Организация защищенного канала - Форум по вопросам информационной безопасности

А как на счет обмена файлами по электронной почте с использованием криптографии на основе сертификатов (открытых закрытых ключей) (как правильно все это называется я не знаю)?

https://www.cryptopro.ru/sites/default/files/docs/smime.pdf

Обмен осуществляется через почтовый клиент (например OUTLOOK, windows mail live 2012). Шифрование почты выполняется на основе сертификатов, которые выдаются в УЦ. Организации А и Б заказывают для себя квалифицированную электронную подпись (далее КЭП). Требования к электронной подписи: КЭП, юридически значимая, для шифрования и подписания, должен быть указан адрес электронной почты, с которого будут отправляться подписанные письма с вложениями содержащие ПДн..
Для работы с КЭП нужна программа КриптоПро CSP. Скорей всего она уже есть.

Заключается соглашение/договор о передаче электронных документов с использованием КЭП между А и Б.

Расходы: носитель для КЭП - 2000 руб. КЭП на один год - 1500 руб, крипто про 2000 руб.

Нужны ли сертифицированные версии почтовых клиентов, криптопро - не знаю.

Обмен через e-mail довольно интересное решение.

Одной из проблем при такой передачи данных, может быть лимит на объем отправляемых данных. Если нужно передавать гигабайты данных, то такой канал малоэффективен.

Только "защищенный e-mail" не тянет на звание "защищенный канал"... разве что в широком смысле обоих слов...
И кстати, кто-нибудь в курсе, у КриптоПро есть криптопровайдер под *nix? А то повальный перевод машин на Win10 уже давно попахивает необходимостью рассмотрения угроз НДВ 1 типа... что на общеизвестной сертифицированной криптухе (согласно 378 приказу) сказывается не лучшим образом...

Для oko.
Какие-то продукты под *nix-ы у них были. Как сейчас - уже не в курсе, отошел от этих дел.

to zGORY
Спасибо!
Собственно, уже сам нагуглил: https://www.cryptopro.ru/category/faq/linuxunix.
Вопрос более в том, как обстоят дела с эксплуатацией этих продуктов.

Для oko
Попробуйте там же на форуме посмотреть/спросить.

Обязательных требований по сертификации СКЗИ теперь нет.
Приказе №58 был явный пункт 3.1.7, где прямо говорилось о том, что вся криптография должна быть сертифицирована. Сейчас этот нормативно-правовой акт не действует.
Вопрос: как убедить руководство (коммерческой организации) в использовании сертифицированных ФСБ средств шифрования, при передачи ПДн (работников и клиентов) по открытым каналам связи.

to kotap
Во-первых, ПП №1119. Во-вторых, Приказ №378 ФСБ России.
Обойти необходимость внедрения сертифицированных СКЗИ можно:
- либо обосновав принципиальное отсутствие угроз (каким-то волшебным образом, ага);
- либо сославшись на существующую защиту канала (на базе зарубежных криптоалгоритмов), назвав это "кодированием", но не называя это все "системой защиты каналов связи";
- либо применив сертифицированные СЗИ ФСТЭК, которые как раз подобное "кодирование" реализуют в своем составе, но шифровальным средством не считаются.
Все это через Модель угроз и нарушителей.
В противном случае, придется использовать именно СКЗИ. При этом сертифицированные ФСБ под нужный класс. А класс этот уже вытекает из уровня защищенности ИСПДн (согласно 378 Приказу).
Как-то так (если на пальцах объяснять, ага)...

А если надо организовать закрытый канал связи между двумя юр.лицами для передачи конфиденциальной информации (ДСП, пдн), то какие мероприятия надо провести?...Установить на оконечники сертифицированные скзи(например vipnet) и аттестовать их ?

to Юля
В целом, да. Но много нюансов.
Обратитесь к ближайшему лицензиату ФСТЭК России в области технической защиты конфиденциальной информации. Объяснят. Ибо через форум будет долго, и текста потребуется много. Впрочем, если хорошо поискать, то и на этом форуме можно найти ответы на все интересующие вопросы.