• Можно ли хранить зашифрованный дамп базы с персональными данными на незащищенном хранилище в интернете?

    Можно, но для защиты от регуляторов надо аккуратно написать документы и передавать в облако уже зашифрованный контейнер, чтобы данные не шли по сети без защиты
    Главным документом для вас будет являть Модель угроз и Модель нарушителя, где вы рассматриваете ваш дамп как отдельную ИСПДн.
    1. В Модели нарушителя исключаете всякие спецразведки и т.д., и признаёте актуальными нарушителей только класса Н1 (по классификации ФСБ, это внешний нарушитель, действующий без помощи изнутри).
    2. При определении актуальных угроз по Постановлению Правительства 1119 принимаете для себя неактуальными угрозы 1-ого и 2-ого типа (угрозы недекларируемых возможностей системном и прикладном ПО).
    3. В Модели угроз указываете, что обеспечение для обеспечения конфиденциальности вы используете сертифицированное СКЗИ класса КС1. По мнению наших регуляторов ГОСТ является единственным нерушимым средством обеспечения конфиденциальности, так что передача такого контейнера безопасна.
    Ну и заодно выполняете требования приказов ФСТЭК №21 и ФСБ №378.
    Надо конечно смотреть внимательнее на вашу систему, на вариант вполне реальный.
    Ответ написан
    3 комментария
  • API электронного полиса ОМС

    elDraco
    @elDraco Автор вопроса
    Видимо отвечать буду сам себе, ну да ладно пусть будет, вдруг ещё кто заинтересуется.
    Библиотека всё-таки поддалась реверсингу под отладчиком, но в ограниченной мере, хотя и достаточной для реализации задуманного. Самое главное, что удалось выудить из библиотеки — это коды полей вместе с названиями и запросы/ответы в сыром виде. Сырые данные относительно легко поддаются декодированию, благо для сохранения строк использовали UTF-8. Отмечу ещё пожалуй сохранение дат в виде 0xDD 0xMM 0xYY 0xYY, у меня б наверное на такое фантазии не хватило:) Структура данных в принципе довольно-таки логичная и естественная (заголовок с кодом и длиной данных, потом сами данные закодированные в зависимости от типа тем или иным образом), хотя некоторые вещи остались за пределами моего понимания, как, например, некие сортируемые поля, которых я так и не увидел, или первый байт заголовка поля, смысл которого остался для меня загадкой.
    В публикации получившейся библиотечки смысла особого не вижу, потому как повторить мой путь не составит особого труда.
    Ответ написан
    2 комментария