Проблема в основном связана с избежанием проблем с законодательством.
Допустим, мы хотим все сделать по закону.
Задача - обмен данными по электронной почте (или еще как-нибудь - но через открытый инет) с различными контрагентами (около 30 штук разных организаций). Передается, конфа. Допустим, персоналка.
Надо: защитить этот обмен так, чтобы все было типа по закону.
Ограничение: большинство контрагентов нищие (среди них есть всякие жилищные конторы) и сами себе купить нифига не могут.
Теперь, какие я продумывала варианты и в чем их недостатки.
1. Соглашение об использовании PGP.
Проблема: указ президента от 1995 года о преследовании по закону использования всяких несертифицированных криптосредств.
Я понимаю, что это глупо, что все используют, что в винде тоже несертифицированное шифрование (было до сих пор допустим), но нам надо собллюсти закон так, чтобы мы могли сказать, что защищаем информацию согласно законодательству.
2. Использование бесплатного российского криптопровайдера http://csp.rvs.ru/. С интеграцией в винду.
Проблема: Он не предоставляет возможность экпортнуть закрытый ключ, чтобы потом на другой машине установить его в личные сертификаты.
У нас был вариант - поднять у себя CA, наделать ключей - у них импортнуть и заключить соглашение об использовании этой фигни для обмена данными с нами.
3. Использование сертифицированных криптосредств
Проблема: не все конторы смогут на них потратиться. То есть нужен тогда дешевый вариант (в пределах тысячи рублей допустим), но я лично таких не нашла.
4. Последним вариантом стало рассмотрение такой ситуации: поднятие в дмз почтовика и создание випиэн коннектов к нему с клиентских машин контрагентов.
То есть они как бы используют наш почтовик допустим, через IPSEC. Там, конечно, тоже шифрование, но это уж можно не упоминать в соглашении, а просто написать - с использованием частной виртуальной сети заказчика тра ляля.
Помогите, пожалуйста, может есть еще идеи. Я совсем себе об наши законы голову сломала уже((((
Допустим, мы хотим все сделать по закону.
Задача - обмен данными по электронной почте (или еще как-нибудь - но через открытый инет) с различными контрагентами (около 30 штук разных организаций). Передается, конфа. Допустим, персоналка.
Надо: защитить этот обмен так, чтобы все было типа по закону.
Ограничение: большинство контрагентов нищие (среди них есть всякие жилищные конторы) и сами себе купить нифига не могут.
Теперь, какие я продумывала варианты и в чем их недостатки.
1. Соглашение об использовании PGP.
Проблема: указ президента от 1995 года о преследовании по закону использования всяких несертифицированных криптосредств.
Я понимаю, что это глупо, что все используют, что в винде тоже несертифицированное шифрование (было до сих пор допустим), но нам надо собллюсти закон так, чтобы мы могли сказать, что защищаем информацию согласно законодательству.
2. Использование бесплатного российского криптопровайдера http://csp.rvs.ru/. С интеграцией в винду.
Проблема: Он не предоставляет возможность экпортнуть закрытый ключ, чтобы потом на другой машине установить его в личные сертификаты.
У нас был вариант - поднять у себя CA, наделать ключей - у них импортнуть и заключить соглашение об использовании этой фигни для обмена данными с нами.
3. Использование сертифицированных криптосредств
Проблема: не все конторы смогут на них потратиться. То есть нужен тогда дешевый вариант (в пределах тысячи рублей допустим), но я лично таких не нашла.
4. Последним вариантом стало рассмотрение такой ситуации: поднятие в дмз почтовика и создание випиэн коннектов к нему с клиентских машин контрагентов.
То есть они как бы используют наш почтовик допустим, через IPSEC. Там, конечно, тоже шифрование, но это уж можно не упоминать в соглашении, а просто написать - с использованием частной виртуальной сети заказчика тра ляля.
Помогите, пожалуйста, может есть еще идеи. Я совсем себе об наши законы голову сломала уже((((
