Size: a a a

Чат ruCyberSecurity

2019 July 16

AD

Artem Dorofeev in Чат ruCyberSecurity
Andrei Potseluev
Не совсем так. Граждане не работают непосредственно в ГИС. Но, Вы на правильном пути. 😉 ФСБ сейчас активно педалирует тему о ГОСТовом шифровании на государственных ресурсах в Интернете. Но пока все на уровне разговоров, планов, пожеланий и т.п. Хотя, при желании, такое осуществить реально.
а откуда вывод что пользователь не работает в ГИС?
источник

AD

Artem Dorofeev in Чат ruCyberSecurity
Пример, федеральный портал госуслуг. ГИС, но незащищается отечественной криптографией, а граждане получаются пользователями ГИС.
источник

ДК

Дмитрий Калинин... in Чат ruCyberSecurity
на госулсугах мы не работаем, мы получаем там услуги
источник

AP

Andrei Potseluev in Чат ruCyberSecurity
Artem Dorofeev
а откуда вывод что пользователь не работает в ГИС?
"Есть ГИС регионального масштаба к которой граждане региона" у вас граждане могут работать в ГИС? Вы путаете т.н. внешних и внутренних пользователей. Вторые имеют доступ к инструментам по работе с данными ГИС, к самим данным. Там ГОСТ. Первые "граждане" могут только вводить туда свои данные. Получить доступ к чужим они не могут. Они не пользователи ИС, в полном понимании, если можно так выразиться.
источник

ДК

Дмитрий Калинин... in Чат ruCyberSecurity
данные мы туда предоставляем для их обработки, а не обрабатываем в гис, если еще проще
источник

AD

Artem Dorofeev in Чат ruCyberSecurity
Andrei Potseluev
"Есть ГИС регионального масштаба к которой граждане региона" у вас граждане могут работать в ГИС? Вы путаете т.н. внешних и внутренних пользователей. Вторые имеют доступ к инструментам по работе с данными ГИС, к самим данным. Там ГОСТ. Первые "граждане" могут только вводить туда свои данные. Получить доступ к чужим они не могут. Они не пользователи ИС, в полном понимании, если можно так выразиться.
т.е. если по каналу связи пользователь передает только свои данные и получает только свои результаты оказания госуслуг, защищаться ГОСТом не обязательно? на что сослаться чтобы обосновать подобный вывод?
источник

ДК

Дмитрий Калинин... in Чат ruCyberSecurity
наверное то что пользователь это третья сторона за защиту котороый вы как бы не несете ответственности. А то получается что чтобы зайти в госуслуги мне надо себе за домашним компом или телефоно аттестаю по 1 классу делать?)
источник

ДК

Дмитрий Калинин... in Чат ruCyberSecurity
пользователь в данном случае не являетя сегментом гис
источник

AP

Andrei Potseluev in Чат ruCyberSecurity
Artem Dorofeev
т.е. если по каналу связи пользователь передает только свои данные и получает только свои результаты оказания госуслуг, защищаться ГОСТом не обязательно? на что сослаться чтобы обосновать подобный вывод?
В явном виде, скорее всего, сослаться не выйдет. Просто сделать документацию на систему соответствующим образом. Т.е., грубо говоря, границу ГИС провести по пограничному МСЭ. А что за ним, к ГИС отношение не имеет.
источник

VM

Vladimir Minakov in Чат ruCyberSecurity
Artem Dorofeev
т.е. если по каналу связи пользователь передает только свои данные и получает только свои результаты оказания госуслуг, защищаться ГОСТом не обязательно? на что сослаться чтобы обосновать подобный вывод?
ПРиказ 378 - подзаконный ФЗ-152
9. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:

в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.
источник

VM

Vladimir Minakov in Чат ruCyberSecurity
Сложно будет. Вообще приказ есть. Почему Госуслуги игнорируют - самому интересно. Вендоры давно продают TLS-решения, сертифицированные ФСБ. В регионах уже внедряют такие решения. Сам проектировал.
Яндекс должен поддерживать сертифицированные TLS. Есть ещё браузер спутник
источник

А

Алена in Чат ruCyberSecurity
Вот как-то мне вообще странно такой подход слышать от безопасников. Представьте, что так будут банки подходить к защите интернет-банков. Вот тут у нас сервер, мы тут кучу сзи навешаем, а клиент со своего устройства пусть данные хоть в открытом виде шлет - это не наша зона ответственности
источник

AD

Artem Dorofeev in Чат ruCyberSecurity
Vladimir Minakov
Сложно будет. Вообще приказ есть. Почему Госуслуги игнорируют - самому интересно. Вендоры давно продают TLS-решения, сертифицированные ФСБ. В регионах уже внедряют такие решения. Сам проектировал.
Яндекс должен поддерживать сертифицированные TLS. Есть ещё браузер спутник
так в том то и дело что это лишние телодвижения со стороны пользователя. Спутник и яндекс не поддерживают гост-tls без гост криптопровайдера.
источник

VM

Vladimir Minakov in Чат ruCyberSecurity
Artem Dorofeev
так в том то и дело что это лишние телодвижения со стороны пользователя. Спутник и яндекс не поддерживают гост-tls без гост криптопровайдера.
Лежит в откртытом доступе по КС1. ПРосто скачать
источник

AD

Artem Dorofeev in Чат ruCyberSecurity
Vladimir Minakov
Лежит в откртытом доступе по КС1. ПРосто скачать
очень сложно с точки зрения неподготовленного пользователя (гражданина) скачать и установить криптопровайдер, при том что в некоторых случаях они конфликтуют с уже установленным ПО и друг сдругом. Про мобильные устройства вообще молчу, нет  решений которые бы на iOS или дроиде позволяли через браузер  работать по гост tls.
источник

AD

Artem Dorofeev in Чат ruCyberSecurity
там же еще и цепочку доверия до УЦ строить который серт для веб сервера выдал.
источник

AD

Artem Dorofeev in Чат ruCyberSecurity
со всеми этими телодвижениями госуслуги бы не получили такой распространенности. Наверное именно по этому там еще нет гост TLS - гонятся за цифрами в статистике оказанных услуг в эл. виде
источник

AD

Artem Dorofeev in Чат ruCyberSecurity
а в регионах  уже штрафуют  😔
источник

PK

Pavel Korostelev in Чат ruCyberSecurity
Artem Dorofeev
а в регионах  уже штрафуют  😔
А по какой статье гк?
источник

AP

Andrei Potseluev in Чат ruCyberSecurity
Алена
Вот как-то мне вообще странно такой подход слышать от безопасников. Представьте, что так будут банки подходить к защите интернет-банков. Вот тут у нас сервер, мы тут кучу сзи навешаем, а клиент со своего устройства пусть данные хоть в открытом виде шлет - это не наша зона ответственности
Не надо передергивать. Речь шла не про открытый вид, а про не ГОСТ шифрование. И, да, банки не ГОСТ используют только в путь.
источник