Должен ли быть канал между frontent и backend шифрованным по ГОСТ (152-ФЗ) если передаются персональные данные?

Question

[Алексей Воробьев]

Вопрос заключается в следующем. Есть frontend клиент на сервере 1(серверное приложение), и есть backend с REST API на сервере 2. Во фронтенд вводятся персональные данные - ФИО, паспорт, адрес и далее отправляются по REST API с сервера 1 в backend на сервер 2. Должен ли между 1 и 2 серверами быть шифрованный по ГОСТ VPN канал?

Answer 1

[Александр Аксентьев]

А какая связь у впна между серверами, если данные с фронтенда отправляются на бекенд(сервер 2) из браузера, а не на сервер фронтенда(сервер 1).

Comments

[Алексей Воробьев]

Да, зря я так написал. А если сервер 1 не клиентское приложение, а серверное, и передача происходит не из браузера а с сервера на сервер? Я отредактировал вопрос.

[Александр Аксентьев]

avvor,

Вопрос именно в том, что о мне сказали что по закону они должны передаваться с сервера 1 на сервер 2 по шифрованному по ГОСТ каналу.

Кто сказал? Есть номер этого ГОСТа? Или есть конкретные требования или это просто "для себя".
Чтобы сделать что-то по ГОСТу нужно что-то сертифицированное под этот ГОСТ купить почти наверняка.
Во всех остальных случаях это просто для галочки будет существовать.

Вот например через Stunnel делают
https://habr.com/ru/company/aktiv-company/blog/477650/

[Василий Банников]

avvor, любого нормального шифрования будет достаточно

[Алексей Воробьев]

Александр Аксентьев, От нас и требуют купить. Просто пытаюсь выяснить это так требуется по закону или нет.

[Александр Аксентьев]

avvor, ну это уже зависит от того кто выи что делаете.
Если вы банк/страховая или какая-нибудь медицинская фигня, то вполне возможно.
Во всех остальных случаях слабо верится в прям нужность.

Строгость законов компенсируется необязательностью их исполнения как обычно.
https://habr.com/ru/company/ic-dv/blog/540818/

[Алексей Воробьев]

Александр Аксентьев, Да, у меня как раз открыта эта статья :)

[Carburn]

avvor, так отредактируй полностью и убери фронтенд оттуда

[Алексей Воробьев]

Ладно убрал, просто думал, что многие ответили на тот вопрос и их ответы потеряют смысл.

Answer 2

[Василий Банников]

1. Персональные данные будут передаваться не с сервера 1 на сервер 2, а с клиента (браузера) на сервер 2.
2. Нет, гостовское шифрование при передаче персональных данных не обязательно.

Comments

[Алексей Воробьев]

Да, я понял свою ошибку, отредактировал вопрос.

Answer 3

[Владимир Коротенко]

Лично я изолирую хосты в пределах одной сетки. WFE только торчат наружу. Собственно это все облака предлагают.
У вас грубо говоря одна сетка 10.0.0.0/8 и публичные адреса 193.164.42.0/24 для WFE
И в общем то имею такое мнение что если внутрь сети проникли, то эти ваши https это мертвому припарки, вас уже скорее всего сдампили и просят денег в даркнете

Comments

[Алексей Воробьев]

Они в разных датацентрах.

[Игорь]

ну не совсем так плохо, проникли внутрь сети != уже все сдампили, могут поставить сканер и ловить пакеты, если сам сервис хорошо защищен
Это как в банковских сетях, где 100500 подсетей и прочих вланов и acl по десять страниц в каждый
открытые протоколы внутри сети это еще один вектор атаки, если его прикрыть то это дает время на обнаружение пока еще всё не угнали.
по этому нельзя например на внутренние сервера ставить пароли по типу admin:admin типа 'раз влезли то поздно.' ..потому что может быть не поздно

Answer 4

[Drno]

херня все это. делайте как хотите, тут не имеет значение.
а кто кстати сказал что по ГОСТ должно быть?

Можно начать с проверки майл\яндекс\vk )))

Comments

[Алексей Воробьев]

Херня не херня, но наш партнер потребовал такое решение.

[Drno]

avvor, ну тогда в чем вопрос?))
раз партнер требует - делайте, пусть оплачивает

[Adamos]

Drno, разница в семантической разнице между словами "партнер" и "начальник" или "заказчик". С партнером - договариваются, а не подчиняются. Ибо не факт, что оплачивать это будет он.

[Сергей Горностаев]

Adamos, для некоторых партнёров нет альтернатив или есть ограниченное их число с точно такими же требованиями. Так что договориться можно не всегда.

Answer 5

[krosh]

При защите персональных данных, начните с того, что составьте Модель угроз. Без этого документа, у вас нет защиты персональных данных. Не можете его составить, не нужно ничего дальше предпринимать, только больше запутаетесь и будете жить в уверенности, что все сделали, а когда прижмет - все окажется иначе.

Какая угроза (или группа угроз) имеет отношение к каналу связи между серверами?

После этого ищите меры защиты или компесационные меры. Приказ ФСТЭКа № 21 тоже нужно будет изучить.

В целом, если мы рассматриваем типичную ситуацию в ВАККУУМЕ, то при передаче конфиденциальных данных через открытые сети, то единственная мера защиты - сертифицированная криптограция. А это или ВПН или два криптошлюза с туннелем между площадками. Но прежде чем дойти до этого, нужно выяснить, а в ЦОДе все остальные меры защиты уже приняты, чтобы вы там могли спокойно и легально обрабатывать ПДн?