Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline potylitsyn  
#1 Оставлено : 31 марта 2017 г. 7:11:28(UTC)
potylitsyn

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2016(UTC)
Сообщений: 3
Российская Федерация

Доброго времени суток!
Стоит задача внедрения электронного документооборота в организации. Сертификаты ЭП получаем в аккредитованном Удостоверяющем центре, для формирования сертификатов используется КриптоПро УЦ 1.5(запланировано обновление на версию 2.0). Планируем подписание электронных документов в Информационной системе собственной разработки. Информационная система расположена в "облаке" на ресурсах Центра обработки данных (ЦОД). Пользователи подключаются к системе через программный (толстый) клиент или посредством подключения к терминальному серверу, который, в свою очередь, подключается к серверу в ЦОД. По запросу пользователя информационной системы формируется электронный документ в формате *.pdf, который подписывается уполномоченным лицом. Впоследствии документ должен быть отделяем от информационной системы, т.е. электронную копию документа мы должны передать третьему лицу, при условии сохранения юридической значимости (насколько я понимаю подпись должна быть при этом прикреплена к подписываемому файлу, должна быть возможность просмотра файла и проверки подписи на любом компьютере без установки специализированного платного программного обеспечения, например через Adobe acrobat reader). Имеем 50 территориально распределенных филиалов подключения с количеством пользователей около 100 в каждом.

1) Какие инструменты необходимо использовать для встраивания функционала подписи, проверки подписи в нашу информационную систему и какие компоненты при этом должны быть установлены в серверной части на ЦОД? Возможно существуют формализованные требования к информационным системам для встраивания такого функционала?
2) Какие компоненты необходимо устанавливать на клиентских компьютерах? Возможно ли организовать работу так, чтобы на каждой машине не нужно было устанавливать Крипто-Про CSP? Первым приходит в голову такой вариант: Крипто-Про CSP установлен на терминальном сервере, а на клиентских компьютерах пользователь подключает носитель с закрытым ключом и подписывает документы в информационной системе. Работоспособна ли такая схема? Тут же возникает вопрос, насколько безопасно передавать закрытый ключ на терминальный сервер? Возможны ли другие варианты оптимизации использования специализированного ПО на клиентских компьютерах?
Offline Максим Коллегин  
#2 Оставлено : 31 марта 2017 г. 7:51:34(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
При таких объемах целесообразно использовать функционал сервиса электронной подписи КриптоПро DSS.

Отредактировано пользователем 31 марта 2017 г. 7:53:24(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline potylitsyn  
#3 Оставлено : 31 марта 2017 г. 8:24:27(UTC)
potylitsyn

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2016(UTC)
Сообщений: 3
Российская Федерация


При использовании КриптоПро DSS необходимо чтобы КриптоПро УЦ был также развернут у нас? Или данные системы не обязательно должны быть интегрированы и мы можем получить сертификат с закрытым ключом в стороннем УЦ и добавить их в КриптоПро DSS? Могли бы Вы подробнее рассказать логическую схему взаимодействия компонентов (опять же возникает вопрос по составу компонентов) для реализации такого проекта, возможно существует документация или этот вопрос уже обсуждался здесь, поиск по форуму результатов не дал.

В данный момент готовим пилотный филиал на 50 электронных подписей, и развертывание КриптоПро DSS будет на первых шагах невозможно. Существуют ли еще решения, или вариант один - развертывание КриптоПро CSP на каждом клиентском месте?
Offline AVRORA-IT  
#4 Оставлено : 3 декабря 2018 г. 16:16:43(UTC)
AVRORA-IT

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 2
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Добрый вечер!
Планируем подписание электронных документов в лаборатории (согласно пункт 23.7и приказа 326) в Информационной системе собственной разработки.
У нас возник вопрос по поводу механизмов взаимодействия КриптоПро и нашего программного обеспечения (ПО) (которое мы разрабатываем):

Как я понимаю, есть 3 уровня электронных подписей:
1) простая электронная подпись
2) усиленная неквалифицированная электронная подпись
3) усиленная квалифицированная электронная подпись, которая создается с привлечением криптографических средств, подтвержденных уполномоченными органами, а именно Федеральной службой безопасности (ФСБ) России

Далее, по нашей теме: в России действует приказ Минэкономразвития России № 326 "Об утверждении критериев аккредитации лабораторий". В приказе есть пункт, в котором говорится, что в лабораториях, которые работают с ЛИМС, которые готовят документы и хранят документы в ЛИМС в электронном виде, все опубликованные и архивные документы должны быть подписаны с помощью усиленной квалифицированной электронной подписи (пункт 23.7и приказ).

