Сеть филиалов для гос предприятия с конфиденциальными данными
Господа, Хочу соединить сеть филиалов гос_структуры для упрощения синхронизации баз.
Для них я сторонняя организация, они оперируют Личными данными ЦЕЛОГО региона.
Все данные синхронизируют либо по открытым каналам Интернета, либо специально обученный человек с флешкой, что никак не пролазит в рамки Закона «О персональных данных».
Управление видит эту проблему, и желает, чтоб я им помог решить её, местный админ против этого, мотивирует отсутствием нужных лицензий на данный тип работ.
Вопрос такой, какие лицензии нужны (и нужны ли вообще) мне для организации OpenVPN сети для гос структуры.
Обязательно ли шифрование этой сети по ГОСТу я так понимаю OpenSSL совсем не подходит, точнее может подойти версия 1.0.0 который ещё нет, но это детали.
По ГОСТу для госучреждений обязательно, насколько я в курсе.
Гос. админ, скорее всего, прав. А вы, вообще, кто такой, что вас госконтора просит решать их проблемы с криптографией? -) Даже интересно. Тэг «откат» неспроста?
Лично я бы это делал на кошках с модулями криптования от Криптона.
Делать подобные решения «на коленке» и открытом софте — даже не тратьте времени. Как минимум сертифицировать всё решение потребуется, а для этого нужны будут сертификаты составных частей. В том числе на криптографию.
Поверьте, в подобных системах принцип «разумной достаточности» не работает по определению. Только наличие всех документов и сертификатов.
Вам либо новые чекпойнтовские UTM-ки с поддержкой ГОСТа нужно брать, либо поддержать отечественных производителей типа Амикон с их ФПСУ-ip. Ну или модули RVPN для 38/28-ых цисок.
Главное в таком деле — бумажка (сертификат). Если мало денег, то просто покупайте самое дешевое решение, что есть с сертификатами ФСТЭК и ФСБ. Кстати формальный «человек с флэшкой» — это вполне нормальное решение, которое позволяет забить на шифрование канала, а значит очень сэкономить.
Я всё больше думаю над построением сети не для передачи КОНФИДИЦИАЛЬНЫХ данных.
Для построения этой сети нужна лицензия, у нам крае нет ни у кого таковой.
Беседовал с фирмами по «уатсорсингу» или как там его правильно, то они просто «Умалчивают» про шифрования, просто организуют «канал связи» и всё