Шифрование данных как дешевле сделать?

Question

[Руслан Малиновский]

Всем добрый. У нас есть проект, и сейчас озаботились в период разработки каналами шифрования данных.

Суть следующая:
Есть веб-приложение для операторов (они доступ имеют из любой точки мира к ресурсы, логины и пароли соответственно) - 1 оператор, условно = 1 IP адресу - операторов в среднем 5 чел/на компанию пользователя наших услуг.
Есть выездной персонал (перемещается по Москве, России) - от 1 только компании ездят в день 30 чел по разным адресам в Москве.

Из того, что нарыл в гугле и успел оценть.
ГОСТ VPN дорого. Чудо коробка в офис пользователя наших услуг, не совсем этично. К нам эта чудо коробка, у Нас арендуемые ресурсы в ЦОД. Под чюдо коробкой подразумевается маршрутизатор, как я понял из общения. VPN клиенты купить всем пользлвателям или сдать в аренду, сложно, дорого, не надежно. Удаленные рабочие столы с статистичным серым/белым IP решение, но не очень мне понятно в рамках безлпасности.

Есть VPN под 152-ФЗ (не гост, но соответсвует рамочным требованиям) и шифровать данные, может кто то подскажет, как и что делал, экономил, минимизировал издержки? Буду боагодарен за любую инфо!

Comments

[Drno]

ниче не понятно. задача то в чем? дать удаленный доступ?
так понднимите обычный VPn - опенВПН или sstp ...

[Руслан Малиновский]

Создать защищенный канал передачи данных между операторами и выездным персоналом, в стезе 152 ФЗ

[Valentin Barbolin]

Если используеш браузер, то можно проводить валидацию клиента по сертификату.

как пример
https://habr.com/ru/articles/213741/
https://habr.com/ru/articles/349720/

[Руслан Малиновский]

Valentin Barbolin, веб-приложение браузерное, безусловно. Можно по подробнее?

[Василий Банников]

Roman32V, ну так там самый обычный VPN можно применять, никакой специальный сертификат от ФСБ для VPN не нужен. Главное чтобы было достаточно хорошее шифрование и было защищено достаточно сложными паролями.
В некоторых случаях может быть достаточно просто https без vpn.

[Valentin Barbolin]

Roman32V, как пример
https://habr.com/ru/articles/213741/
https://habr.com/ru/articles/349720/

[Руслан Малиновский]

Василий Банников, и в 152 фз и при проверке надзорными все будет ок?

[Руслан Малиновский]

Василий Банников, и какими способами сделать это шифрование? Может ссылки на мануалы и тп, если есть с хабра)

[asmelnik]

IPsec? OpenVPN? WireGuard? L2TP?
Можно и через ssh гонять любой трафик, в настройках вашей приложухи указываете порт локалхоста, этот порт через ssh прокидываете куда вам надо, инструметов для этого вагон, но можете и свой наваять, и пользуете дармовое шифрование....

[Руслан Малиновский]

asmelnik, да, читал, но не нашел конкретики, как данные решения относятся к 152 ФЗ, задача попасть в него, в 152.

[Василий Банников]

Roman32V, надо смотреть приказы ркн/фстэк/фсб - именно они раскрывают, что имеется в виду в 152-фз под "оператор обязан использовать надлежащие средства защиты информации".

Для коммерческих (не государственных/муниципальных/бюджетных) организаций актуальны две бумаги:
1. Приказ Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"
2. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Первая бумага нужна для определения того, что тебе нужно использовать из второй.

Answer 1

[Kil1J0y]

Программный туннель должен быть только с шифрованием ГОСТ и сертификатами фсб. Например
Аппаратная железка так же должна быть сертифицирована. Бесплатных решений по 152, нет, на решения требуются сертификаты фсб. Наложить патч на openvpn и библу openssl для гост криптографии не прокатит.
Как итог компания просто отказалась эт данного направления где требование 152фзБ было.