Сейчас вопрос касается усиленной квалифицированной электронной подписи (Уровень 3).

Сертификат и ключи усиленной квалифицированной электронной подписи должна получать сама лаборатория (в виде зашифрованного программного обеспечения на usb-накопителе)?
После чего, как я понимаю, этот ключ должен быть интегрирован с нашим программным обеспечением. Интеграцией уже должны заниматься мы, разработчики ПО.
Но до сегодняшнего дня мы никогда не сталкивались с проблемой интеграции со сторонней электронной подписью.
Как это возможно? Существуют ли какие-то интеграционные интерфейсы со сторонними внешними программами?

Заранее спасибо за ответ!
Offline Максим Коллегин  
#5 Оставлено : 3 декабря 2018 г. 17:14:19(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Информации по встраиванию криптографии на этом форуме очень много, интерфейс встраивания зависит от языка разработки архитектуры и ОС информационной системы.
Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#6 Оставлено : 4 декабря 2018 г. 5:22:20(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Цитата:
Сертификат и ключи усиленной квалифицированной электронной подписи должна получать сама лаборатория (в виде зашифрованного программного обеспечения на usb-накопителе)?
После чего, как я понимаю, этот ключ должен быть интегрирован с нашим программным обеспечением. Интеграцией уже должны заниматься мы, разработчики ПО.
Но до сегодняшнего дня мы никогда не сталкивались с проблемой интеграции со сторонней электронной подписью.
Как это возможно? Существуют ли какие-то интеграционные интерфейсы со сторонними внешними программами?

Заранее спасибо за ответ!
Что-то мне кажется Вы немного усложняете. Если я правильно понимаю, в данном случае лаборатория является заказчиком, готовое программное обеспечение развертывается у заказчика, ключи/регистрации/права обеспечивает заказчик, а Вы разработчики?

На деле практически все разработчики сначала получают свои ключи и сертификат в тестовом (или даже аккредитованном) удостоверяющем центре и отрабатывают встраивание на них. От заказчика требовать ключи на стадии разработки ни к чему. Да и вообще, передача ключей другой организации - довольно скользкая тема, неважно будут ли они зашифрованы и отчуждаемом носителе, лучше забудьте этот вариант если не хотите дополнительно согласовывать/сертифицировать свое программное обеспечение вообще и конкретный развернутый экземпляр с чужими ключами в частности. При этом в случае сертификата тестового удостоверяющего центра у разработчика результат подписания получается юридически неквалифицированный, но по формату неотличимый от квалифицированного.

Уже потом при развертывании у заказчика готорового программного обеспечения на место ключей разработчика подставляются ключи заказчика. Если говорить об усовершенствованных видах подписи, то заменить придется и адреса TSP и OCSP серверов, они зависят от конкретного удостоверяющего центра. Таким образом, программное обеспечение должно предусматривать легкую замену ключей, например, автоматический поиск по указанному отпечатку сертификата в хранилище сертификатов или вывод диалогового окна со списком всех сертификатов из хранилища для выбора пользователем.

Возможно совмещение обоих вариантов, в случае когда список сертификатов формируется из хранилища на сервере, показывается на веб-страничке пользователю, из выбора пользователя определяется хэш и по хэшу на сервере ищется сертификат и делается подпись. Вот и вся "интеграции со сторонней электронной подписью". Для более детальных пояснений действительно нужно более точное объяснение где, что планируется развернуть, по какой технологии, на какой операционной системе и языке программирования.

Либо я неправильно понял и Вы будете получать уже подписанный документ? Тогда еще меньше проблем, главное чтобы Ваше программное смогла проверить подпись документа. Форматы более менее стандартизированы, но бывают некие "закидоны" в нюансах у разных разработчиков, например, хотят чтобы вид в Base64 начинался с определенных символов.
thanks 1 пользователь поблагодарил two_oceans за этот пост.
AVRORA-IT оставлено 04.12.2018(UTC)
Offline AVRORA-IT  
#7 Оставлено : 4 декабря 2018 г. 15:32:46(UTC)
AVRORA-IT

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 2
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Спасибо за ответы!
Возможно Вы правы, усложняю из-за того, что нет четкого понимания, как это может быть реализовано.
в нашей ИС есть функция автоматизированной электронной записи и хранения.
В реляционной базе данных сохраняются электронные записи, включая подписи, результаты испытаний, настройки оборудования и все действия и изменения = обязательные правила доступа и проверку паролей, контроль изменений документов и данных, аудиторский след транзакций и др.

Но этого сейчас недостаточно, по Приказу 326 теперь необходимо подписывать документы Усиленной квалифицированной подписью.

Если я Вас правильно поняла, то нам (разработчикам ПО) сначала надо "потренироваться" встроить ключ и сертификат в свое ПО на тестовых ключах, полученных в УЦ. А дальше, при развертывании системы у Заказчика заменить ключи (тест на ключ Заказчика). Тогда Заказчику придется покупать ключи и устанавливать на каждый компьютер?
Допустим, в лаборатории, где будет установлена наша система, 50 пользователей - значит на каждое АРМ нужен ключ?

Возможно ли автоматизировать функцию подписания ЭП: если за день в лаборатории формируется более 1000 документов (отчеты, паспорта качества...) - это значит нужно чтобы сотрудник подписал каждый документ или при встраивании ЭП это делается автоматически??

Наше ПО представляет собой клиент-серверную технологию: Клиент = обычный web-браузер, который содержит элементы управления .NET, динамически предоставляющие пользовательский интерфейс. Все операции выполняются на сервере. При создании использована платформа Microsoft.NET с применением XML, графического интерфейса и Web-сервисов.


Offline Максим Коллегин  
#8 Оставлено : 4 декабря 2018 г. 16:05:58(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Для браузера два решения можно предложить:
КриптоПро DSS
КриптоПро Browser Plugin
Изучайте и задавайте вопросы в профильных форумах.

Отредактировано пользователем 4 декабря 2018 г. 16:06:31(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#9 Оставлено : 5 декабря 2018 г. 7:59:34(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: AVRORA-IT Перейти к цитате
Наше ПО представляет собой клиент-серверную технологию: Клиент = обычный web-браузер, который содержит элементы управления .NET, динамически предоставляющие пользовательский интерфейс. Все операции выполняются на сервере. При создании использована платформа Microsoft.NET с применением XML, графического интерфейса и Web-сервисов.
Автор: AVRORA-IT Перейти к цитате
в нашей ИС есть функция автоматизированной электронной записи и хранения. В реляционной базе данных сохраняются электронные записи, включая подписи, результаты испытаний, настройки оборудования и все действия и изменения = обязательные правила доступа и проверку паролей, контроль изменений документов и данных, аудиторский след транзакций и др. Но этого сейчас недостаточно, по Приказу 326 теперь необходимо подписывать документы Усиленной квалифицированной подписью.

Если я Вас правильно поняла, то нам (разработчикам ПО) сначала надо "потренироваться" встроить ключ и сертификат в свое ПО на тестовых ключах, полученных в УЦ. А дальше, при развертывании системы у Заказчика заменить ключи (тест на ключ Заказчика).
Квалифицированная подпись только означает, что сертификат должен быть квалифицированным. В теоретическом примере когда на один ключ выпустили 2 сертификата - один квалифицированный, а другой неквалифицированный, квалифицированность одной и той же подписи будет зависеть от того какой из сертификатов прикреплен к подписи.

Если у Вас уже есть хоть какая-то электронная подпись в базе данных, то Вы уже на пути к успеху. Далее зависит от алгоритма, который есть в существующей подписи - если сейчас используется не-ГОСТ, то нужны мероприятия по адаптации встраивания подписания по алгоритмам ГОСТ на тестовых ключах, потом замена ключей. Если ГОСТ уже есть, то остается замена сертификатов на квалифицированные, адресов TSP и OCSP (так как квалифицированные не выпускают на ключи использующиеся ранее, то и замена ключей). Если они и так квалифицированные (на скорую руку можно проверить так: алгоритм ГОСТ, выданы аккредитованным удостоверяющим центром и имеют сведения о средстве электронной подписи и владельца и издателя) - то дальше связано с количеством ключей и "подвидами" сертификата (физического лица, юридического лица, юридического лица с именем специалиста, информационной системы), об этом дальше.
Автор: AVRORA-IT Перейти к цитате
Тогда Заказчику придется покупать ключи и устанавливать на каждый компьютер? Допустим, в лаборатории, где будет установлена наша система, 50 пользователей - значит на каждое АРМ нужен ключ?
Тут существенен вопрос какой именно должен быть сертификат в усиленной квалифицированной подписи по требованиям приказа - документы могут быть подписаны подписью организации или подписью информационной системы или подписью специалиста или двумя-тремя сразу. Если имеется ввиду подпись организации, то ее можно установить в одном месте и дать право какой-то группе пользователей (условно канцелярии) просматривать и подписывать документы за всех. Если в сертификате организации нет ФИО - она аналог только печати на бумажном документе (для нее требования послабее могут использовать разные сотрудники), а если указаны ФИО руководителя, то аналог как если бы руководитель собственноручно подписал и поставил печать (тут уж кому руководитель доверит, в идеале должна быть только у него самого). Если подпись информационной системы - она тоже как только печать организации и ей можно подписывать автоматически.

Если же нужны подписи именно специалиста под конкретным документом, то нужно будет купить ключ каждому сотруднику (имеющему право подписи согласно внутреннему приказу организации) и настроить его рабочее место. При этом ключ может быть установлен как на рабочем месте - это вариант с плагином, так и на сервере - это вариант с КриптоПро DSS (облачная подпись). Опять же позволят ли Вам требования безопасности использовать облачную подпись нужно уточнить по нормативным актам. При варианте с установкой на каждом рабочем месте у Вас еще фактически будет внедрена двухфакторная аутентификация (это когда действие подтверждается и паролем и сертификатом) либо сможете вообще уйти от паролей.

Как видите, нормативные акты пестрят словосочетаением "Усиленной квалифицированной подписью", которое по факту не разъясняет еще кучу нюансов и подвидов подписи. Скорее всего, автоматически производимые действия будет возможно автоматически же подписать подписью с сертификатом информационной системы, а вот какие-нибудь заключения и результаты испытаний или контролируемые результаты измерений, которые имеют бумажные аналоги с собственноручной подписью - электронной подписью с сертификатом специалиста.

Да, по хорошему в документ с бумажным аналогом еще должна вставляться "видимая подпись" - штампик при выводе на печать, что "оригинал документа подписанный электронной подписью хранится в такой-то информационной системе", дата подписи, информация о сертификате.
Автор: AVRORA-IT Перейти к цитате
Возможно ли автоматизировать функцию подписания ЭП: если за день в лаборатории формируется более 1000 документов (отчеты, паспорта качества...) - это значит нужно чтобы сотрудник подписал каждый документ или при встраивании ЭП это делается автоматически??
1000 документов на 50 сотрудников не так уж и много - 20 в день, 2-3 в час. Автоматизировать можно вприант если нужна подпись организации (без ФИО руководителя) или информационной системы. Если в сертификате, которым будет подписываться должно быть указано ФИО сотрудника или руководителя - автоматизация возможна, но нежелательна по соображениям безопасности.

Отредактировано пользователем 5 декабря 2018 г. 8:03:32(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.