În general, definiția suficienței măsurilor de protecție tehnică nu este în totalitate competența lui Roskomnadzor.
A fost necesar să se aplice serviciilor de stat retragerea consimțământului pentru transfer prin canale de comunicare deschise.
Așteptați termenul limită, verificați dacă portalul personal este încă accesibil prin Internet
și apoi să depuneți o plângere la Roskomnadzor.
În ILV, am scris mai degrabă cu întrebarea dacă mi-a fost legitim să fiu de acord cu transferul PDD-urilor mele prin intermediul canalelor de comunicare deschise.
"Retragerea consimțământului" între serviciile de stat de pe site nu este listată :). Da, și îmi place acest site. Timpul scapă și nu puteți sta în linie.
Se pare că existența oricărui consimțământ nu scutește de la îndeplinirea cerințelor legii "cu privire la protecția drepturilor subiectului", incluzând activitățile de protecție a datelor. Ei nu recunosc datele ca fiind disponibile în general, ceea ce ar putea conduce la clasa a IV-a.
Serghei
TLS pentru clienți este gratuit, ceea ce este cazul cu CryptoPro că Vipnet. Deci, pentru organizarea unui canal TLS criptat, este suficient să punem un CSP complet pe server și toți clienții să nu plătească pentru nimic.
Și nu este nimic de privit la UPEU. RTC și un birou comercial mic nu sunt comparabile în termeni de capacități. Inclusiv în domeniul juridic.
Dacă totul este atât de simplu și gratuit, atunci rămâne să fii surprins că nimeni nu o folosește (există exemple de site-uri mari cu GOST SSL?).
Răspunsul din al doilea paragraf - nu au nevoie de el, deoarece nu au un caplet)
Dar serios - i-am văzut. Dar link-urile vor da incorecte =)
Probabil, deoarece necesită modificarea toate același site si au licenta FSB-ului de încorporare, care până de curând ar putea fi obținute numai în centrul de al 8-lea, și apoi o alta, și de a efectua încorporarea în procedura de corectitudine în același centru opta. Și ce se va întâmpla cu această corectitudine a încorporării după modificările de pe site - nu este clar.
Există multe lucruri, dar stimulentele nu sunt foarte multe - autoritățile de reglementare rareori pot vedea o încălcare în astfel de cazuri, de parcă nu au pedepsit niciodată pe nimeni pentru a transmite fără criptare.
Serghei
Michael, mi-e teamă să întreb. Și dacă utilizați un client TLS gratuit (pentru client) bazat pe GOST (Crypto-PRO, acolo sau VIPNet) pe client, nu este nevoie să instalați nimic. Ei bine, clientul nu plătește bani, dar, oricum, poate lucra cu site-ul numai cu un ARM specific echipat cu o bibliotecă criptografică client, care în sine nu poate fi realizată, în principiu, în principiu. Ei bine, cel puțin în aceleași chioșcuri de informații sau pe dispozitive mobile.
La un moment în care Internetul este plin de baze de date PD de la diferite agenții guvernamentale, precum și cu privire la originile lor nimeni nu a informat public nu sa deranjat să-i spun și nimeni nu îngrijorat cu privire la astfel de încălcări masshataba, luarea în considerare a problemei - un fleac.
Și răspunsul dat de Roskomzadzor, chiar și în partea sa, este incompetent și este conceput pentru a înghițui în mod oficial întrebarea. Despre acord nu se răspunde nimic.
În acest caz, ILV, fiind exploatator al acestui sistem, are cu siguranță specialiști care, inclusiv, Certificat emis pe K1. Prin urmare, este în competența sa să răspundă competent cu privire la acest sistem. Ce nu poate fi văzut.
Una este chiar faptul că certificatul există deja, iar certificarea este încă în valoare de laudă! Aceasta este o încălcare directă a procedurii specificate în poziția privind certificarea.
Cu credincioșia ta.
Probabil, este extrem de incomod să treci pe rake, pe care autoritățile de reglementare însuși au strangulat-o.
Într-o emisferă a statului de stat aypad, serviciul de stat și SMEW, în cealaltă - PEMIN, GOST și certificare. Rămâne să-i facem prieteni :)
Punctul 1 din apendicele la ordinul 58 - Metodele și metodele de protecție a informațiilor împotriva accesului neautorizat pentru a asigura securitatea datelor cu caracter personal în sistemele informatice din clasa a patra și caracterul adecvat al aplicării lor sunt determinate de operator (persoana autorizată).
MU pentru aceste sisteme de tine pe bună dreptate, date impersonale și publice pot recunoaște amenințările la adresa vieții private și integritatea datelor transmise pe Internet irelevante, și, astfel, elimina utilizarea CIPF
K4 este protejat în conformitate cu "dorințele" operatorului,
Bună ziua!
Spuneți-mi, site-ul nostru funcționează ca un portal educațional. Vizitatorul este înscris numai prin numele complet, iar orașul, școala, clasa, performanța academică este preluat din baza de date a școlii. Toate acestea sunt afișate în profilul utilizatorului (cum ar fi rețeaua socială).
Vrem să achiziționăm certificatul Crypto-pro și SSL de la Crypto-pro pentru a ne asigura că transferul de PDN de la serverul web către browser-ul utilizatorului și înapoi este în conformitate cu legea.
1. Facem ce trebuie? Este meritat?
2. Suntem singuri?)
Cu sinceritate, Anastasia.
Complement - se presupune că utilizatorul va trebui să descarce un client gratuit Crypto-pro înainte de a utiliza portalul.
Înlocuiți numele elevului cu numărul biletului școlar (sau alt identificator unic) - puteți?
dacă da, atunci nu veți putea comunica deloc cu CIP și GOST.
Din păcate, nu. Numele complet va fi prezent.
Anastasia, aceasta este doar opțiunea de a descărca clientul ridică întrebări, pentru că. Aceasta este o metodă nesigură de obținere a unei distribuții certificate. Citiți thread-ul forumului CryptoPro
Nu trebuie să uităm certificatul editorului, pentru a construi lanțul de certificare înainte de certificatul site-ului, de asemenea, să primească un mod de încredere, nu este inclus în mod implicit în lista de rădăcini.
Bună ziua!
Există o întrebare despre licența gratuită a KriproPro pe site-ul clientului. În ceea ce am înțeles din documentația și comunicarea unui TP - este potrivit doar pentru autentificare-un singur sens, de îndată ce vine din plin - cu referire la certificatul personal (și container) client - Nasol, nevoie de versiunea pentru 1800, gratuit nu va funcționa.
Aveți nevoie de autentificare completă pentru a organiza accesul la PD prin Internet - asta e întrebarea. Nu am gasit un raspuns lipsit de ambiguitate in legi, ci pe baza practicii existente (de exemplu, accesul la informatiile din Biroul de istorie a creditelor) - da, ai nevoie de unul complet, cu un certificat de client personal si un container pe token. Cine poate spune ceva despre asta?
Și dacă plecăm de la logica muncii:
1) Există o anumită resursă de informații pe server care conține PD. 2) Există utilizatori care au dreptul de a accesa această resursă.
În primul rând, este logic să autentificați utilizatorii (li se permite să vizualizeze PD) și, în al doilea rând, pe server (înlocuirea serverului în acest scenariu nu are sens, cu excepția furtului de parole).
Criptarea în conformitate cu GOST - totul este clar, iar versiunea gratuită va fi criptată.
clauza 2.7 și clauza 2.8 a ordinului 58 vorbesc destul de neechivoc despre autentificare în două sensuri.
Cu toate acestea, aceeași comandă vă permite să verificați autenticitatea numai a utilizatorului și a parolei.
utilizarea autenticității reciproce stabile pe certificate este complet plasată în schema de protecție a PDD oferită de autoritățile de reglementare, dar nu este direct produsă de aceasta, IMHO.
Pentru a rezolva este necesar, în fiecare caz concret, să se procedeze din punct de vedere al eficienței / costului, în loc de prezența bastoanelor din partea autorităților de reglementare.
Cu toate acestea. Și există o justificare juridică (legala :)) pentru o astfel de organizare a muncii din partea ILV? În sensul că răspunsul lor privat se poate aplica numai unei situații specifice cu o anumită persoană (fizică sau juridică)? De exemplu, Ivan Ivanov a cerut RCV-ul cu privire la legitimitatea și suficiența protejării PDN-ului său atunci când se referă la site-ul xxxx.ru prin acceptarea consimțământului într-o formă web. RKN - a răspuns că totul este în regulă. Cu toate acestea, operatorul PDN, căruia i-au devenit disponibile aceste informații, nu poate justifica abordarea sa de a proteja PD cu acest răspuns. Deci se pare?
Intrebare, iar dacă ai pus gratuit de distribuție client-Crypto Pro la resursa, și, dacă este necesar, intrarea în zona sitului protejat pentru a da un link pentru a sari pe https, acesta va fi un mod de încredere pentru a obține distribuția?
Nu, nu este. Un instrument certificat de criptare trebuie să aibă o formă de pașaport și o distribuție cu un semn holografic.
Trimiteți-le prietenilor: