Организация защищенного канала - Форум по вопросам информационной безопасности

Добрый день!
Цель: компания А каждый день передаёт данные с ПДн компании Б. Организовать обязана всё компания Б.
Подскажите, есть ли какие-то способы организации защищенного канала передачи между двумя компаниями полностью соблюдая при этом фз 152?
Прошу прощения за дилетантский вопрос.

Можно настроить защищенный канал с использованием ViPNet-технологии или с использованием любых иных сертифицированных ФСБ средств.

Можно передавать отделяемые носители, данные при этом должны быть зашифрованы. Например, можно использовать ПО SafeDisk.

Я правильно понимаю, что компания Б не может установить на ПК компании А решения по шифрованию трафика, если не имеет при это лицензии фсб на криптографию?
Как тогда быть?

Если выберите ViPNet, то обратиться в организацию, которая имеет лицензию на криптографию и у них закупить данное ПО

to Анатолий | 68682

ViPNet не работает как самостоятельное отдельное приложение, ему нужны Координатор и ViPNet-Администратор для формирование ключевой информации...

Вариант, только шифрование файлов самостоятельным решением, и передача их по любым каналам связи...

to Человек
Варианты бюджетные: кодирование (читай, то же шифрование, но не по ГОСТ); архивация с паролем; обезличивание...
Минус - подходит не везде и не всегда. Подробности - Гугл и анализ открытой НМД (особенно, 21 Приказ ФСТЭК).

Варианты стандартные: шифрование каналов связи по ГОСТ (ФСБ, все дела) с использованием программных комплексов; шифрование по ГОСТ передаваемых файлов отдельно (без канала связи); кодирование средствами сертифицированных СЗИ ФСТЭК России.
Минус - теряется мобильность, необходима лицензия на выполнение работ (при ГОСТ-шифровании), необходима установка сертифицированных СКЗИ (ФСБ) или СЗИ (ФСТЭК) + дальнейшие ворохи инструкций и организационно-режимных мероприятий.

Варианты стандартные-расширенные: шифрование каналов связи по ГОСТ с использованием программно-аппаратных комплексов.
Минус - все минусы "стандартных" вариантов, а также сложность внедрения и цена решения.

Варианты грамотные: шифрование каналов связи по ГОСТ с использованием отчуждаемых защищенных криптоносителей.
Минус - нужны лицензия ФСБ на установку и настройку + грамотные специалисты (также и из числа лицензиатов), иначе все это не заработает и принесет только разочарование владельцу. Отсюда и редкость+уникальность решений.

*в сторону* И не надо говорить, что единственный вариант - применение ViPNet. Так и рождаются нездоровые сенсации, которые потом уставшим людям приходится расхлебывать. То сертификат не продлен или отсутствует, то КС2 при Н3+, то завязка на недобросовестного-владельца-сети-которого-уже-нет...

to oko
Большое спасибо за обстоятельный ответ!
1) Бюджетный вариант не подходит, т.к. не соблюдаем тут законодательство
2) Стандартный вариант это по типу: зашифровали с помощью связки криптопро+криптоарм гостом и передали по незащищенному каналу? Вопрос: а если обе компании выпустили сертификаты, например, в УЦ и таким образом стали обмениваться, то в таком случае разве нужна лицензия ФСБ?
3) Про грамотный вариант: можете на пальцах объяснить как это должно выглядеть? Обращаюсь к лицензиату ФСБ, он ставит в компании А и Б программное решение, выпускает ключи шифрования, всё законно?

to Человек
1. "Бюджетный вариант" может подойти. Все зависит от уровня защищенности вашей ИС, а также грамотности внедрения и последующего обоснования регулятору...
2. "Стандартный вариант" - это и криптоармы, и vipnet client, и любой другой программный комплекс, который либо шифрует поток трафика между нодами, либо позволяет шифровать конкретный файл, пересылаемый в открытый канал. Эксплуатация таких СКЗИ должна проводиться в полном соответствии с требованиями ФСБ. В частности, 378 приказ (как раз про ПДн) и, увы, зачастую, 152 инструкция ФАПСИ...
3. "Грамотный вариант" комментировать не буду. Не потому, что это тайна за семью печатями, а потому, что могу вас окончательно запутать. Скажем так, то, что вы указали - это модификация "стандартного варианта". Все равно на рабочие станции (серверы) организаций что-то устанавливается на постоянной основе. Или в сетевую структуру внедряется...
Если весь вопрос в том, нужна ли лицензия ФСБ на проведение подобных работ, то "для собственных нужд" не нужна - требуется только для оказания услуг. И, если положения по защите ПДн организации Б обязывают ее интегрировать СКЗИ в свою среду, а также в среду организации А, то она так же не оказывает услуги по СКЗИ. Но парадокс в том, что для этого изначально организация Б должна подтвердить соответствие своей системы защиты (ее необходимости, стойкости и т.д.). Что без привлечения лицензиатов (ФСБ и ФСТЭК) сделать будет проблематично. Также, помятуя ту самую инструкцию ФАПСИ, которую весьма любит наш "другой регулятор", и организации Б, и организации А могут вменить "противоправные действия", если для обеспечения их безопасного взаимодействия с использованием СКЗИ не был привлечен соответствующий лицензиат...
Как будут обстоять дела в вашем случае - не рискну предполагать (собственно, и данных для анализа почти 0). Но, как говорится, описанные выше случаи "знаю, видел даже" (с)

Очень интересно было бы видеть идеальное решение, что бы криптография различных производителей была совместима между собой. Но пока такое не достижимо.

Есть еще один вариант, что бы не покупать своего администратора и прочее оборудование. Так это обратиться к лицензиату ФСБ и попросить его сдать в аренду зашифрованный канал связи. То есть вы будете платить ежемесячную абонентскую плату. Законодательство позволяет такое реализовать. Но можно ли такое реализовать в вашем случае, необходимо разбираться более предметно.


Петрушенко Федор
komrunet.ru

В качестве альтернативы ViPNet-у можно рассмотреть С-Терра. Есть сертифицированные программные продукты (довольно бюджетные) и система управления не обязательна.

И, кстати, используется стандартный протокол - IPsec, а не проприетарщина как у инфотекса и прочих. Если все производители будут использовать стандартные протоколы и выполнять рекомендации ТК26, то и совместимость появится.

Best Regards,
Pavel Ivanov