Jump to content

Recommended Posts

Маленькая бюджетная контора. Но с персональными данными К2.

Т.е. СЗИ от НСД (секретнет), випнет клиент со своим паролем, доменная аутентификация.

Но, за одним рабочим местом могут работать 2-n работников. Каждый заходит под своим доменным именем. И получается, что все они знают випнет пароль.

Судя по докам, рисовать на каждого свой випнет пароль уже поздно. Тем более, что работают они с одними и теми же программами, с одинаковым уровнем доступа к ним, но естественно под своими отдельными именами и паролями для прог. (в теории может оказаться, что кому-то надо будет больше доступных программ, кому-то меньше, но это покамест только теория).

Работник увольняется. Что мы должны сделать? Правильно: вырубить его учетную доменную запись. Вырубили. Но в памяти уже бывшего работника випнет пароль то останется.

Запрашивать каждый раз новый дистрибутив при текучке кадров мягко говоря неудобно.

И так вопрос: чем нам теоретически грозит такая компрометация випнетовского пароля? Т.е. можно ее проигнорировать, или кто как выкручивается?

Share this post


Link to post
Share on other sites

Во-первых, вы можете просто сменить пароль на пользователя и отправить обновление. Следующий заход - только с новым паролем. Во-вторых, на каждный АП можно делать несколько пользователей и каждому вручать свой пароль. В-третьих, нужно использовать не VipNet-пароль, а ключи на съёмном носителе (смотрите документацию к СКЗИ). Это - обязательное требование.

Share this post


Link to post
Share on other sites

1) Пароли сгенерированы на основе кодовых фраз, структурой, внедрявшей випнет. Передан ли этот функционал нам - еще неизвестно, т.к. доков никаких мне еще не передали. И кстати, кого вы подразумеваете под пользователем в данном случае? Само рабочее место на котором АП, или пользователей рабочего места?

2) В мануале по випнет монитор 3.2 написано, что можно делать несколько пользователей. Но лучше этот список определить на этапе установки, а не после, когда випнет уже работает, ибо могут быть проблемы.

3) С какой стати ключи на сьемном носителе? Те кому надо обеспечить подпись сообщений, тем возможно. Но не всем остальным, которым нужно просто шифрованный канал. Интегратор, проводивший аттестацию, тот же, что продавал и устанавливал випнет. Если ограничились одним паролем - думаю, это вполне законно.

Share this post


Link to post
Share on other sites

Насчёт хранения ключей - незаконно. Смотрим регламент информационной безопасности VipNet Custom. Привожу выдержку:

"При использовании 1 или 2 типа аутентификации для хранения личных ключей должны использоваться только отчуждаемые носители". 1 и 2 тип - это доступ по паролю или устройству (когда ключи хранятся на жёстком диске). Это продиктовано требованиями ФСБ. Нам интегратор тоже говорил, что так допустимо. После изучения документации убедились, что он не прав. Поэтому рекомендую исправить данный недостаток. Либо ключи на флешке, либо токен использовать. Всё-таки ключи шифрования (для чего бы они не использовались) нужно учитывать, выдавать лично пользователю.

Даже после создания АП можно добавлять пользователей - никаких проблем. Очень часто практикуем.Единственная замеченная проблема - это виртуальные адреса узлов для разных пользователей. Но это далеко не всегда критично.

Пароли можно как менять в ЦУСе или прямо на компьютере с VipNet. Лучше всего делать это через ЦУС. Под пользователями я имею ввиду пользователя VIpNet (каждый пользователь должен входить со своим паролем). В зависимости от введённого пароля он загружает те или иные ключи/настройки. Кстати, замечу, что пользователи должны хранить носители со своими индивидуальными ключами в сейфе. Это всё - требования официальных документов.

Share this post


Link to post
Share on other sites

Я так думаю, что высшее руководство пошлет меня с такими предложениями далеко и надолго...

И я правильно понимаю, что пользовательские пароли на випнет вы также меняете не реже чем раз в 90 дней?

Share this post


Link to post
Share on other sites

В случае, если ключевая дискета хранится на устройстве (3 тип авторизации), то в этом случае пользователь пароль не указывает. Он указывает только пин-код доступа к устройству.

Вы можете, как минимум, предъявить претензии к данной организации. Если читать нормативные документы, то можно добрую половину интеграторов (если не больше) лицензий лишать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.