ч.2 ст.13.12 КоАП, дополнительно ссылаются на указ Президента РФ от 3 апреля 1995 г. N 334

Спасибо!

А как-же это? Или отменили? http://www.fsb.ru/fsb/science/single.htm!id=10437738@fsbResearchart.html

Это совсем про другое

там статья другая

хотя если документарно формить, что за МСЭ ГИС уже получается сеть интернет, то можно выкрутиться

есть же вроде пунктик, что при работе в гис, исклчается возможность работы в других сетях, т.е интернете) как вы это тогда обходите 😁

тогда получается, что портал госуслуг не гис?

или гис, но работающая с нарушениями, при утсранении которых не сможет сиполнять своей основной функции

гис, и работает он на прямую с другими гис, например через них можно записаться на прием к врачу в рс егисз)

так при работе с другими гис используется защищенный канал СМЭВ. а при работе с пользователями канал защищается негостовым tls, что получается подпадает под статью КоАП

Требования 378 Приказа ФСБ актуальны для любых ИСПДн (и ГИС, и не ГИС)

Да. Но в том и вопрос, что считать границей ИС.

Тут, на самом деле, прикол еще вот в чем. Если мы считаем, что канал до пользователя, это тоже часть ГИС, то и компьютер пользователя тогда тоже АРМ, входящий в ГИС. Со всеми применяемыми к нему требованиям. Плюс, ГИС подлежит обязательной аттестации. Аттестат подразумевает неизменность параметров ИС. Т.е. мало того, что новые пользователи подключиться не смогут, надо еще как-то запретить отключаться и менять состав ПО на своих компьютерах старым. Отсюда вывод, что пользователи со своими компьб\ютерами не часть ИС. А если так, то и каналы к ним тоже.

я тоже так думал) но все же, пользоатель не гис, но средство защиты должно быть сертифицировано. Когда пользователь вводит свои данные в браузере, он уже вносит их в ис, и канал должен быть защищен. На данный момент эта защита не сертифицирована, и не может быть сертифицирована в том плане что экосистемы под гост шифрование в Росиии просто тупо нет

У вас передаваемые данные, защищаются несертифицированной криптой, что уже противоречит требованиям ФСБ вне зависимости от того, как вы нарисуете  границы ИС

Не согласен. Посмотрите, например, ngate.
Как вариант, можно просто попробовать прикрутить cryptopro csp к iis,  например. Но, говорят, гимор.

Эти свои требования проверяет, вроде как, только сам ФСБ. И если ГИСы, вроде бы, периодически проверяются, на комерсов, по большому, просто забили. Во всяком случае пока.

Нужно начинать не с этого. Защищать нужно только передаваемые ПДн. Их можно защищать не только криптой, но и другими мерами. Зависит от модели угроз. ТЛС можно использовать не сертифицированный для защиты аутентификационной информации. Соответственно ТЛС используем для защиты пароля. А пдн мы по каналам пользователю не передаём, он это делает сам.
Посмотрите реализацию сайтов фстэк и ркн с их ТЛС и формами сбора пдн.

Когда вы подключаетесь к Госуслугам, вы получаете от них ваши же персданные, которые уже есть там. Можете ничего туда не передавать, но Госуслуги должны защитить то, что они передадут вам.