Проблема в основном связана с избежанием проблем с законодательством. Допустим, мы хотим все сделать по закону. Задача - обмен данными по электронной почте (или еще как-нибудь - но через открытый инет) с различными контрагентами (около 30 штук разных организаций). Передается, конфа. Допустим, персоналка. Надо: защитить этот обмен так, чтобы все было типа по закону. Ограничение: большинство контрагентов нищие (среди них есть всякие жилищные конторы) и сами себе купить нифига не могут. Теперь, какие я продумывала варианты и в чем их недостатки. 1. Соглашение об использовании PGP. Проблема: указ президента от 1995 года о преследовании по закону использования всяких несертифицированных криптосредств. Я понимаю, что это глупо, что все используют, что в винде тоже несертифицированное шифрование (было до сих пор допустим), но нам надо собллюсти закон так, чтобы мы могли сказать, что защищаем информацию согласно законодательству. 2. Использование бесплатного российского криптопровайдера http://csp.rvs.ru/. С интеграцией в винду. Проблема: Он не предоставляет возможность экпортнуть закрытый ключ, чтобы потом на другой машине установить его в личные сертификаты. У нас был вариант - поднять у себя CA, наделать ключей - у них импортнуть и заключить соглашение об использовании этой фигни для обмена данными с нами. 3. Использование сертифицированных криптосредств Проблема: не все конторы смогут на них потратиться. То есть нужен тогда дешевый вариант (в пределах тысячи рублей допустим), но я лично таких не нашла. 4. Последним вариантом стало рассмотрение такой ситуации: поднятие в дмз почтовика и создание випиэн коннектов к нему с клиентских машин контрагентов. То есть они как бы используют наш почтовик допустим, через IPSEC. Там, конечно, тоже шифрование, но это уж можно не упоминать в соглашении, а просто написать - с использованием частной виртуальной сети заказчика тра ляля.
Помогите, пожалуйста, может есть еще идеи. Я совсем себе об наши законы голову сломала уже((((
у нас не строгость в законах - у нас там бред понаписан. в ФЗ одно, в указах другое, в руководящих третье.
Цитата
Гном Небесный пишет: Полагаю, здесь достаточно сертифицированного криптоалгоритма, сертифицированное криптосредство не обязательно.
ты имеешь ввиду сертифицированного криптопровайдера? алгоритмы у нас не сертифицируются, а стандартизируются))) а сертифицируются криптосредства на соответствие стандартам криптоалгоритмов)))
так вот - про сертифицированный криптопровайдер я уже думала. Но чтобы просто купить например криптопроксп криптопровайдер - нужно как винимум 1650р на одно место в одной конторе. Хрен их заставишь.
а кроме того, тут же начинается байда с лицензиями фсб на эксплуатацию криптосредств.