Должен ли быть канал между frontent и backend шифрованным по ГОСТ (152-ФЗ) если передаются персональные данные?

Вопрос заключается в следующем. Есть frontend клиент на сервере 1(серверное приложение), и есть backend с REST API на сервере 2. Во фронтенд вводятся персональные данные - ФИО, паспорт, адрес и далее отправляются по REST API с сервера 1 в backend на сервер 2. Должен ли между 1 и 2 серверами быть шифрованный по ГОСТ VPN канал?
  • Вопрос задан
  • 974 просмотра
Пригласить эксперта
Ответы на вопрос 6
Sanasol
@Sanasol Куратор тега Веб-разработка
нельзя просто так взять и загуглить ошибку
А какая связь у впна между серверами, если данные с фронтенда отправляются на бекенд(сервер 2) из браузера, а не на сервер фронтенда(сервер 1).
Ответ написан
vabka
@vabka
Токсичный шарпист
1. Персональные данные будут передаваться не с сервера 1 на сервер 2, а с клиента (браузера) на сервер 2.
2. Нет, гостовское шифрование при передаче персональных данных не обязательно.
Ответ написан
firedragon
@firedragon
Senior .NET developer
Лично я изолирую хосты в пределах одной сетки. WFE только торчат наружу. Собственно это все облака предлагают.
У вас грубо говоря одна сетка 10.0.0.0/8 и публичные адреса 193.164.42.0/24 для WFE
И в общем то имею такое мнение что если внутрь сети проникли, то эти ваши https это мертвому припарки, вас уже скорее всего сдампили и просят денег в даркнете
Ответ написан
@AlexVWill
Канал между фронтом и сервером должен быть зашифрован не по ГОСТу, а по уму, т.к. даже если VPN канала нет (а он, в данном случае не обязателен), то данные, передаваемые например через POST метод должны быть зашифрованы хотя бы через HTTPS (SSL/TLS). Для этого надо получить сертификат сервера в удостоверяющем центре и включить соответствующие настройки на сервере (в зависимости от того, какой сервер используется).
Ответ написан
@Drno
херня все это. делайте как хотите, тут не имеет значение.
а кто кстати сказал что по ГОСТ должно быть?

Можно начать с проверки майл\яндекс\vk )))
Ответ написан
@krosh
При защите персональных данных, начните с того, что составьте Модель угроз. Без этого документа, у вас нет защиты персональных данных. Не можете его составить, не нужно ничего дальше предпринимать, только больше запутаетесь и будете жить в уверенности, что все сделали, а когда прижмет - все окажется иначе.

Какая угроза (или группа угроз) имеет отношение к каналу связи между серверами?

После этого ищите меры защиты или компесационные меры. Приказ ФСТЭКа № 21 тоже нужно будет изучить.

В целом, если мы рассматриваем типичную ситуацию в ВАККУУМЕ, то при передаче конфиденциальных данных через открытые сети, то единственная мера защиты - сертифицированная криптограция. А это или ВПН или два криптошлюза с туннелем между площадками. Но прежде чем дойти до этого, нужно выяснить, а в ЦОДе все остальные меры защиты уже приняты, чтобы вы там могли спокойно и легально обрабатывать ПДн?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы