Mastodont Опубликовано 17 Апреля 2013 Жалоба Поделиться Опубликовано 17 Апреля 2013 Маленькая бюджетная контора. Но с персональными данными К2.Т.е. СЗИ от НСД (секретнет), випнет клиент со своим паролем, доменная аутентификация.Но, за одним рабочим местом могут работать 2-n работников. Каждый заходит под своим доменным именем. И получается, что все они знают випнет пароль.Судя по докам, рисовать на каждого свой випнет пароль уже поздно. Тем более, что работают они с одними и теми же программами, с одинаковым уровнем доступа к ним, но естественно под своими отдельными именами и паролями для прог. (в теории может оказаться, что кому-то надо будет больше доступных программ, кому-то меньше, но это покамест только теория).Работник увольняется. Что мы должны сделать? Правильно: вырубить его учетную доменную запись. Вырубили. Но в памяти уже бывшего работника випнет пароль то останется.Запрашивать каждый раз новый дистрибутив при текучке кадров мягко говоря неудобно.И так вопрос: чем нам теоретически грозит такая компрометация випнетовского пароля? Т.е. можно ее проигнорировать, или кто как выкручивается? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 18 Апреля 2013 Жалоба Поделиться Опубликовано 18 Апреля 2013 Во-первых, вы можете просто сменить пароль на пользователя и отправить обновление. Следующий заход - только с новым паролем. Во-вторых, на каждный АП можно делать несколько пользователей и каждому вручать свой пароль. В-третьих, нужно использовать не VipNet-пароль, а ключи на съёмном носителе (смотрите документацию к СКЗИ). Это - обязательное требование. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Mastodont Опубликовано 18 Апреля 2013 Автор Жалоба Поделиться Опубликовано 18 Апреля 2013 1) Пароли сгенерированы на основе кодовых фраз, структурой, внедрявшей випнет. Передан ли этот функционал нам - еще неизвестно, т.к. доков никаких мне еще не передали. И кстати, кого вы подразумеваете под пользователем в данном случае? Само рабочее место на котором АП, или пользователей рабочего места?2) В мануале по випнет монитор 3.2 написано, что можно делать несколько пользователей. Но лучше этот список определить на этапе установки, а не после, когда випнет уже работает, ибо могут быть проблемы.3) С какой стати ключи на сьемном носителе? Те кому надо обеспечить подпись сообщений, тем возможно. Но не всем остальным, которым нужно просто шифрованный канал. Интегратор, проводивший аттестацию, тот же, что продавал и устанавливал випнет. Если ограничились одним паролем - думаю, это вполне законно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 18 Апреля 2013 Жалоба Поделиться Опубликовано 18 Апреля 2013 Насчёт хранения ключей - незаконно. Смотрим регламент информационной безопасности VipNet Custom. Привожу выдержку:"При использовании 1 или 2 типа аутентификации для хранения личных ключей должны использоваться только отчуждаемые носители". 1 и 2 тип - это доступ по паролю или устройству (когда ключи хранятся на жёстком диске). Это продиктовано требованиями ФСБ. Нам интегратор тоже говорил, что так допустимо. После изучения документации убедились, что он не прав. Поэтому рекомендую исправить данный недостаток. Либо ключи на флешке, либо токен использовать. Всё-таки ключи шифрования (для чего бы они не использовались) нужно учитывать, выдавать лично пользователю.Даже после создания АП можно добавлять пользователей - никаких проблем. Очень часто практикуем.Единственная замеченная проблема - это виртуальные адреса узлов для разных пользователей. Но это далеко не всегда критично.Пароли можно как менять в ЦУСе или прямо на компьютере с VipNet. Лучше всего делать это через ЦУС. Под пользователями я имею ввиду пользователя VIpNet (каждый пользователь должен входить со своим паролем). В зависимости от введённого пароля он загружает те или иные ключи/настройки. Кстати, замечу, что пользователи должны хранить носители со своими индивидуальными ключами в сейфе. Это всё - требования официальных документов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Mastodont Опубликовано 18 Апреля 2013 Автор Жалоба Поделиться Опубликовано 18 Апреля 2013 Я так думаю, что высшее руководство пошлет меня с такими предложениями далеко и надолго...И я правильно понимаю, что пользовательские пароли на випнет вы также меняете не реже чем раз в 90 дней? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 18 Апреля 2013 Жалоба Поделиться Опубликовано 18 Апреля 2013 В случае, если ключевая дискета хранится на устройстве (3 тип авторизации), то в этом случае пользователь пароль не указывает. Он указывает только пин-код доступа к устройству.Вы можете, как минимум, предъявить претензии к данной организации. Если читать нормативные документы, то можно добрую половину интеграторов (если не больше) лицензий лишать. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.