Автор: Денис | 111574 | 10.10.2024 15:33 |
В настоящее время в нашем государстве отказались от использования ЭЦП сотрудников на предприятиях и обязали использовать ЭЦП физлиц. Сотрудники предприятия должны оформлять на себя ЭЦП физлица и использовать их в ЭДО. При этом фактически сотрудник устанавливает ЭЦП на компьютере предприятия. В момент, когда ключ ЭЦП (например Рутокен) установлен в компьютер, существует техническая возможность удаленного использования злоумышленниками (например, нечестным админам предприятия) данной ЭЦП. ЭЦП конечно защищено паролем (пин кодом), но его также можно удаленно подсмотреть (перехватить). Таким образом, сотрудник вынужден доверять доступ к своей ЭЦП предприятию.
Теперь собственно вопросы: 1) Сотрудник не доверяет предприятию и хотел бы каких то гарантий защищенности своей ЭЦП при использовании на компьютере предприятия. Есть ли какие то решения, требования, рекомендации и т.п.? 2) Предприятие хочет также обезопасить себя и не быть обвиненной в будущем в организации НСД к ЭЦП физлица. И в случае чего показать и доказать, что были приняты все регламентированные и или рекомендованные меры, методы и средства для организации защиты компьютера, на котором сотрудник работал с ЭЦП. Соответственно, есть ли какие регламенты, рекомендации и т.п. для решения этой задачи? |
Автор: oko | 111575 | 10.10.2024 21:41 |
Готового регламента нет, но есть нечто лучше - формулировки для регламента!
1. Перестать жить прошлым и называть ЭП как ЭЦП... 2. Объяснить каждому, что персональная УКЭП на токене == собственноручной подписи и котируется в рамках любых гос.систем. Со всеми вытекающими. Для острастки привести не так давно забытые примеры оформления квартир таких физ.лиц на других физ.лиц через выпуск и использование их УКЭП... 3. Использовать только токены с набортной криптографией и неизвлекаемой памятью (вне зависимости от того, что по умолчанию предлагает УЦ)... 4. Не тыкать токены в неизвестные и неподготовленные машины. Требовать от конторы вменяемой реализации мер защиты для машин, где применяются токены с УКЭП (паровозом идут ЧМУ, ЧТЗ, набор мер и аттестация по вкусу)... 5. Не оставлять токены без присмотра. Не оставлять токены подключенными к машине в период, когда операции с ним не проводятся (читай, УКЭП не используется для подписи)... 6. ПИН от токена хранить в секрете ото всех, вообще всех. И следить за окружающими в момент ввода. Менять ПИН при малейшем подозрении на компрометацию... 7. По всем правилам реализовать работу с МЧД... 8. Следить за подозрительной активностью на машине, с которой используется токен с УКЭП. Требовать от конторы явный список софта и ресурсов, которым разрешены операции с УКЭП, с разграничением зон ответственности работника и конторы в явном виде... 9. При утечке УКЭП незамедлительно отзывать УКЭП, проводить тех.экспертизу и обращаться в суд (в случае положительных результатов экспертизы в отношении тех же админов конторы)... ЗЫ А дьявол уже в деталях, ага... |
Автор: Денис | 111576 | 11.10.2024 15:30 |
>> 4. Не тыкать токены в неизвестные и неподготовленные машины. Требовать от конторы вменяемой реализации мер защиты для машин, где применяются токены с УКЭП (паровозом идут ЧМУ, ЧТЗ, набор мер и аттестация по вкусу)...
Тут и вопрос, что такое подготовленный компьютер? Как пользователю понять что компьютер подготовленный? Может он специально подготовленный к тому, чтобы USB пробросить куда нить к злоумышленнику и сканер клавиатуры (шпионское ПО) установлен. Или просто ПО удаленного доступа работает. Иными словами, где требования к такому компьютеру и так чтоб предприятие было уверено что всё сделано хорошо. И сотрудник например мог оценить, что компьютер соответствует каким то требованиям (этикетка, голограмма и т.п). >> 8. Следить за подозрительной активностью на машине, с которой используется токен с УКЭП. Требовать от конторы явный список софта и ресурсов, которым разрешены операции с УКЭП, с разграничением зон ответственности работника и конторы в явном виде... Сотрудник не владелец компьютера, ничего требовать не может... Если иное не сказано в законодательстве. А оно сказано? И вообще использование своей ЭЦП в компьютере работодателя не является ли частным случаем передачи ЭЦП третьим лицам? |
Автор: oko | 111577 | 12.10.2024 12:10 |
Пока у вас не выполняется первый пункт, об остальных рассуждать, imho, рановато...
|
Автор: Денис | 111579 | 14.10.2024 08:36 |
По поводу 1 пункта. Принято. Нет ЭЦП. Есть ЭП.
Теперь можно переходить к следующим пунктам Справочно (найдено в Интернете): Термин, введенный в 2002 году с принятием 1-ФЗ «Об электронной цифровой подписи» утратил силу с 1 января 2014 года, когда окончательно вступил в силу 63-ФЗ «Об электронной подписи» от 06.04.2011. |
Автор: oko | 111580 | 14.10.2024 14:38 |
Отлично. Теперь открывайте 63-ФЗ, изучайте (особенно ст. 4 про принципы использования ЭП). Далее через несложную цепочку нормативки переходите к Приказам и требованиям ФСБ по УЦ, генерирующих УКЭП, и, как следствие, по УКЭП и СКЗИ, их реализующих...
И это даст более-менее явные ответы на вопросы, касающиеся требований, предъявляемых к рабочим местам, сервисам и системам, где применяются СКЗИ и УКЭП. В частности, выяснится, что требования есть, но выполняться они должны тем, кто реализовал такое рабочее место, сервисы и системы. В вашем случае - предприятие-работодатель. И, в частности, всяческие этикетки, голограммы - это уже на решение такого предприятия-работодателя... В целом, на любом предприятии должен быть регламент использования УКЭП в рамках ЭДО. Вот в этом регламенте и должны прописываться и требования, обязательные к соблюдению, и маркировка, и процессы, и права с ответственностью сторон. Если же такого регламента (или аналогичных документов) нет, то, imho, нечего юзать свою УКЭП на таком предприятии вне зависимости от задач и желаний руководства... Собственно, права вот работника требовать соблюдение тех или иных мер - в первую голову в области трудового законодательства. Может работодатель обязать работника ставить его подпись на любых бумажных документах безотносительно мнения работника? А множить его подписать самостоятельно? А подделывать? Может ли работник отказаться от проставления своей подписи на "лишних" бумагах? А "специальной ручкой" с исчезающими чернилами? В контексте УКЭП все абсолютно аналогично... ЗЫ Но "белых пятен" в контексте ваших вопросов хватает - тут уж увы, решение необходимо принимать по согласию работник/работодатель на местах, пока регуляторы явно это не определили... |
Просмотров темы: 191