" PCI DSS v4.0.
Вот это напрягает:
Минцифры и РКН ежеквартально запрашивает от ряда госкомпаний, госкорпораций и крупных банков отчёт об использовании VPN-сервисов. Это необходимо для того, чтобы в случае текущего процесса блокировки гражданских VPN-сервисов случайно не заблокировать банковские системы связи.
Иначе говоря выпиливание гражданских VPN поставлено на поток.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Банки РФ против требования ЦБ передавать информацию об использовании VPN в Роскомнадзор по незащищённому каналу