Вопрос безопасности при использовании КриптоПРО CSP в системах ЭДО

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы12 >

Вопрос безопасности при использовании КриптоПРО CSP в системах ЭДО - Вопрос безопасности при использовании КриптоПРО CSP в системах ЭДО

Опции

Предыдущая тема Следующая тема

madiks		#1 Оставлено : 28 ноября 2017 г. 13:33:19(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 20.06.2014(UTC) Сообщений: 18 Откуда: Альметьевск Сказал(а) «Спасибо»: 2 раз		Есть такие организации как операторы электронного документооборота - «организации, предоставляющие услуги по обмену открытой и конфиденциальной информацией по телекоммуникационным каналам связи в рамках электронного документооборота счетов-фактур между продавцом и покупателем». Для обеспечения юридической значимости документов используются ключи электронной подписи выданные аккредитованными УЦ. Эти УЦ в большей своей части используют КриптоПРО CSP. Т.е. пользователи систем электронного документооборота фактически используют КриптоПРО CSP. Вот. Это все была преамбула. Недавно наша компания перешла на электронный документооборот (система Диадок). И мы столкнулись с проблемой информационной безопасности. В нашей компании внедрена политика информационной безопасности согласно которой все ключи электронной подписи должны быть записаны на защищенные носители (например Рутокен) и иметь ПИН-код. В ходе использования системы электронного документооборота выяснилось что в силу технических причин использовать ПИН-код от контейнера КриптоПРО CSP нереально. В силу особенностей служебного трафика системы на каждую входящую счет-фактуру необходимо проставить три ЭП и соответственно ввести три раза ПИН-код. Получается что если через систему ЭДО к нам поступит 30 счетов фактур, то руководителю после входа в систему придется просто непрерывно набивать 90 раз ПИН-код. Соответственно ПИН-код для всех руководителей пришлось сохранить. В итоге понижение уровня информационной безопасности. Техподдержка СКБ Контур отправляет в КриптоПРО ссылаясь на утвержденный ФНС регламент обмена электронными документами. При этом ссылаясь на то что все клиенты системы работают по такой схеме (все сохраняют ПИН-коды от контейнеров). Я понимаю что формально и КриптоПРО и Контур могут ответить что это не их проблема, но так быть не должно. В таком виде эта система имеет серьезные проблемы с безопасностью. Отредактировано пользователем 28 ноября 2017 г. 13:37:09(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Андрей Писарев		#2 Оставлено : 28 ноября 2017 г. 14:01:57(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,660 Сказал «Спасибо»: 570 раз Поблагодарили: 2295 раз в 1796 постах		Здравствуйте. а вопрос в чём? Как "правильно"? Есть предложения? Варианты, в целом, такие: а) каждый раз вводить пароль б) включить кэширование\сервис, если возможно в) сохранить пароль Если б) и в) не приемлемы - то вариант остается а)
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#3 Оставлено : 28 ноября 2017 г. 14:06:07(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,660 Сказал «Спасибо»: 570 раз Поблагодарили: 2295 раз в 1796 постах		Простой пример из "бумажной" жизни: "Печать" есть только у директора и он часто отсутствует в офисе. Проблема: накапливаются документы. Варианты: а) директор, когда приезжает - сам ставит печати. Безопасность максимальна? А удобство? б) директор, идя на риски, "передает печать" сотруднику... эти же вопросы - риторические.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

madiks		#4 Оставлено : 28 ноября 2017 г. 14:21:08(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 20.06.2014(UTC) Сообщений: 18 Откуда: Альметьевск Сказал(а) «Спасибо»: 2 раз		Директору не приходится на каждую входящую бумажную счет-фактуру ставить три печати. Я предлагаю вам совместно с операторами подумать как решить эту проблему. Трезво и по существу. возможно рассмотреть вариант запоминания пин-кода например на сеанс работы в Диадоке. т.е вошел руководитель в Диадок по ключу и пин-коду и потом не вводит пин-код в течении какого то интервала времени.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

madiks		#5 Оставлено : 28 ноября 2017 г. 14:33:26(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 20.06.2014(UTC) Сообщений: 18 Откуда: Альметьевск Сказал(а) «Спасибо»: 2 раз		Мое руководство готово самостоятельно ставить ЭП. и даже требует это. тем более что для этого не обязательно находится на рабочем месте. но бесконечное подписывание служебного трафика вынуждает сохранять пароли. Потом, при массовом подписание документов (например 20 документов) почему бы не сделать однократное требование ввода пин-кода. Я думаю все это возможно и решаемо. главное желание с вашей стороны)


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#6 Оставлено : 28 ноября 2017 г. 14:58:51(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,660 Сказал «Спасибо»: 570 раз Поблагодарили: 2295 раз в 1796 постах		Автор: madiks Мое руководство готово самостоятельно ставить ЭП. и даже требует это. тем более что для этого не обязательно находится на рабочем месте. но бесконечное подписывание служебного трафика вынуждает сохранять пароли. Потом, при массовом подписание документов (например 20 документов) почему бы не сделать однократное требование ввода пин-кода. Я думаю все это возможно и решаемо. главное желание с вашей стороны) >Я предлагаю вам совместно с операторами подумать как решить эту проблему. Трезво и по существу. Если Вы не сохраняете(не передаете на "хранение") пароль\не разрешено кэширование\служба хранения ключей - то проблема не решаема. Вы внимательно прочитали выше написанное? Пробовали кэширование использовать? Заходили на вкладку Безопасность, читали документацию к СКЗИ?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#7 Оставлено : 28 ноября 2017 г. 15:01:07(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,660 Сказал «Спасибо»: 570 раз Поблагодарили: 2295 раз в 1796 постах		Автор: madiks рассмотреть вариант запоминания пин-кода например на сеанс работы в Диадоке. т.е вошел руководитель в Диадок по ключу и пин-коду и потом не вводит пин-код в течении какого то интервала времени. Это реализовать может прикладное ПО - требовать пароль на контейнер, хранить его "у себя где-то\в памяти" и подставлять при подписании. Вы же понимаете уровень "безопасности"?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

madiks		#8 Оставлено : 28 ноября 2017 г. 15:06:56(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 20.06.2014(UTC) Сообщений: 18 Откуда: Альметьевск Сказал(а) «Спасибо»: 2 раз		Спасибо. пойду терзать Контуровцев)


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

madiks		#9 Оставлено : 28 ноября 2017 г. 15:08:43(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 20.06.2014(UTC) Сообщений: 18 Откуда: Альметьевск Сказал(а) «Спасибо»: 2 раз		Автор: Андрей * Автор: madiks рассмотреть вариант запоминания пин-кода например на сеанс работы в Диадоке. т.е вошел руководитель в Диадок по ключу и пин-коду и потом не вводит пин-код в течении какого то интервала времени. Это реализовать может прикладное ПО - требовать пароль на контейнер, хранить его "у себя где-то\в памяти" и подставлять при подписании. Вы же понимаете уровень "безопасности"? Всяко лучше чем сохраненные пароли. с сохраненным паролем всегда есть вероятность что кто то незаметно скопирует контейнер. та же самая уборщица


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#10 Оставлено : 28 ноября 2017 г. 15:14:34(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,660 Сказал «Спасибо»: 570 раз Поблагодарили: 2295 раз в 1796 постах		Автор: madiks Автор: Андрей * Автор: madiks рассмотреть вариант запоминания пин-кода например на сеанс работы в Диадоке. т.е вошел руководитель в Диадок по ключу и пин-коду и потом не вводит пин-код в течении какого то интервала времени. Это реализовать может прикладное ПО - требовать пароль на контейнер, хранить его "у себя где-то\в памяти" и подставлять при подписании. Вы же понимаете уровень "безопасности"? Всяко лучше чем сохраненные пароли. с сохраненным паролем всегда есть вероятность что кто то незаметно скопирует контейнер. та же самая уборщица Что мешает сделать так: * сохранить пароль * подписать все документы\извещения * удалить сохраненный пароль? Через панель управления... там есть кнопка для этого
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (2)

2 Страницы12 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close